Payment Card Industry Data Security Standard (PCI DSS) - Glossar, Abkürzungen und Akronyme
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Payment Card Industry Data Security Standard (PCI DSS) Glossar, Abkürzungen und Akronyme
Begriff Definition AAA Authentication, Authorization and Accounting-Protokoll Accounting Nachverfolgung von Netzwerkressourcen der Benutzer Zugriffssteuerung Mechanismen, die die Verfügbarkeit von Informationen oder informationsverarbeitenden Ressourcen auf autorisierte Personen oder Anwendungen beschränken. Account-Harvesting Auf Versuch und Irrtum beruhendes Verfahren zur Identifizierung vorhandener Benutzerkonten. [Hinweis: Zu umfangreiche Informationen in Fehlermeldungen können es Hackern erleichtern, Zugangsdaten zu ermitteln und das System zu penetrieren bzw. mit Harvesting Systemdaten abzuschöpfen oder das System zu gefährden.] Kontonummer Zahlungskartennummer (Kredit- oder Debitkarte), die den Kartenaussteller und das jeweilige Karteninhaberkonto identifiziert. Wird auch als Primary Account Number (PAN) bezeichnet. Händlerbank Mitglied des Bankkartenverbands, das Geschäftsbeziehungen mit Händlern aufnimmt und pflegt, die Zahlungskartenzahlungen akzeptieren. AES Advanced Encryption Standard. Blockcodierung, die im November 2001 vom NIST übernommen wurde. Der Algorithmus ist im FIPS PUB 197 angegeben. ANSI American National Standards Institute. Private, gemeinnützige Organisation, die das freiwillige US-Standardisierungs- und Konformitätsbewertungssystem verwaltet und koordiniert. Antivirusprogramm Programme, die in der Lage sind, verschiedene Arten bösartiger Codes oder Malware, z. B. Viren, Würmer, Trojanische Pferde, Spyware und Adware, zu erkennen, zu entfernen und abzuwehren. Anwendung Umfasst alle käuflich erworbenen und benutzerdefinierten Softwareprogramme oder -programmgruppen, die für Endbenutzer entwickelt wurden, einschließlich interner und externer (Web- )Anwendungen. Anerkannte Anerkannte Standards sind standardisierte Algorithmen (wie in ISO und Standards ANSI) sowie bekannte marktübliche Standards (wie Blowfish), die den Zweck starker Kryptografie erfüllen. Beispiele für anerkannte Standards sind AES (128 Bit und höher), TDES (zwei oder drei unabhängige Schlüssel), RSA (1024 Bit) und ElGamal (1024 Bit). Asset Informationen oder informationsverarbeitende Ressourcen einer Organisation. Überwachungsprotok Chronologische Aufzeichnung von Systemaktivitäten. Enthält einen oll Überwachungspfad zur hinreichenden Rekonstruktion, Überprüfung und Untersuchung von Abfolgen von Umgebungen und Aktivitäten, die von Anfang bis Ende einer Transaktion für Funktionen, Prozeduren oder Ereignisse relevant sind. In einigen Fällen wird dieses Protokoll auch als Sicherheitsüberwachungspfad bezeichnet. Authentifizierung Prozess zur Überprüfung der Identität einer Person oder eines Prozesses. Glossar, Abkürzungen und Akronyme 2
Begriff Definition Autorisierung Erteilung von Zugriffs- oder anderen Rechten für Benutzer, Programme oder Prozesse. Sicherung Datenkopie, die zu Archivierungszwecken bzw. zum Schutz vor Beschädigung oder Verlust erstellt wird. Karteninhaber Kunde, für den die Karte ausgestellt wurde bzw. Person, die zur Nutzung der Karte berechtigt ist. Karteninhaberdaten Vollständiger Magnetstreifen oder PAN, einschließlich einer der folgenden Angaben: • Name des Karteninhabers • Ablaufdatum • Servicecode Karteninhaberdaten- Bereich des Computersystem-Netzwerks, in dem Karteninhaberdaten bzw. Umgebung vertrauliche Authentifizierungsdaten gespeichert werden, sowie Systeme und Segmente, die Karteninhaberdaten direkt verarbeiten, speichern oder übertragen bzw. diese Vorgänge unterstützen. Durch eine adäquate Netzwerksegmentierung, die Systeme zum Speichern, Verarbeiten oder Übertragen von Karteninhaberdaten vom übrigen Netzwerk trennt, lässt sich der Umfang der Karteninhaberdaten-Umgebung und somit auch der Umfang der PCI-Prüfung verringern. Kartenprüfwert oder Datenelement auf dem Magnetstreifen einer Karte, das anhand eines Kartenprüfcode sicheren kryptografischen Prozesses die Datenintegrität auf dem Streifen schützt und jede Änderung oder Fälschung aufdeckt. Wird je nach Zahlungskartenunternehmen als CAV, CVC, CVV oder CSC bezeichnet. Im Folgenden werden die von den jeweiligen Zahlungskartenunternehmen verwendeten Bezeichnungen aufgeführt: • CAV Card Authentication Value (JCB-Zahlungskarten) • CVC Card Validation Code (MasterCard-Zahlungskarten) • CVV Card Verification Value (Visa- und Discover-Zahlungskarten) • CSC Card Security Code (American Express-Zahlungskarten) Hinweis: Der zweite Typ von Kartenprüfwert oder -code ist die dreistellige Zahl, die im Signaturfeld auf der Rückseite der Kreditkarte rechts neben der Kreditkartennummer zu finden ist. Bei American Express-Karten ist der Code eine vierstellige, ungeprägte Zahl über der Kartennummer auf der Vorderseite der Zahlungskarte. Der Code ist der jeweiligen Karte eindeutig zugeordnet und stellt das Bindeglied zwischen Kontonummer und Karte dar. Hier eine Übersicht: • CID Card Identification Number (American Express- und Discover- Zahlungskarten) • CAV2 Card Authentication Value 2 (JCB-Zahlungskarten) • CVC2 Card Validation Code 2 (MasterCard-Zahlungskarten) • CVV2 Card Verification Value 2 (Visa-Zahlungskarten) Glossar, Abkürzungen und Akronyme 3
Begriff Definition Ersatzkontrollen Ersatzkontrollen können in Erwägung gezogen werden, wenn eine Entität eine explizite Anforderung aufgrund von legitimen technischen oder dokumentierten geschäftlichen Beschränkungen nicht erfüllen kann, das mit der Anforderung verbundene Risiko durch die Implementierung anderer Kontrollen jedoch ausreichend eingedämmt hat. Ersatzkontrollen müssen 1) Zweck und Stringenz der ursprünglich angegebenen PCI DSS-Anforderung erfüllen, 2) einen Angriffsversuch in ähnlichem Umfang abwehren, 3) andere PCI DSS-Anforderungen nicht nur erfüllen, sondern übertreffen, und 4) das mit der Nichterfüllung der PCI DSS-Anforderungen verbundene Risiko ausgleichen. CIS Center for Internet Security. Gemeinnütziges Unternehmen zur Unterstützung von Organisationen bei der Reduzierung des Risikos von Geschäfts- und E-Commerce-Unterbrechungen aufgrund unzulänglicher technischer Sicherheitskontrollen. Sicherheitsgefährdun Eindringen in ein Computersystem, wobei nicht autorisierte Offenlegung, g Änderung oder Zerstörung von Karteninhaberdaten vermutet wird. Konsole Bildschirm und Tastatur für den Zugriff auf bzw. die Steuerung von Server bzw. Mainframecomputer in einer Netzwerkumgebung. Kunde Person, die Waren, Dienste oder beides erwirbt. Cookies Datenzeichenfolge, die zwischen einem Webserver und einem Webbrowser zur Aufrechterhaltung einer Sitzung ausgetauscht wird. Cookies können Benutzereinstellungen und persönliche Informationen enthalten. Disziplin der Mathematik und Informatik, die sich mit Informationssicherheit Kryptografie und ähnlichen Themen befasst, insbesondere mit Verschlüsselung und Authentifizierung sowie Anwendungen wie. Im Bereich der Computer- und Netzwerksicherheit dient die Kryptografie der Zugriffssteuerung und dem Datenschutz. Datenbank Strukturiertes Format zur Organisation und Verwaltung einfach abrufbarer Informationen. Beispiele für einfache Datenbanken sind Tabellen und Kalkulationstabellen. Data Base Datenbankadministrator. Person, die für die Verwaltung von Datenbanken Administrator (DBA) verantwortlich ist. DBA (Doing Business Firmenname. Die Ebenen der Erfüllungsüberprüfung basieren auf dem As) Transaktionsvolumen eines DBA oder einer Einzelhandelskette (nicht auf dem eines Konzerns, der über mehrere Ketten verfügt). Standardkonten Vordefiniertes Systemanmeldekonto in einem ausgelieferten System, das bei Erstinbetriebnahme den ersten Zugriff ermöglicht. Standardkennwort Bei Auslieferung festgelegtes Kennwort für Systemadministrator- oder Dienstkonten; ist gewöhnlich dem Standardkonto zugeordnet. Standardkonten und -kennwörter werden veröffentlicht und sind allgemein bekannt. DES Data Encryption Standard (DES). Blockcodierung, die 1976 als offizieller Federal Information Processing Standard (FIPS) für die USA gewählt wurde. Nachfolger ist der Advanced Encryption Standard (AES). Glossar, Abkürzungen und Akronyme 4
Begriff Definition DMZ Demilitarized Zone (Entmilitarisierte Zone). Als zusätzliche Sicherheitsschicht zwischengeschaltetes Netzwerk zwischen einem privatem und einem öffentlichem Netzwerk. DNS Domain Name System oder Domain Name Service. System zum Speichern von Informationen, die mit Domänennamen in einer verteilten Datenbank in Netzwerken, z. B. dem Internet, verknüpft ist. DSS Data Security Standard Vier- oder Verfahren, bei dem mindestens zwei verschiedene Entitäten (normalerweise Sechsaugenprinzip Personen) gemeinsam tätig sind, um vertrauliche Funktionen bzw. Informationen zu schützen. Beide Entitäten sind gleichermaßen verantwortlich für den physischen Schutz von Materialien, die in anfälligen Transaktionen eingesetzt werden. Für Einzelpersonen dürfen diese Materialien (z. B. den kryptografischen Schlüssel) nicht zugänglich sein. Beim manuellen Generieren, Übertragen, Laden, Speichern und Abrufen von Schlüsseln nach dem Vier- oder Sechsaugenprinzip sind mindestens zwei Personen erforderlich, die nur ihren Teil des Schlüssels kennen, um den gesamten Schlüssel rekonstruieren zu können. Siehe auch „Split- Knowledge-Prinzip“. ECC Elliptic Curve Cryptography (Kryptografie mit elliptischen Kurven). Kryptografieverfahren für öffentliche Schlüssel basierend auf elliptischen Kurven über endliche Felder. Egress Ausgehender Datenverkehr eines Netzwerks, der über eine Kommunikationsverbindung in das Netzwerk des Kunden gelangt. Verschlüsselung Umwandlung von Informationen in eine nicht lesbare Form, die nur mithilfe eines bestimmten kryptografischen Schlüssels entschlüsselt werden kann. Anhand von Verschlüsselung können Informationen zwischen dem Verschlüsselungs- und dem Entschlüsselungsvorgang (dem Gegenteil von Verschlüsselung) vor nicht autorisierter Offenlegung geschützt werden. FIPS Federal Information Processing Standard Firewall Hardware, Software oder beides zum Schutz von Ressourcen in einem Netzwerk vor Eindringlingen aus anderen Netzwerken. Jedes Unternehmen mit einem Intranet, über das Mitarbeiter auf das Internet zugreifen können, sollte über eine Firewall verfügen, um den Zugriff auf interne, private Datenressourcen durch externe Personen zu verhindern. FTP File Transfer Protocol GPRS General Packet Radio Service (Allgemeiner paketorientierter Funkdienst). Mobiler Datendienst, der Benutzern von GSM-Mobiltelefonen zur Verfügung steht. Ist für die effiziente Nutzung begrenzter Bandbreite bekannt. GPRS ist insbesondere für das Senden und Empfangen kleiner Datenmengen geeignet, z. B. für E-Mails und Webbrowsing. GSM Global System for Mobile Communications. Bekannter Standard für Mobiltelefone. Aufgrund der Verbreitung des GSM-Standards ist internationales Roaming zwischen verschiedenen Mobilfunkanbietern inzwischen gang und gäbe und gibt Benutzern so die Möglichkeit, ihre Mobiltelefone in vielen Teilen der Welt zu verwenden. Glossar, Abkürzungen und Akronyme 5
Begriff Definition Host Hauptcomputerhardware, auf der sich Computersoftware befindet. Hostinganbieter Bieten Händlern und anderen Dienstanbietern verschiedene Dienste an. Dabei kann es sich sowohl um einfache als auch um komplexe Dienste handeln: von gemeinsam genutztem Speicherplatz auf einem Server über eine Reihe von „Einkaufswagen“-Optionen und Zahlungsanwendungen bis hin zu Verbindungen zu Zahlungsgateways und -prozessoren und dem dedizierten Hosting von nur einem Kunden pro Server. HTTP Hypertext Transfer Protocol. Offenes Internetprotokoll zur Übertragung von Informationen im World Wide Web. ID Identität IDS/IPS Intrusion Detection System/Intrusion Prevention System. Wird zur Identifizierung und Warnung vor Angriffsversuchen auf Netzwerke oder Systeme verwendet. Es besteht aus Sensoren, die Sicherheitsereignisse generieren, einer Konsole, die Ereignisse und Warnungen überwacht und die Sensoren kontrolliert sowie einem zentralen Modul, das die von den Sensoren protokollierten Ereignisse in einer Datenbank protokolliert. Es verwendet ein Regelsystem, um bei erkannten Sicherheitsereignissen Warnungen zu generieren. Durch ein IPS wird zudem der Eindringversuch verhindert. IETF Internet Engineering Task Force. Große offene internationale Community von Netzwerkdesignern, Betreibern, Anbietern und Forschern, die sich mit der Entwicklung der Internet-Architektur und dem reibungslosen Betrieb des Internets beschäftigt. Diese Community steht allen Interessierten offen. Informationssicherhei Schutz von Informationen zur Gewährleistung von Vertraulichkeit, Integrität t und Verfügbarkeit. Informationssystem Diskreter Satz strukturierter Datenressourcen, der zur Erfassung, Verarbeitung, Verwaltung, Verwendung, gemeinsamen Nutzung, Verbreitung oder Anordnung von Informationen verwendet wird. Ingress Eingehender Datenverkehr, der über eine Kommunikationsverbindung und das Netzwerk des Kunden in das Netzwerk gelangt. Intrusion Detection Siehe IDS. Systems IP Internet Protocol. Netzwerkprotokoll, das Adress- und einige Steuerungslinformationen enthält, mit deren Hilfe Pakete weitergeleitet werden können. IP ist das primäre Netzwerkprotokoll unter den Internetprotokollen. IP-Adresse Numerischer Code, der zur eindeutigen Identifizierung eines Computers im Internet dient. IP-Spoofing Von Eindringlingen verwendetes Verfahren, um sich unbefugten Zugriff auf Computer zu verschaffen. Der Eindringling sendet trügerische Mitteilungen an einen Computer mit einer IP-Adresse, die scheinbar von einem vertrauten Host stammt. Glossar, Abkürzungen und Akronyme 6
Begriff Definition IPSEC Internet Protocol Security. Standard zur Sicherung von IP-Kommunikation durch Verschlüsselung und/oder Authentifizierung aller IP-Pakete. IPSEC bietet Sicherheit auf Netzwerkebene. ISO International Organization for Standardization. Internationale Nichtregierungsorganisation von Normungsinstituten aus über 150 Ländern mit einem Vertreter pro Land. Die Zentrale der Organisation befindet sich in Genf, von wo aus das System koordiniert wird. ISO 8583 Etablierter Standard für die Kommunikation zwischen Finanzsystemen. Schlüssel In der Kryptografie ist ein Schlüssel ein Algorithmuswert, der auf unverschlüsselten Text angewendet wird, um diesen zu verschlüsseln. Die Länge des Schlüssels bestimmt in der Regel, wie schwierig die Entschlüsselung des Textes der jeweiligen Mitteilung ist. L2TP Layer 2 Tunneling Protocol. Protokoll zur Unterstützung von VPNs (Virtual Private Networks). LAN Local Area Network. Kleines Computernetzwerk – oft in einem Gebäude oder in mehreren Gebäuden. LPAR Logical Partition. Abschnitt einer Festplatte, der nicht zu den primären Partitionen gehört. Er wird in einem Datenblock definiert, auf den die erweiterte Partition verweist. MAC Message Authentication Code Magnetstreifendaten Im Magnetstreifen verschlüsselte Daten, die bei Transaktionen zur (Spurdaten) Autorisierung verwendet werden, wenn die Karte in physischer Form verwendet wird. Diese Magnetstreifendaten müssen nach der Transaktionsautorisierung von den Entitäten nicht in vollständiger Form aufbewahrt werden. Dies bedeutet insbesondere, dass Servicecodes, verfügbare Daten/Kartenprüfwert/-code und firmeneigene, reservierte Werte nach der Autorisierung gelöscht werden müssen, während die Kontonummer, das Ablaufdatum, der Name und der Servicecode je nach geschäftlichem Bedarf extrahiert und gespeichert werden können. Malware Bösartige Software. Sie wird in der Regel zur Infiltration oder Beschädigung eines Computersystems ohne Wissen oder Erlaubnis des Inhabers missbraucht. Überwachung Kontinuierliche Beaufsichtigung eines Computernetzwerks durch ein System. Dabei werden u. a. langsame Systeme oder Systemausfälle überwacht und der Benutzer im Fall von Ausfällen oder anderen Alarmen benachrichtigt. MPLS Multi Protocol Label Switching NAT Network Address Translation. Wird auch als Netzwerkmaskierung oder IP- Maskierung bezeichnet. Änderung einer in einem Netzwerk verwendeten IP- Adresse in eine andere IP-Adresse, die in einem anderen Netzwerk bekannt ist. Netzwerk Zwei oder mehr Computer, die zur gemeinsamen Ressourcennutzung miteinander verbunden sind. Glossar, Abkürzungen und Akronyme 7
Begriff Definition Netzwerkkomponente Zu Netzwerkkomponenten gehören u. a. Firewalls, Switches, Router, n drahtlose Zugriffspunkte, Netzwerkgeräte und sonstige Sicherheitsvorrichtungen. Network Security Automatisches Tool, das Händler- bzw. Dienstanbietersysteme über eine Scan Remoteverbindung auf Sicherheitsrisiken überprüft. Nicht intrusiver Test, bei dem Systeme mit externer Verbindung basierend auf IP-Adressen mit externer Verbindung abgesucht werden und über Dienste, die im externen Netzwerk verfügbar sind (d. h. Dienste, die im Internet verfügbar sind), Bericht erstattet wird. Sicherheitsrisiken in Betriebssystemen, Diensten und Geräten, die von Hackern für Angriffe auf das private Unternehmensnetzwerk verwendet werden können, werden durch Scans ermittelt. NIST National Institute of Standards and Technology. Nicht-regulative Behörde der technologischen Administration des US-Handelsministeriums. Ziel dieser Behörde ist es, die Innovation und industrielle Wettbewerbsfähigkeit der USA durch Unterstützung von Messwissenschaft, Standards und Technologie zu fördern und so die wirtschaftliche Stabilität und den Lebensstandard zu verbessern. Benutzer, die keine Alle Personen, außer Kunden, die auf Systeme zugreifen, u. a. Mitarbeiter, Kunden sind Administratoren und Dritte. NTP Protokoll zur Synchronisation der Uhren von Computersystemen über paketgeschaltete Datennetzwerke mit variabler Wartezeit. OWASP Open Web Application Security Project (siehe http://www.owasp.org) Zahlungskarteninhab Der Teil des Netzwerks, in dem Karteinhaberdaten bzw. vertrauliche er-Datenumgebung Authentifizierungsdaten gespeichert sind. PAN Primary Account Number. Die Zahlungskartennummer (Kredit- oder Debitkarte), die den Kartenaussteller und das jeweilige Karteninhaberkonto identifiziert. Sie wird auch Kontonummer als Kontonummer bezeichnet. Kennwort Eine Zeichenfolge, die als Echtheitsbestätigung des Benutzers dient. PAD Packet Assembler/Disassembler. Kommunikationsgerät, das ausgehende Daten formatiert und Daten aus eingehenden Paketen extrahiert. In der Kryptografie ist der One-Time-PAD ein Verschlüsselungsalgorithmus mit einer Kombination aus Text und einem Zufallsschlüssel oder „PAD“, der die gleiche Länge wie der Klartext hat und nur einmal verwendet wird. Wenn der Schlüssel außerdem wirklich zufallsgeneriert ist, niemals wieder verwendet und streng vertraulich behandelt wird, ist der One-Time-PAD nicht zu entschlüsseln. PAT Port Address Translation. Feature eines (NAT) Network Address Translation)-Geräts, das TCP (Transmission Control Protocol)- oder UDP (User Datagram Protocol)-Verbindungen mit einem Host und Anschluss eines externen Netzwerks in Verbindungen mit einem Host und Anschluss eines internen Netzwerks übersetzt. Glossar, Abkürzungen und Akronyme 8
Begriff Definition Patch Schnelle Reparatur eines Programmabschnitts. Treten während der Beta- bzw. Testphase oder nach der formellen Herausgabe der Produktversion Probleme auf, wird Benutzern als Schnelllösung ein Patch zur Verfügung gestellt. PCI Payment Card Industry Penetration Erfolgreiche Umgehung von Sicherheitsmechanismen und Erlangen des Zugriffs auf ein Computersystem. Penetrationstest Sicherheitsorientiertes Absuchen eines Computersystems oder Netzwerks, um Sicherheitsrisiken zu ermitteln, die von Hackern ausgenutzt werden können. Darüber hinaus können diese Tests auch tatsächliche Penetrationsversuche beinhalten. Ziel eines Penetrationstests ist es, Sicherheitsrisiken zu ermitteln und Verbesserungen der Sicherheit zu empfehlen. PIN Personal Identification Number Richtlinie Unternehmensweite Regeln in Bezug auf zulässige Nutzung von Computerressourcen, Sicherheitspraktiken und Anleitung bei der Entwicklung betrieblicher Prozeduren. POS Point-of-Sale Prozedur Beschreibende Schilderung einer Richtlinie. Eine Prozedur beschreibt die Umsetzung und Durchführung einer Richtlinie. Protokoll Vereinbartes Kommunikationsverfahren innerhalb von Netzwerken. Spezifikation, die die Regeln und Prozeduren beschreibt, die von Computerprodukten bei Aktivitäten in einem Netzwerk befolgt werden sollten. Öffentliches Netzwerk Ein von einem Telekommunikationsanbieter oder einem anerkannten Privatunternehmen eingerichtetes und betriebenes Netzwerk, das dem Zweck dient, Datenübertragungsdienste für die Öffentlichkeit bereitzustellen. Die Daten müssen für die Übertragung über öffentliche Netzwerke verschlüsselt werden, da Hacker sie mühelos abfangen, ändern und umleiten können. Beispiele für öffentliche Netzwerke, die dem PCI DSS- Standard entsprechen, sind das Internet, GPRS und GSM. PVV PIN Verification Value. Codierung auf dem Magnetstreifen einer Zahlungskarte. RADIUS Remote Authentication and Dial-In User Service. Authentifizierungs- und Accounting-System. Überprüft die Richtigkeit von an den RADIUS-Server geleiteten Benutzernamen und Kennwörtern und autorisiert anschließend den Zugriff auf das System. RFC Request for Comments (Aufforderung zu Kommentaren) Neuverschlüsselung Änderung der kryptografischen Schlüssel, um den Umfang der mit dem gleichen Schlüssel zu verschlüsselnden Daten zu begrenzen. Glossar, Abkürzungen und Akronyme 9
Begriff Definition Risikoanalyse Vorgang, bei dem wertvolle Systemressourcen und Bedrohungen systematisch identifiziert und Verlustpotenziale basierend auf geschätzten Vorkommenshäufigkeiten und -kosten quantifiziert werden. Auf Wunsch kann dieser Vorgang auch Empfehlungen zur Zuweisung von Ressourcen für Gegenmaßnahmen umfassen, um das Risiko einer systemweiten Gefährdung zu minimieren. Risikobewertung. Router Hardware oder Software, mit der zwei oder mehr Netzwerke miteinander verbunden werden. Dient als Sortierer und Interpreter und leitet Informationsabschnitte anhand von Adressen an ihre jeweiligen Zielorte. Softwarerouter werden manchmal auch als Gateways bezeichnet. RSA Algorithmus für die Verschlüsselung öffentlicher Schlüssel, der 1977 von Ron Rivest, Adi Shamir und Len Adleman vom Massachusetts Institute of Technology (MIT) beschrieben wurde. Der Name des Algorithmus (RSA) ergibt sich aus den Anfangsbuchstaben ihrer Nachnamen. Entschärfung Löschen vertraulicher Daten aus einer Datei, einem Gerät oder einem System bzw. Änderung von Daten, um sie für Angreifer unbrauchbar zu machen. SANS SysAdmin, Audit, Network, Security Institute (siehe www.sans.org) Sicherheitsbeauftragt Hauptverantwortlicher für sicherheitsrelevante Angelegenheiten in einem er Unternehmen. Sicherheitsrichtlinie Reihe von Gesetzen, Regeln und Praktiken, die die Verwaltung, den Schutz und die Verteilung von vertraulichen Informationen innerhalb eines Unternehmens regeln. Vertrauliche Sicherheitsinformationen (Kartenprüfcodes/-werte, vollständige Spurdaten, Authentifizierungsdat PINs und PIN-Blöcke), die zur Authentifizierung von Karteninhabern en verwendet werden und als Klartext oder in anderer ungeschützter Form auftreten. Die Offenlegung, Änderung oder Vernichtung dieser Informationen kann die Sicherheit von Verschlüsselungsgeräten, Informationssystemen oder Karteninhaberdaten gefährden oder für betrügerische Transaktionen verwendet werden. Aufgabentrennung Aufteilung von Aufgaben in einer Funktion auf verschiedene Einzelpersonen, sodass keine dieser Personen allein den Prozess sabotieren kann. Computer, der anderen Computern Dienste zur Verfügung stellt, z. B. Server Kommunikationsverarbeitung, Dateispeicherung oder Zugriff auf eine Druckeinrichtung. Zu den Servertypen gehören u. a. Web-, Datenbank, Authentifizierungs-, DNS-, Mail-, Proxy- und NTP-Server. Servicecode Drei- oder vierstellige Zahl auf dem Magnetstreifen einer Karte, die die Akzeptanzanforderungen und -einschränkungen bei einer Magnetstreifentransaktion festlegt. Glossar, Abkürzungen und Akronyme 10
Begriff Definition Dienstanbieter Geschäftsentität, die weder Kreditkartengesellschaft noch Händler ist und somit nicht direkt an der Verarbeitung, Speicherung, Übertragung und Vermittlung von Transaktionsdaten und/oder Karteninhaberinformationen beteiligt ist. Dazu gehören auch Unternehmen, die Händlern, Dienstanbietern oder Mitgliedern Dienste anbieten, die die Sicherheit von Karteninhaberdaten kontrollieren oder sich darauf auswirken können. Beispiele umfassen Managed Service-Anbieter, die verwaltete Firewalls, IDS und andere Dienste anbieten, sowie Hostinganbieter und andere Entitäten. Entitäten wie Telekommunikationsunternehmen, die nur Kommunikationsverbindungen ohne Zugriff auf die Anwendungsebene der Kommunikationsverbindungen bereitstellen, gehören nicht zu dieser Gruppe. SHA Secure Hash Algorithm. Ein Satz miteinander verwandter kryptografischer Hash-Funktionen. SHA-1 ist die am häufigsten verwendete Funktion. Durch die Verwendung eines eindeutigen Streuwertes bei der Hash-Funktion wird das Risiko von identischen Hash-Werten verringert. SNMP Simple Network Management Protocol. Unterstützt die Überwachung von Geräten in einem Netzwerk auf jegliche Zustände, die die Aufmerksamkeit eines Administratoren erfordern. „Split-Knowledge- Sicherheitsvorkehrung, bei der zwei oder mehr Entitäten separate Prinzip“ Schlüsselkomponenten kennen, die nur zusammen den kryptografischen Schlüssel ergeben. SQL Structured Query Language. Computersprache zum Erstellen, Ändern und Abrufen von Daten aus relationalen Datenverwaltungssystemen. SQL-Injektion Form eines Angriffs auf eine datenbankgesteuerte Website. Dabei nutzt der Angreifer einen unsicheren Code auf einem mit dem Internet verbundenen System aus, um nicht autorisierte SQL-Befehle auszuführen. Bei Angriffen mit SQL-Injektion können Eindringlinge normalerweise unzugängliche Informationen aus einer Datenbank entwenden und/oder sich über den Computer, der die Datenbank hostet, Zugriff auf die Hostcomputer einer Organisation verschaffen. SSH Secure Shell. Protokolle zur Verschlüsselung von Netzwerkdiensten, z. B. Remoteanmeldung oder Remotedatenübertragung. SSID Service Set Identifier. Name, der einem drahtlosen WiFi- oder IEEE 802.11- Netzwerk zugewiesen wird. SSL Secure Sockets Layer. Etablierter Industriestandard, nach dem der Kanal zwischen Webbrowser und Webserver verschlüsselt wird, um eine vertrauliche und zuverlässige Datenübertragung über diesen Kanal zu gewährleisten. Glossar, Abkürzungen und Akronyme 11
Begriff Definition Starke Kryptografie Allgemeiner Begriff für extrem schwer zu analysierende Kryptografie. Das heißt, der kryptografische Schlüssel bzw. die geschützten Daten werden aufgrund der kryptografischen Methode (Algorithmus oder Protokoll) nicht verfügbar gemacht. Die Stärke ist vom verwendeten kryptografischen Schlüssel abhängig. Die effektive Länge des Schlüssels sollte mit der Mindestlänge der Schlüssel aus vergleichbaren Empfehlungen für die Mindestschlüssellänge übereinstimmen. Als Quellen für die empfohlene Mindeststärke dienen die NIST Special Publication 800-57, August 2005 (http://csrc.nist.gov/publications/), und andere Empfehlungen, die folgende vergleichbare Sicherheitsanforderungen für Mindestschlüssellängen erfüllen: • 80 Bit für Systeme, die auf der Verschlüsselung durch geheime Schlüssel basieren (z. B. TDES) • 1024-Bit-Modulo für Algorithmen öffentlicher Schlüssel basierend auf Faktorisierung (z. B. RSA) • 1024 Bit für den diskreten Logarithmus (z. B. Diffie-Hellman) mit einer Mindestgröße von 160 Bit einer großen Untergruppe (z. B. DSA) • 160 Bit für Kryptografie mit elliptischen Kurven (z. B. ECDSA) Systemkomponenten Beliebige Netzwerkkomponenten, Server oder Anwendungen, die in die Karteninhaberdaten-Umgebung eingebunden oder mit ihr verbunden sind. TACACS Terminal Access Controller Access Control System. Remoteauthentifizierungsprotokoll. Fälschungssicherheit System, bei dem Änderungen oder Beschädigungen selbst für einen Angreifer mit physischem Zugriff auf das System schwierig vorzunehmen sind. TCP Transmission Control Protocol TDES Triple Data Encription Standard – wird auch als 3DES bezeichnet. Blockcodierung, die aus der DES-Codierung durch dreimalige Verwendung gebildet wird. TELNET TELephone NETwork (Telefonnetzwerk-Protokoll). Wird in der Regel zur Bereitstellung von benutzerorientierten Befehlszeilen-Anmeldesitzungen zwischen Hosts im Internet verwendet. Programm, das ursprünglich zur Emulation eines einzelnen Terminals entwickelt wurde, das mit dem anderen Computer verbunden ist. Bedrohung Zustand, durch den Informationen oder Informationsverarbeitungsressourcen absichtlich oder versehentlich verloren gehen bzw. geändert, verfügbar gemacht oder unzugänglich gemacht oder auf andere für das Unternehmen schädigende Weise beeinträchtigt werden. TLS Transport Layer Security. Wurde mit dem Ziel entwickelt, Datensicherheit und -integrität zwischen zwei kommunizierenden Anwendungen zu gewährleisten. TLS ist der Nachfolger von SSL. Token Vorrichtung zur dynamischen Authentifizierung. Transaktionsdaten Daten im Zusammenhang mit elektronischem Zahlungsverkehr. Glossar, Abkürzungen und Akronyme 12
Begriff Definition Abschneiden Entfernen von Datensegmenten. Beim Abschneiden von Kontonummern werden in der Regel die ersten 12 Ziffern gelöscht, während nur die letzten vier Ziffern verbleiben. 2-Faktoren- Authentifizierung, bei der Benutzer zwei Anmeldeinformationen angeben Authentifizierung müssen, um Zugriff auf ein System zu erhalten. Anmeldeinformationen bestehen aus einem physischen Element, z. B. Smartcards oder Hardwaretoken, und einer abstrakten Komponente, z. B. einem Kennwort. Um Zugriff auf ein System zu erhalten, muss der Benutzer beide Elemente vorweisen können. UDP User Datagram Protocol. Benutzer-ID Eine Zeichenfolge, die zur eindeutigen Identifizierung eines Benutzers in einem System dient. Virus Programm oder Codeabschnitt, die sich vervielfachen und Software oder Daten ändern oder zerstören können. VPN Virtual Private Network. Privates Netzwerk, das über einem öffentlichen Netzwerk eingerichtet wurde. Sicherheitsrisiko Schwachstelle in Systemsicherheitsprozeduren, Systemdesign, Implementierung oder internen Kontrollen, die zur Verletzung der Sicherheitsrichtlinien des Systems ausgenutzt werden kann. Schwachstellenscan Scans, die zur Ermittlung von Sicherheitsrisiken in Betriebssystemen, Diensten und Geräten durchgeführt werden, die von Hackern für Angriffe auf das private Unternehmensnetzwerk verwendet werden können. WEP Wired Equivalent Privacy. Protokoll, das zufälliges Mithören verhindert und mit herkömmlichen drahtgebundenen Netzwerken vergleichbare Vertraulichkeit gewährleisten soll. Bietet keine adäquate Sicherheit gegen vorsätzliches Mithören (z. B. bei der Kryptoanalyse). WPA WiFi Protected Access (WPA und WPA2). Sicherheitsprotokoll für drahtlose (WiFi-) Netzwerke. Wurde wegen mehrerer schwerwiegender Schwachstellen im WEP-Protokoll entwickelt. XSS Cross-Site-Scripting. Ein Typ von Sicherheitsrisiko, das in der Regel in Webanwendungen auftritt. Kann von Angreifern dazu verwendet werden, höhere Berechtigungen für vertrauliche Inhalte, Sitzungscookies und eine Reihe anderer Objekte zu erlangen. Glossar, Abkürzungen und Akronyme 13
Sie können auch lesen