Payment Card Industry Data Security Standard (PCI DSS) - Glossar, Abkürzungen und Akronyme

 
WEITER LESEN
Payment Card Industry Data
Security Standard (PCI DSS)

            Glossar, Abkürzungen und
                           Akronyme
Begriff                Definition

 AAA                    Authentication, Authorization and Accounting-Protokoll
 Accounting             Nachverfolgung von Netzwerkressourcen der Benutzer
 Zugriffssteuerung      Mechanismen, die die Verfügbarkeit von Informationen oder
                        informationsverarbeitenden Ressourcen auf autorisierte Personen oder
                        Anwendungen beschränken.
 Account-Harvesting     Auf Versuch und Irrtum beruhendes Verfahren zur Identifizierung
                        vorhandener Benutzerkonten. [Hinweis: Zu umfangreiche Informationen in
                        Fehlermeldungen können es Hackern erleichtern, Zugangsdaten zu ermitteln
                        und das System zu penetrieren bzw. mit Harvesting Systemdaten
                        abzuschöpfen oder das System zu gefährden.]
 Kontonummer            Zahlungskartennummer (Kredit- oder Debitkarte), die den Kartenaussteller
                        und das jeweilige Karteninhaberkonto identifiziert. Wird auch als Primary
                        Account Number (PAN) bezeichnet.
 Händlerbank            Mitglied des Bankkartenverbands, das Geschäftsbeziehungen mit Händlern
                        aufnimmt und pflegt, die Zahlungskartenzahlungen akzeptieren.
 AES                    Advanced Encryption Standard. Blockcodierung, die im November 2001 vom
                        NIST übernommen wurde. Der Algorithmus ist im FIPS PUB 197
                        angegeben.
 ANSI                   American National Standards Institute. Private, gemeinnützige Organisation,
                        die das freiwillige US-Standardisierungs- und
                        Konformitätsbewertungssystem verwaltet und koordiniert.
 Antivirusprogramm      Programme, die in der Lage sind, verschiedene Arten bösartiger Codes oder
                        Malware, z. B. Viren, Würmer, Trojanische Pferde, Spyware und Adware, zu
                        erkennen, zu entfernen und abzuwehren.
 Anwendung              Umfasst alle käuflich erworbenen und benutzerdefinierten
                        Softwareprogramme oder -programmgruppen, die für Endbenutzer
                        entwickelt wurden, einschließlich interner und externer (Web-
                        )Anwendungen.
 Anerkannte             Anerkannte Standards sind standardisierte Algorithmen (wie in ISO und
 Standards              ANSI) sowie bekannte marktübliche Standards (wie Blowfish), die den
                        Zweck starker Kryptografie erfüllen. Beispiele für anerkannte Standards sind
                        AES (128 Bit und höher), TDES (zwei oder drei unabhängige Schlüssel),
                        RSA (1024 Bit) und ElGamal (1024 Bit).
 Asset                  Informationen oder informationsverarbeitende Ressourcen einer
                        Organisation.
 Überwachungsprotok     Chronologische Aufzeichnung von Systemaktivitäten. Enthält einen
 oll                    Überwachungspfad zur hinreichenden Rekonstruktion, Überprüfung und
                        Untersuchung von Abfolgen von Umgebungen und Aktivitäten, die von
                        Anfang bis Ende einer Transaktion für Funktionen, Prozeduren oder
                        Ereignisse relevant sind. In einigen Fällen wird dieses Protokoll auch als
                        Sicherheitsüberwachungspfad bezeichnet.
 Authentifizierung      Prozess zur Überprüfung der Identität einer Person oder eines Prozesses.

Glossar, Abkürzungen und Akronyme                                                                      2
Begriff                Definition

 Autorisierung          Erteilung von Zugriffs- oder anderen Rechten für Benutzer, Programme oder
                        Prozesse.
 Sicherung              Datenkopie, die zu Archivierungszwecken bzw. zum Schutz vor
                        Beschädigung oder Verlust erstellt wird.
 Karteninhaber          Kunde, für den die Karte ausgestellt wurde bzw. Person, die zur Nutzung der
                        Karte berechtigt ist.

 Karteninhaberdaten     Vollständiger Magnetstreifen oder PAN, einschließlich einer der folgenden
                        Angaben:
                            • Name des Karteninhabers
                            • Ablaufdatum
                            • Servicecode

 Karteninhaberdaten-    Bereich des Computersystem-Netzwerks, in dem Karteninhaberdaten bzw.
 Umgebung               vertrauliche Authentifizierungsdaten gespeichert werden, sowie Systeme
                        und Segmente, die Karteninhaberdaten direkt verarbeiten, speichern oder
                        übertragen bzw. diese Vorgänge unterstützen. Durch eine adäquate
                        Netzwerksegmentierung, die Systeme zum Speichern, Verarbeiten oder
                        Übertragen von Karteninhaberdaten vom übrigen Netzwerk trennt, lässt sich
                        der Umfang der Karteninhaberdaten-Umgebung und somit auch der Umfang
                        der PCI-Prüfung verringern.
 Kartenprüfwert oder    Datenelement auf dem Magnetstreifen einer Karte, das anhand eines
 Kartenprüfcode         sicheren kryptografischen Prozesses die Datenintegrität auf dem Streifen
                        schützt und jede Änderung oder Fälschung aufdeckt. Wird je nach
                        Zahlungskartenunternehmen als CAV, CVC, CVV oder CSC bezeichnet. Im
                        Folgenden werden die von den jeweiligen Zahlungskartenunternehmen
                        verwendeten Bezeichnungen aufgeführt:
                            •   CAV Card Authentication Value (JCB-Zahlungskarten)
                            •   CVC Card Validation Code (MasterCard-Zahlungskarten)
                            •   CVV Card Verification Value (Visa- und Discover-Zahlungskarten)
                            •   CSC Card Security Code (American Express-Zahlungskarten)
                        Hinweis: Der zweite Typ von Kartenprüfwert oder -code ist die dreistellige
                        Zahl, die im Signaturfeld auf der Rückseite der Kreditkarte rechts neben der
                        Kreditkartennummer zu finden ist. Bei American Express-Karten ist der Code
                        eine vierstellige, ungeprägte Zahl über der Kartennummer auf der
                        Vorderseite der Zahlungskarte. Der Code ist der jeweiligen Karte eindeutig
                        zugeordnet und stellt das Bindeglied zwischen Kontonummer und Karte dar.
                        Hier eine Übersicht:

                            •   CID Card Identification Number (American Express- und Discover-
                                Zahlungskarten)
                            •   CAV2 Card Authentication Value 2 (JCB-Zahlungskarten)
                            •   CVC2 Card Validation Code 2 (MasterCard-Zahlungskarten)
                            •   CVV2 Card Verification Value 2 (Visa-Zahlungskarten)

Glossar, Abkürzungen und Akronyme                                                                   3
Begriff                Definition

 Ersatzkontrollen       Ersatzkontrollen können in Erwägung gezogen werden, wenn eine Entität
                        eine explizite Anforderung aufgrund von legitimen technischen oder
                        dokumentierten geschäftlichen Beschränkungen nicht erfüllen kann, das mit
                        der Anforderung verbundene Risiko durch die Implementierung anderer
                        Kontrollen jedoch ausreichend eingedämmt hat. Ersatzkontrollen müssen 1)
                        Zweck und Stringenz der ursprünglich angegebenen PCI DSS-Anforderung
                        erfüllen, 2) einen Angriffsversuch in ähnlichem Umfang abwehren, 3) andere
                        PCI DSS-Anforderungen nicht nur erfüllen, sondern übertreffen, und 4) das
                        mit der Nichterfüllung der PCI DSS-Anforderungen verbundene Risiko
                        ausgleichen.
 CIS                    Center for Internet Security. Gemeinnütziges Unternehmen zur
                        Unterstützung von Organisationen bei der Reduzierung des Risikos von
                        Geschäfts- und E-Commerce-Unterbrechungen aufgrund unzulänglicher
                        technischer Sicherheitskontrollen.
 Sicherheitsgefährdun   Eindringen in ein Computersystem, wobei nicht autorisierte Offenlegung,
 g                      Änderung oder Zerstörung von Karteninhaberdaten vermutet wird.
 Konsole                Bildschirm und Tastatur für den Zugriff auf bzw. die Steuerung von Server
                        bzw. Mainframecomputer in einer Netzwerkumgebung.
 Kunde                  Person, die Waren, Dienste oder beides erwirbt.
 Cookies                Datenzeichenfolge, die zwischen einem Webserver und einem Webbrowser
                        zur Aufrechterhaltung einer Sitzung ausgetauscht wird. Cookies können
                        Benutzereinstellungen und persönliche Informationen enthalten.
                        Disziplin der Mathematik und Informatik, die sich mit Informationssicherheit
 Kryptografie
                        und ähnlichen Themen befasst, insbesondere mit Verschlüsselung und
                        Authentifizierung sowie Anwendungen wie. Im Bereich der Computer- und
                        Netzwerksicherheit dient die Kryptografie der Zugriffssteuerung und dem
                        Datenschutz.
 Datenbank              Strukturiertes Format zur Organisation und Verwaltung einfach abrufbarer
                        Informationen. Beispiele für einfache Datenbanken sind Tabellen und
                        Kalkulationstabellen.
 Data Base              Datenbankadministrator. Person, die für die Verwaltung von Datenbanken
 Administrator (DBA)    verantwortlich ist.
 DBA (Doing Business    Firmenname. Die Ebenen der Erfüllungsüberprüfung basieren auf dem
 As)                    Transaktionsvolumen eines DBA oder einer Einzelhandelskette (nicht auf
                        dem eines Konzerns, der über mehrere Ketten verfügt).
 Standardkonten         Vordefiniertes Systemanmeldekonto in einem ausgelieferten System, das
                        bei Erstinbetriebnahme den ersten Zugriff ermöglicht.
 Standardkennwort       Bei Auslieferung festgelegtes Kennwort für Systemadministrator- oder
                        Dienstkonten; ist gewöhnlich dem Standardkonto zugeordnet.
                        Standardkonten und -kennwörter werden veröffentlicht und sind allgemein
                        bekannt.
 DES                    Data Encryption Standard (DES). Blockcodierung, die 1976 als offizieller
                        Federal Information Processing Standard (FIPS) für die USA gewählt wurde.
                        Nachfolger ist der Advanced Encryption Standard (AES).

Glossar, Abkürzungen und Akronyme                                                                      4
Begriff                Definition

 DMZ                    Demilitarized Zone (Entmilitarisierte Zone). Als zusätzliche
                        Sicherheitsschicht zwischengeschaltetes Netzwerk zwischen einem privatem
                        und einem öffentlichem Netzwerk.
 DNS                    Domain Name System oder Domain Name Service. System zum Speichern
                        von Informationen, die mit Domänennamen in einer verteilten Datenbank in
                        Netzwerken, z. B. dem Internet, verknüpft ist.
 DSS                    Data Security Standard
 Vier- oder             Verfahren, bei dem mindestens zwei verschiedene Entitäten (normalerweise
 Sechsaugenprinzip      Personen) gemeinsam tätig sind, um vertrauliche Funktionen bzw.
                        Informationen zu schützen. Beide Entitäten sind gleichermaßen
                        verantwortlich für den physischen Schutz von Materialien, die in anfälligen
                        Transaktionen eingesetzt werden. Für Einzelpersonen dürfen diese
                        Materialien (z. B. den kryptografischen Schlüssel) nicht zugänglich sein.
                        Beim manuellen Generieren, Übertragen, Laden, Speichern und Abrufen
                        von Schlüsseln nach dem Vier- oder Sechsaugenprinzip sind mindestens
                        zwei Personen erforderlich, die nur ihren Teil des Schlüssels kennen, um
                        den gesamten Schlüssel rekonstruieren zu können. Siehe auch „Split-
                        Knowledge-Prinzip“.
 ECC                    Elliptic Curve Cryptography (Kryptografie mit elliptischen Kurven).
                        Kryptografieverfahren für öffentliche Schlüssel basierend auf elliptischen
                        Kurven über endliche Felder.
 Egress                 Ausgehender Datenverkehr eines Netzwerks, der über eine
                        Kommunikationsverbindung in das Netzwerk des Kunden gelangt.
 Verschlüsselung        Umwandlung von Informationen in eine nicht lesbare Form, die nur mithilfe
                        eines bestimmten kryptografischen Schlüssels entschlüsselt werden kann.
                        Anhand von Verschlüsselung können Informationen zwischen dem
                        Verschlüsselungs- und dem Entschlüsselungsvorgang (dem Gegenteil von
                        Verschlüsselung) vor nicht autorisierter Offenlegung geschützt werden.
 FIPS                   Federal Information Processing Standard
 Firewall               Hardware, Software oder beides zum Schutz von Ressourcen in einem
                        Netzwerk vor Eindringlingen aus anderen Netzwerken. Jedes Unternehmen
                        mit einem Intranet, über das Mitarbeiter auf das Internet zugreifen können,
                        sollte über eine Firewall verfügen, um den Zugriff auf interne, private
                        Datenressourcen durch externe Personen zu verhindern.
 FTP                    File Transfer Protocol
 GPRS                   General Packet Radio Service (Allgemeiner paketorientierter Funkdienst).
                        Mobiler Datendienst, der Benutzern von GSM-Mobiltelefonen zur Verfügung
                        steht. Ist für die effiziente Nutzung begrenzter Bandbreite bekannt. GPRS ist
                        insbesondere für das Senden und Empfangen kleiner Datenmengen
                        geeignet, z. B. für E-Mails und Webbrowsing.
 GSM                    Global System for Mobile Communications. Bekannter Standard für
                        Mobiltelefone. Aufgrund der Verbreitung des GSM-Standards ist
                        internationales Roaming zwischen verschiedenen Mobilfunkanbietern
                        inzwischen gang und gäbe und gibt Benutzern so die Möglichkeit, ihre
                        Mobiltelefone in vielen Teilen der Welt zu verwenden.

Glossar, Abkürzungen und Akronyme                                                                       5
Begriff                 Definition

 Host                    Hauptcomputerhardware, auf der sich Computersoftware befindet.
 Hostinganbieter         Bieten Händlern und anderen Dienstanbietern verschiedene Dienste an.
                         Dabei kann es sich sowohl um einfache als auch um komplexe Dienste
                         handeln: von gemeinsam genutztem Speicherplatz auf einem Server über
                         eine Reihe von „Einkaufswagen“-Optionen und Zahlungsanwendungen bis
                         hin zu Verbindungen zu Zahlungsgateways und -prozessoren und dem
                         dedizierten Hosting von nur einem Kunden pro Server.
 HTTP                    Hypertext Transfer Protocol. Offenes Internetprotokoll zur Übertragung von
                         Informationen im World Wide Web.
 ID                      Identität
 IDS/IPS                 Intrusion Detection System/Intrusion Prevention System. Wird zur
                         Identifizierung und Warnung vor Angriffsversuchen auf Netzwerke oder
                         Systeme verwendet. Es besteht aus Sensoren, die Sicherheitsereignisse
                         generieren, einer Konsole, die Ereignisse und Warnungen überwacht und
                         die Sensoren kontrolliert sowie einem zentralen Modul, das die von den
                         Sensoren protokollierten Ereignisse in einer Datenbank protokolliert. Es
                         verwendet ein Regelsystem, um bei erkannten Sicherheitsereignissen
                         Warnungen zu generieren. Durch ein IPS wird zudem der Eindringversuch
                         verhindert.
 IETF                    Internet Engineering Task Force. Große offene internationale Community
                         von Netzwerkdesignern, Betreibern, Anbietern und Forschern, die sich mit
                         der Entwicklung der Internet-Architektur und dem reibungslosen Betrieb des
                         Internets beschäftigt. Diese Community steht allen Interessierten offen.
 Informationssicherhei   Schutz von Informationen zur Gewährleistung von Vertraulichkeit, Integrität
 t                       und Verfügbarkeit.
 Informationssystem      Diskreter Satz strukturierter Datenressourcen, der zur Erfassung,
                         Verarbeitung, Verwaltung, Verwendung, gemeinsamen Nutzung,
                         Verbreitung oder Anordnung von Informationen verwendet wird.
 Ingress                 Eingehender Datenverkehr, der über eine Kommunikationsverbindung und
                         das Netzwerk des Kunden in das Netzwerk gelangt.
 Intrusion Detection     Siehe IDS.
 Systems
 IP                      Internet Protocol. Netzwerkprotokoll, das Adress- und einige
                         Steuerungslinformationen enthält, mit deren Hilfe Pakete weitergeleitet
                         werden können. IP ist das primäre Netzwerkprotokoll unter den
                         Internetprotokollen.
 IP-Adresse              Numerischer Code, der zur eindeutigen Identifizierung eines Computers im
                         Internet dient.
 IP-Spoofing             Von Eindringlingen verwendetes Verfahren, um sich unbefugten Zugriff auf
                         Computer zu verschaffen. Der Eindringling sendet trügerische Mitteilungen
                         an einen Computer mit einer IP-Adresse, die scheinbar von einem vertrauten
                         Host stammt.

Glossar, Abkürzungen und Akronyme                                                                      6
Begriff                Definition

 IPSEC                  Internet Protocol Security. Standard zur Sicherung von IP-Kommunikation
                        durch Verschlüsselung und/oder Authentifizierung aller IP-Pakete. IPSEC
                        bietet Sicherheit auf Netzwerkebene.
 ISO                    International Organization for Standardization. Internationale
                        Nichtregierungsorganisation von Normungsinstituten aus über 150 Ländern
                        mit einem Vertreter pro Land. Die Zentrale der Organisation befindet sich in
                        Genf, von wo aus das System koordiniert wird.
 ISO 8583               Etablierter Standard für die Kommunikation zwischen Finanzsystemen.
 Schlüssel              In der Kryptografie ist ein Schlüssel ein Algorithmuswert, der auf
                        unverschlüsselten Text angewendet wird, um diesen zu verschlüsseln. Die
                        Länge des Schlüssels bestimmt in der Regel, wie schwierig die
                        Entschlüsselung des Textes der jeweiligen Mitteilung ist.
 L2TP                   Layer 2 Tunneling Protocol. Protokoll zur Unterstützung von VPNs (Virtual
                        Private Networks).
 LAN                    Local Area Network. Kleines Computernetzwerk – oft in einem Gebäude
                        oder in mehreren Gebäuden.
 LPAR                   Logical Partition. Abschnitt einer Festplatte, der nicht zu den primären
                        Partitionen gehört. Er wird in einem Datenblock definiert, auf den die
                        erweiterte Partition verweist.
 MAC                    Message Authentication Code
 Magnetstreifendaten    Im Magnetstreifen verschlüsselte Daten, die bei Transaktionen zur
 (Spurdaten)            Autorisierung verwendet werden, wenn die Karte in physischer Form
                        verwendet wird. Diese Magnetstreifendaten müssen nach der
                        Transaktionsautorisierung von den Entitäten nicht in vollständiger Form
                        aufbewahrt werden. Dies bedeutet insbesondere, dass Servicecodes,
                        verfügbare Daten/Kartenprüfwert/-code und firmeneigene, reservierte Werte
                        nach der Autorisierung gelöscht werden müssen, während die
                        Kontonummer, das Ablaufdatum, der Name und der Servicecode je nach
                        geschäftlichem Bedarf extrahiert und gespeichert werden können.
 Malware                Bösartige Software. Sie wird in der Regel zur Infiltration oder Beschädigung
                        eines Computersystems ohne Wissen oder Erlaubnis des Inhabers
                        missbraucht.
 Überwachung            Kontinuierliche Beaufsichtigung eines Computernetzwerks durch ein
                        System. Dabei werden u. a. langsame Systeme oder Systemausfälle
                        überwacht und der Benutzer im Fall von Ausfällen oder anderen Alarmen
                        benachrichtigt.
 MPLS                   Multi Protocol Label Switching
 NAT                    Network Address Translation. Wird auch als Netzwerkmaskierung oder IP-
                        Maskierung bezeichnet. Änderung einer in einem Netzwerk verwendeten IP-
                        Adresse in eine andere IP-Adresse, die in einem anderen Netzwerk bekannt
                        ist.
 Netzwerk               Zwei oder mehr Computer, die zur gemeinsamen Ressourcennutzung
                        miteinander verbunden sind.

Glossar, Abkürzungen und Akronyme                                                                      7
Begriff                Definition

 Netzwerkkomponente     Zu Netzwerkkomponenten gehören u. a. Firewalls, Switches, Router,
 n                      drahtlose Zugriffspunkte, Netzwerkgeräte und sonstige
                        Sicherheitsvorrichtungen.
 Network Security       Automatisches Tool, das Händler- bzw. Dienstanbietersysteme über eine
 Scan                   Remoteverbindung auf Sicherheitsrisiken überprüft. Nicht intrusiver Test, bei
                        dem Systeme mit externer Verbindung basierend auf IP-Adressen mit
                        externer Verbindung abgesucht werden und über Dienste, die im externen
                        Netzwerk verfügbar sind (d. h. Dienste, die im Internet verfügbar sind),
                        Bericht erstattet wird. Sicherheitsrisiken in Betriebssystemen, Diensten und
                        Geräten, die von Hackern für Angriffe auf das private
                        Unternehmensnetzwerk verwendet werden können, werden durch Scans
                        ermittelt.
 NIST                   National Institute of Standards and Technology. Nicht-regulative Behörde
                        der technologischen Administration des US-Handelsministeriums. Ziel dieser
                        Behörde ist es, die Innovation und industrielle Wettbewerbsfähigkeit der
                        USA durch Unterstützung von Messwissenschaft, Standards und
                        Technologie zu fördern und so die wirtschaftliche Stabilität und den
                        Lebensstandard zu verbessern.
 Benutzer, die keine    Alle Personen, außer Kunden, die auf Systeme zugreifen, u. a. Mitarbeiter,
 Kunden sind            Administratoren und Dritte.
 NTP                    Protokoll zur Synchronisation der Uhren von Computersystemen über
                        paketgeschaltete Datennetzwerke mit variabler Wartezeit.
 OWASP                  Open Web Application Security Project (siehe http://www.owasp.org)
 Zahlungskarteninhab    Der Teil des Netzwerks, in dem Karteinhaberdaten bzw. vertrauliche
 er-Datenumgebung       Authentifizierungsdaten gespeichert sind.
 PAN                    Primary Account Number. Die Zahlungskartennummer (Kredit- oder
                        Debitkarte), die den Kartenaussteller und das jeweilige Karteninhaberkonto
                        identifiziert. Sie wird auch Kontonummer als Kontonummer bezeichnet.
 Kennwort               Eine Zeichenfolge, die als Echtheitsbestätigung des Benutzers dient.
 PAD                    Packet Assembler/Disassembler. Kommunikationsgerät, das ausgehende
                        Daten formatiert und Daten aus eingehenden Paketen extrahiert. In der
                        Kryptografie ist der One-Time-PAD ein Verschlüsselungsalgorithmus mit
                        einer Kombination aus Text und einem Zufallsschlüssel oder „PAD“, der die
                        gleiche Länge wie der Klartext hat und nur einmal verwendet wird. Wenn der
                        Schlüssel außerdem wirklich zufallsgeneriert ist, niemals wieder verwendet
                        und streng vertraulich behandelt wird, ist der One-Time-PAD nicht zu
                        entschlüsseln.
 PAT                    Port Address Translation. Feature eines (NAT) Network Address
                        Translation)-Geräts, das TCP (Transmission Control Protocol)- oder UDP
                        (User Datagram Protocol)-Verbindungen mit einem Host und Anschluss
                        eines externen Netzwerks in Verbindungen mit einem Host und Anschluss
                        eines internen Netzwerks übersetzt.

Glossar, Abkürzungen und Akronyme                                                                       8
Begriff                 Definition

 Patch                   Schnelle Reparatur eines Programmabschnitts. Treten während der Beta-
                         bzw. Testphase oder nach der formellen Herausgabe der Produktversion
                         Probleme auf, wird Benutzern als Schnelllösung ein Patch zur Verfügung
                         gestellt.
 PCI                     Payment Card Industry
 Penetration             Erfolgreiche Umgehung von Sicherheitsmechanismen und Erlangen des
                         Zugriffs auf ein Computersystem.
 Penetrationstest        Sicherheitsorientiertes Absuchen eines Computersystems oder Netzwerks,
                         um Sicherheitsrisiken zu ermitteln, die von Hackern ausgenutzt werden
                         können. Darüber hinaus können diese Tests auch tatsächliche
                         Penetrationsversuche beinhalten. Ziel eines Penetrationstests ist es,
                         Sicherheitsrisiken zu ermitteln und Verbesserungen der Sicherheit zu
                         empfehlen.
 PIN                     Personal Identification Number
 Richtlinie              Unternehmensweite Regeln in Bezug auf zulässige Nutzung von
                         Computerressourcen, Sicherheitspraktiken und Anleitung bei der
                         Entwicklung betrieblicher Prozeduren.
 POS                     Point-of-Sale
 Prozedur                Beschreibende Schilderung einer Richtlinie. Eine Prozedur beschreibt die
                         Umsetzung und Durchführung einer Richtlinie.
 Protokoll               Vereinbartes Kommunikationsverfahren innerhalb von Netzwerken.
                         Spezifikation, die die Regeln und Prozeduren beschreibt, die von
                         Computerprodukten bei Aktivitäten in einem Netzwerk befolgt werden
                         sollten.
 Öffentliches Netzwerk   Ein von einem Telekommunikationsanbieter oder einem anerkannten
                         Privatunternehmen eingerichtetes und betriebenes Netzwerk, das dem
                         Zweck dient, Datenübertragungsdienste für die Öffentlichkeit bereitzustellen.
                         Die Daten müssen für die Übertragung über öffentliche Netzwerke
                         verschlüsselt werden, da Hacker sie mühelos abfangen, ändern und
                         umleiten können. Beispiele für öffentliche Netzwerke, die dem PCI DSS-
                         Standard entsprechen, sind das Internet, GPRS und GSM.
 PVV                     PIN Verification Value. Codierung auf dem Magnetstreifen einer
                         Zahlungskarte.
 RADIUS                  Remote Authentication and Dial-In User Service. Authentifizierungs- und
                         Accounting-System. Überprüft die Richtigkeit von an den RADIUS-Server
                         geleiteten Benutzernamen und Kennwörtern und autorisiert anschließend
                         den Zugriff auf das System.
 RFC                     Request for Comments (Aufforderung zu Kommentaren)
 Neuverschlüsselung      Änderung der kryptografischen Schlüssel, um den Umfang der mit dem
                         gleichen Schlüssel zu verschlüsselnden Daten zu begrenzen.

Glossar, Abkürzungen und Akronyme                                                                        9
Begriff                 Definition

 Risikoanalyse           Vorgang, bei dem wertvolle Systemressourcen und Bedrohungen
                         systematisch identifiziert und Verlustpotenziale basierend auf geschätzten
                         Vorkommenshäufigkeiten und -kosten quantifiziert werden. Auf Wunsch
                         kann dieser Vorgang auch Empfehlungen zur Zuweisung von Ressourcen
                         für Gegenmaßnahmen umfassen, um das Risiko einer systemweiten
                         Gefährdung zu minimieren. Risikobewertung.
 Router                  Hardware oder Software, mit der zwei oder mehr Netzwerke miteinander
                         verbunden werden. Dient als Sortierer und Interpreter und leitet
                         Informationsabschnitte anhand von Adressen an ihre jeweiligen Zielorte.
                         Softwarerouter werden manchmal auch als Gateways bezeichnet.
 RSA                     Algorithmus für die Verschlüsselung öffentlicher Schlüssel, der 1977 von
                         Ron Rivest, Adi Shamir und Len Adleman vom Massachusetts Institute of
                         Technology (MIT) beschrieben wurde. Der Name des Algorithmus (RSA)
                         ergibt sich aus den Anfangsbuchstaben ihrer Nachnamen.
 Entschärfung            Löschen vertraulicher Daten aus einer Datei, einem Gerät oder einem
                         System bzw. Änderung von Daten, um sie für Angreifer unbrauchbar zu
                         machen.
 SANS                    SysAdmin, Audit, Network, Security Institute (siehe www.sans.org)
 Sicherheitsbeauftragt   Hauptverantwortlicher für sicherheitsrelevante Angelegenheiten in einem
 er                      Unternehmen.
 Sicherheitsrichtlinie   Reihe von Gesetzen, Regeln und Praktiken, die die Verwaltung, den Schutz
                         und die Verteilung von vertraulichen Informationen innerhalb eines
                         Unternehmens regeln.
 Vertrauliche            Sicherheitsinformationen (Kartenprüfcodes/-werte, vollständige Spurdaten,
 Authentifizierungsdat   PINs und PIN-Blöcke), die zur Authentifizierung von Karteninhabern
 en                      verwendet werden und als Klartext oder in anderer ungeschützter Form
                         auftreten. Die Offenlegung, Änderung oder Vernichtung dieser Informationen
                         kann die Sicherheit von Verschlüsselungsgeräten, Informationssystemen
                         oder Karteninhaberdaten gefährden oder für betrügerische Transaktionen
                         verwendet werden.
 Aufgabentrennung        Aufteilung von Aufgaben in einer Funktion auf verschiedene Einzelpersonen,
                         sodass keine dieser Personen allein den Prozess sabotieren kann.
                         Computer, der anderen Computern Dienste zur Verfügung stellt, z. B.
 Server
                         Kommunikationsverarbeitung, Dateispeicherung oder Zugriff auf eine
                         Druckeinrichtung. Zu den Servertypen gehören u. a. Web-, Datenbank,
                         Authentifizierungs-, DNS-, Mail-, Proxy- und NTP-Server.

 Servicecode             Drei- oder vierstellige Zahl auf dem Magnetstreifen einer Karte, die die
                         Akzeptanzanforderungen und -einschränkungen bei einer
                         Magnetstreifentransaktion festlegt.

Glossar, Abkürzungen und Akronyme                                                                     10
Begriff                Definition

 Dienstanbieter         Geschäftsentität, die weder Kreditkartengesellschaft noch Händler ist und
                        somit nicht direkt an der Verarbeitung, Speicherung, Übertragung und
                        Vermittlung von Transaktionsdaten und/oder Karteninhaberinformationen
                        beteiligt ist. Dazu gehören auch Unternehmen, die Händlern,
                        Dienstanbietern oder Mitgliedern Dienste anbieten, die die Sicherheit von
                        Karteninhaberdaten kontrollieren oder sich darauf auswirken können.
                        Beispiele umfassen Managed Service-Anbieter, die verwaltete Firewalls, IDS
                        und andere Dienste anbieten, sowie Hostinganbieter und andere Entitäten.
                        Entitäten wie Telekommunikationsunternehmen, die nur
                        Kommunikationsverbindungen ohne Zugriff auf die Anwendungsebene der
                        Kommunikationsverbindungen bereitstellen, gehören nicht zu dieser Gruppe.
 SHA                    Secure Hash Algorithm. Ein Satz miteinander verwandter kryptografischer
                        Hash-Funktionen. SHA-1 ist die am häufigsten verwendete Funktion. Durch
                        die Verwendung eines eindeutigen Streuwertes bei der Hash-Funktion wird
                        das Risiko von identischen Hash-Werten verringert.
 SNMP                   Simple Network Management Protocol. Unterstützt die Überwachung von
                        Geräten in einem Netzwerk auf jegliche Zustände, die die Aufmerksamkeit
                        eines Administratoren erfordern.
 „Split-Knowledge-      Sicherheitsvorkehrung, bei der zwei oder mehr Entitäten separate
 Prinzip“               Schlüsselkomponenten kennen, die nur zusammen den kryptografischen
                        Schlüssel ergeben.
 SQL                    Structured Query Language. Computersprache zum Erstellen, Ändern und
                        Abrufen von Daten aus relationalen Datenverwaltungssystemen.
 SQL-Injektion          Form eines Angriffs auf eine datenbankgesteuerte Website. Dabei nutzt der
                        Angreifer einen unsicheren Code auf einem mit dem Internet verbundenen
                        System aus, um nicht autorisierte SQL-Befehle auszuführen. Bei Angriffen
                        mit SQL-Injektion können Eindringlinge normalerweise unzugängliche
                        Informationen aus einer Datenbank entwenden und/oder sich über den
                        Computer, der die Datenbank hostet, Zugriff auf die Hostcomputer einer
                        Organisation verschaffen.
 SSH                    Secure Shell. Protokolle zur Verschlüsselung von Netzwerkdiensten, z. B.
                        Remoteanmeldung oder Remotedatenübertragung.
 SSID                   Service Set Identifier. Name, der einem drahtlosen WiFi- oder IEEE 802.11-
                        Netzwerk zugewiesen wird.
 SSL                    Secure Sockets Layer. Etablierter Industriestandard, nach dem der Kanal
                        zwischen Webbrowser und Webserver verschlüsselt wird, um eine
                        vertrauliche und zuverlässige Datenübertragung über diesen Kanal zu
                        gewährleisten.

Glossar, Abkürzungen und Akronyme                                                                  11
Begriff                Definition

 Starke Kryptografie    Allgemeiner Begriff für extrem schwer zu analysierende Kryptografie. Das
                        heißt, der kryptografische Schlüssel bzw. die geschützten Daten werden
                        aufgrund der kryptografischen Methode (Algorithmus oder Protokoll) nicht
                        verfügbar gemacht. Die Stärke ist vom verwendeten kryptografischen
                        Schlüssel abhängig. Die effektive Länge des Schlüssels sollte mit der
                        Mindestlänge der Schlüssel aus vergleichbaren Empfehlungen für die
                        Mindestschlüssellänge übereinstimmen. Als Quellen für die empfohlene
                        Mindeststärke dienen die NIST Special Publication 800-57, August 2005
                        (http://csrc.nist.gov/publications/), und andere Empfehlungen, die folgende
                        vergleichbare Sicherheitsanforderungen für Mindestschlüssellängen erfüllen:
                            •   80 Bit für Systeme, die auf der Verschlüsselung durch geheime
                                Schlüssel basieren (z. B. TDES)
                            •   1024-Bit-Modulo für Algorithmen öffentlicher Schlüssel basierend
                                auf Faktorisierung (z. B. RSA)
                            •   1024 Bit für den diskreten Logarithmus (z. B. Diffie-Hellman) mit
                                einer Mindestgröße von 160 Bit einer großen Untergruppe (z. B.
                                DSA)

                            •   160 Bit für Kryptografie mit elliptischen Kurven (z. B. ECDSA)
 Systemkomponenten      Beliebige Netzwerkkomponenten, Server oder Anwendungen, die in die
                        Karteninhaberdaten-Umgebung eingebunden oder mit ihr verbunden sind.
 TACACS                 Terminal Access Controller Access Control System.
                        Remoteauthentifizierungsprotokoll.
 Fälschungssicherheit   System, bei dem Änderungen oder Beschädigungen selbst für einen
                        Angreifer mit physischem Zugriff auf das System schwierig vorzunehmen
                        sind.
 TCP                    Transmission Control Protocol
 TDES                   Triple Data Encription Standard – wird auch als 3DES bezeichnet.
                        Blockcodierung, die aus der DES-Codierung durch dreimalige Verwendung
                        gebildet wird.
 TELNET                 TELephone NETwork (Telefonnetzwerk-Protokoll). Wird in der Regel zur
                        Bereitstellung von benutzerorientierten Befehlszeilen-Anmeldesitzungen
                        zwischen Hosts im Internet verwendet. Programm, das ursprünglich zur
                        Emulation eines einzelnen Terminals entwickelt wurde, das mit dem anderen
                        Computer verbunden ist.
 Bedrohung              Zustand, durch den Informationen oder
                        Informationsverarbeitungsressourcen absichtlich oder versehentlich verloren
                        gehen bzw. geändert, verfügbar gemacht oder unzugänglich gemacht oder
                        auf andere für das Unternehmen schädigende Weise beeinträchtigt werden.
 TLS                    Transport Layer Security. Wurde mit dem Ziel entwickelt, Datensicherheit
                        und -integrität zwischen zwei kommunizierenden Anwendungen zu
                        gewährleisten. TLS ist der Nachfolger von SSL.
 Token                  Vorrichtung zur dynamischen Authentifizierung.
 Transaktionsdaten      Daten im Zusammenhang mit elektronischem Zahlungsverkehr.

Glossar, Abkürzungen und Akronyme                                                                   12
Begriff                Definition

 Abschneiden            Entfernen von Datensegmenten. Beim Abschneiden von Kontonummern
                        werden in der Regel die ersten 12 Ziffern gelöscht, während nur die letzten
                        vier Ziffern verbleiben.
 2-Faktoren-            Authentifizierung, bei der Benutzer zwei Anmeldeinformationen angeben
 Authentifizierung      müssen, um Zugriff auf ein System zu erhalten. Anmeldeinformationen
                        bestehen aus einem physischen Element, z. B. Smartcards oder
                        Hardwaretoken, und einer abstrakten Komponente, z. B. einem Kennwort.
                        Um Zugriff auf ein System zu erhalten, muss der Benutzer beide Elemente
                        vorweisen können.
 UDP                    User Datagram Protocol.
 Benutzer-ID            Eine Zeichenfolge, die zur eindeutigen Identifizierung eines Benutzers in
                        einem System dient.
 Virus                  Programm oder Codeabschnitt, die sich vervielfachen und Software oder
                        Daten ändern oder zerstören können.
 VPN                    Virtual Private Network. Privates Netzwerk, das über einem öffentlichen
                        Netzwerk eingerichtet wurde.
 Sicherheitsrisiko      Schwachstelle in Systemsicherheitsprozeduren, Systemdesign,
                        Implementierung oder internen Kontrollen, die zur Verletzung der
                        Sicherheitsrichtlinien des Systems ausgenutzt werden kann.
 Schwachstellenscan     Scans, die zur Ermittlung von Sicherheitsrisiken in Betriebssystemen,
                        Diensten und Geräten durchgeführt werden, die von Hackern für Angriffe auf
                        das private Unternehmensnetzwerk verwendet werden können.
 WEP                    Wired Equivalent Privacy. Protokoll, das zufälliges Mithören verhindert und
                        mit herkömmlichen drahtgebundenen Netzwerken vergleichbare
                        Vertraulichkeit gewährleisten soll. Bietet keine adäquate Sicherheit gegen
                        vorsätzliches Mithören (z. B. bei der Kryptoanalyse).
 WPA                    WiFi Protected Access (WPA und WPA2). Sicherheitsprotokoll für drahtlose
                        (WiFi-) Netzwerke. Wurde wegen mehrerer schwerwiegender
                        Schwachstellen im WEP-Protokoll entwickelt.
 XSS                    Cross-Site-Scripting. Ein Typ von Sicherheitsrisiko, das in der Regel in
                        Webanwendungen auftritt. Kann von Angreifern dazu verwendet werden,
                        höhere Berechtigungen für vertrauliche Inhalte, Sitzungscookies und eine
                        Reihe anderer Objekte zu erlangen.

Glossar, Abkürzungen und Akronyme                                                                     13
Sie können auch lesen