Das Glossar.

Microsofts Enterprise-Directory und -Authentifizierungsdienst. In den meisten Enterprise-Umfeldern die reichhaltigste Angriffsfläche, mit etablierten Kill-Chains vom niedrigprivilegierten User zum Domain Admin.

Siehe auch Kerberos, LDAP, Privilege Escalation, Lateral Movement

Eine Red-Team-Variante, in der die Operatoren einen spezifischen benannten Threat-Actor imitieren — seine TTPs, Tooling, Infrastruktur-Muster — um zu prüfen, ob speziell auf diesen Actor abgestimmte Defenses ihn tatsächlich erkennen.

Siehe auch Red Team, MITRE ATT&CK, APT

EU-Verordnung (2024/1689), die KI-Systeme nach Risiko-Tier mit entsprechenden Pflichten klassifiziert. Cybersicherheits-Pflichten gelten für Hochrisiko-Systeme und General-Purpose-AI-Modelle.

Siehe auch CRA, GDPR / DSGVO

Eine verwaltete Eingangstür für APIs — übernimmt Authentifizierung, Rate Limiting, Request-Routing und Observability. Wo der Großteil des modernen Web-Traffics tatsächlich zuerst auf ein Sicherheits-Control trifft.

Siehe auch WAF, OAuth 2.0, JWT

Ein Threat-Actor, charakterisiert durch nachhaltige, gut ausgestattete, mehrstufige Operationen gegen spezifische Ziele — typischerweise staatsnah oder staatlich gesponsert. Der Begriff wird inflationär verwendet; die Bedeutung ist operativ, nicht juristisch.

Siehe auch Threat Actor, Adversary Emulation, TTP

Ein Engagement, das innerhalb des Perimeters startet — beispielsweise mit einer angreifer-kontrollierten Workstation — um die (bereits getestete) externe Oberfläche zu umgehen und sich auf Lateral Movement und Blast Radius zu konzentrieren.

Siehe auch Red Team, Lateral Movement, Blue Team

Erreichen eines authentifizierten Zustands ohne gültige Zugangsdaten — über Logikfehler, hardcodierte Credentials, Mass-Assignment oder Session-Handling-Defekte.

Siehe auch Session Fixation, JWT

Die integrierte deutsche Aufsicht für Banken, Versicherer, Zahlungsdienstleister und Wertpapiermärkte. Veröffentlicht die BAIT/VAIT/KAIT/ZAIT-Anforderungen und ist die nationale Zuständigkeitsbehörde unter DORA.

Siehe auch BAIT, VAIT, KAIT, ZAIT, DORA, MaRisk

Die IT-Aufsichtsanforderungen der BaFin für Kreditinstitute — IT-Governance, Informationssicherheit, Identitäts- und Berechtigungsmanagement, Auslagerung. Der Auslegungsrahmen für §25a KWG.

Siehe auch BaFin, VAIT, MaRisk, DORA

Tests aus der Perspektive eines externen Angreifers — ohne internes Wissen, Zugänge oder Quellcode. Maximiert Realismus, minimiert Tiefe pro Zeiteinheit.

Siehe auch White Box Testing, Grey Box Testing, Assumed Breach

Das defensive Gegenstück zum Red Team — die Personen, das Tooling und die Detektionen, die schützen, überwachen und reagieren. Im Übungskontext: das getestete Team.

Siehe auch Red Team, Purple Team, SOC

Die deutsche Bundesbehörde für Cybersicherheit. Definiert technische Baselines (IT-Grundschutz, C5), zertifiziert Produkte und Personen, beaufsichtigt KRITIS-Betreiber und ist nationale NIS2-Zuständigkeitsbehörde.

Siehe auch KRITIS, BSI IT-Grundschutz, BSI C5, NIS2

Ein vom BSI veröffentlichter Audit-Katalog für Cloud-Service-Provider, der zunehmend von deutschen öffentlichen Stellen und regulierten Kunden beim Cloud-Einkauf gefordert wird.

Siehe auch BSI, ISO/IEC 27001

Der modulare Control-Katalog des BSI zum Management von Informationssicherheits-Risiken in deutschen Organisationen. ISO/IEC 27001-kompatibel; üblicher Zertifizierungspfad für öffentliche Stellen und KRITIS-Betreiber.

Siehe auch BSI, ISO/IEC 27001

Ein Programm, das externe Researcher für valide Schwachstellen-Berichte gegen einen definierten Scope vergütet. Ergänzt engagement-basierte Tests, ersetzt sie nicht.

Siehe auch Responsible Disclosure, Penetration Test

Ein Defekt, bei dem jede einzelne Anfrage korrekt authentifiziert und autorisiert wird, die Sequenz oder Kombination der Anfragen jedoch die beabsichtigten Anwendungsregeln verletzt — z. B. ein doppelt angewendeter Rabatt, ein Checkout ohne Zahlung.

Siehe auch IDOR, Race Condition

EU-Richtlinie (2022/2557) zur physischen Resilienz kritischer Einrichtungen — das Nicht-Cyber-Gegenstück zu NIS2.

Siehe auch NIS2, KRITIS

Eine Entität, die digitale Zertifikate ausstellt, nachdem sie die Identität des Antragstellers verifiziert hat. Vertrauen in eine CA ist Vertrauen in ihre Policies, Audits und Schlüssel-Verwahrung.

Siehe auch PKI, TLS

Die automatisierte Pipeline, die Software bei jeder Änderung baut, testet und deployt. Sicherheitsrelevante Engstellen sind Secret-Handling, Supply-Chain-Vertrauen und Verwahrung von Deployment-Keys.

Siehe auch IaC, DevSecOps

Der Kommunikationskanal zwischen einem kompromittierten Host und angreifer-kontrollierter Infrastruktur, der Befehle gibt und Ergebnisse empfängt. Modernes C2 imitiert häufig legitimen Web- oder Cloud-Traffic.

Siehe auch Persistence, Foothold

Injektion angreifer-kontrollierter Kommandos in einen Aufruf, der an die zugrundeliegende Betriebssystem-Shell weitergegeben wird. Führt typischerweise zu sofortiger Remote Code Execution unter dem Anwendungs-Nutzer.

Siehe auch SQL Injection, Insecure Deserialization

Ein leichtgewichtiges, isoliertes Prozess-Bündel, das den Host-Kernel teilt, aber eigenes Dateisystem, Netzwerk und Prozess-Sicht hat. Die Standard-Paketierung für Cloud-native Anwendungen.

Siehe auch Kubernetes (K8s), IaC

Zu großzügige CORS-Header (z. B. `Access-Control-Allow-Origin: *` in Kombination mit Credentials), die angreifer-kontrollierten Origins erlauben, geschützte Responses zu lesen.

Siehe auch XSS, CSRF

EU-Verordnung (2024/2847), die horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt — über Hardware und Software hinweg. Tritt ab 2026 gestaffelt in Kraft.

Siehe auch ENISA, AI Act, NIS2

Der von OWASP umbenannte Sammelbegriff für das, was früher Sensitive Data Exposure hieß: fehlende Verschlüsselung, schwache Algorithmen, schlechtes Key-Management, falsch gehandhabte Zertifikate.

Siehe auch TLS, Hash Function, PKI

Ein Angriff, der den Browser eines authentifizierten Nutzers dazu bringt, eine unbeabsichtigte zustandsändernde Anfrage an eine vertrauenswürdige Anwendung zu senden. Wird durch Anti-Forgery-Tokens oder SameSite-Cookie-Policies abgewehrt.

Siehe auch XSS

Ein Wettbewerbsformat zum Kompetenzaufbau, bei dem Teilnehmer präparierte Challenges exploiten, um versteckte Tokens (Flags) zu bergen. Zwei Hauptvarianten: Jeopardy und Attack-Defense.

Das von MITRE kuratierte Identifier-System für öffentlich bekannt gemachte Schwachstellen. Ein CVE ist ein Name; CVSS ist eine Bewertung; KEV ist ein kuratiertes Subset aktiv ausgenutzter CVEs.

Siehe auch CVSS, CWE, Zero-Day

Ein standardisiertes Severity-Bewertungs-Framework von 0,0 bis 10,0 für Schwachstellen. CVSS 3.1 ist die aktuell verbreitete Version; CVSS 4.0 (2023) ergänzt weitere Kontext-Metriken.

Siehe auch CVE, CWE

Eine von MITRE kuratierte Taxonomie für Software-Schwachstellen-Typen. Wo CVE eine spezifische Instanz benennt, benennt CWE die Klasse, zu der sie gehört.

Siehe auch CVE, CVSS

Ein Sieben-Schritt-Modell einer Intrusion (Recon, Weaponization, Delivery, Exploitation, Installation, Command-and-Control, Actions on Objectives), 2011 von Lockheed Martin eingeführt. Hilfreich für narrative Berichte; weniger granular als ATT&CK.

Siehe auch MITRE ATT&CK, Diamond Model

Eine ICS-Variante für anlagenweite Prozesssteuerung — Raffinerien, Energieerzeugung, Chemiewerke — mit Controllern, HMIs und Engineering-Stations in einem eng integrierten Netzwerk.

Siehe auch ICS, SCADA

Das klassische Prinzip, unabhängige Controls so zu schichten, dass das Versagen einer einzelnen Schicht das System nicht kompromittiert. Komplementär zu Zero Trust — nicht durch es ersetzt.

Siehe auch Zero Trust

Die Praxis, Sicherheitsaktivitäten — Threat Modeling, automatisierte Tests, Dependency-Scanning — in dieselbe Pipeline zu integrieren, die Software baut und deployt.

Siehe auch CI/CD, IaC

Ein analytisches Vier-Knoten-Framework — Adversary, Capability, Infrastructure, Victim — für strukturierte Notizen zu einem einzelnen Intrusion-Event. Ergänzt sich natürlich mit ATT&CK für TTPs.

Siehe auch MITRE ATT&CK, Cyber Kill Chain

Brute-Force-Enumeration von Pfaden und Dateien auf einem Webserver, mit auf den erkannten Stack abgestimmten Wortlisten. Legt versteckte Admin-Panels, Backup-Dateien, Legacy-Endpoints offen.

Siehe auch Fingerprinting

Controls — auf Endpoint-, Netzwerk- und Cloud-Storage-Ebene — die sensible Daten klassifizieren und unerlaubte Transfers blockieren. Wirksam gegen Versehen und nachlässige Insider, umgehbar durch motivierte Angreifer.

Siehe auch Exfiltration

Eine XSS-Variante, bei der der bösartige Payload vollständig im Browser über unsichere DOM-Sinks eingeführt und ausgeführt wird — ohne serverseitige Reflektion.

Siehe auch XSS

EU-Verordnung (2022/2554) für den Finanzsektor, die IKT-Risikomanagement, Vorfallmeldungen, Resilienztests (inklusive TLPT) und die Aufsicht über kritische Drittanbieter harmonisiert. Seit Januar 2025 unmittelbar anwendbar.

Siehe auch NIS2, TLPT, TIBER-EU, BaFin, BAIT, VAIT

Compute und Storage in der Nähe von Datenquellen oder Endnutzern, statt in zentralen Rechenzentren oder Cloud-Regionen. Reduziert Latenz; vervielfacht die physisch zu schützende Angriffsfläche.

Siehe auch IoT, OT

Endpoint-residente Agents, die Prozess-, Datei-, Netzwerk- und Registry-Aktivität beobachten, Telemetrie liefern und Remote-Response-Aktionen ermöglichen. Der Nachfolger des klassischen Antivirus.

Siehe auch XDR, MDR

EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (Signaturen, Siegel, Zeitstempel). eIDAS 2.0 führt die EU Digital Identity Wallet ein.

Siehe auch PKI, Certificate Authority (CA)

Die EU-Agentur für Cybersicherheit. Veröffentlicht Threat-Landscape-Berichte, Zertifizierungsschemata und Umsetzungsleitfäden — u. a. für NIS2, CRA und den Cybersecurity Act.

Siehe auch NIS2, CRA, AI Act

Die gemeinnützige Governance-Organisation für TISAX und ENX, das sichere Branchennetzwerk der Automobilindustrie. Akkreditiert TISAX-Audit-Anbieter und betreibt das Ergebnis-Austauschportal.

Siehe auch TISAX, VDA ISA

Die Auslagerung von Daten aus dem Zielumfeld in angreifer-kontrollierten Speicher. Moderne Exfiltration ist gedrosselt und kanal-getarnt, um Data Loss Prevention zu umgehen.

Siehe auch DLP, Post-Exploitation

Funktionierender Code, der eine Schwachstelle von theoretisch zu praktisch macht — unauthorisierten Zugriff, Ausführung oder Daten zu erlangen. Unterscheidet sich von einem Proof-of-Concept durch Intent und Zuverlässigkeit.

Siehe auch Proof-of-Concept (PoC), Zero-Day, CVE

Identifikation des spezifischen Software-Stacks — Server, Framework, Library-Version — eines Ziels über Header-Muster, Error-Pages, Default-Inhalte oder Verhaltens-Probes.

Siehe auch Reconnaissance, Directory Fuzzing

Eine persistente Präsenz im Zielumfeld, von der aus ein Angreifer operieren kann. Typischerweise ein kompromittierter Host mit zuverlässigem Callback zur angreifer-kontrollierten Infrastruktur.

Siehe auch Initial Access, Command & Control (C2), Persistence

EU-Verordnung 2016/679 über die Verarbeitung personenbezogener Daten. Verlangt technische und organisatorische Maßnahmen, Meldung von Datenpannen innerhalb von 72 Stunden und das Auskunftsrecht der Betroffenen.

Siehe auch LINDDUN, DLP

Tests mit partiellen Informationen — typischerweise authentifizierte Nutzer-Accounts und High-Level-Architektur, aber kein Quellcode. Der häufigste Modus für Anwendungs-Assessments.

Siehe auch Black Box Testing, White Box Testing

Authentifizierungsmaterial, das in Quellcode, Konfigurationsdateien oder Firmware-Images eingebacken ist. Wird durch Secret Manager und Build-Time-Injection beseitigt — nicht durch `.gitignore`.

Siehe auch Misconfiguration, HSM

Eine Einwegfunktion, die beliebige Eingaben auf einen Digest fester Länge abbildet. Sicherheitsrelevante Eigenschaften: Pre-Image-Resistenz, Second-Pre-Image-Resistenz, Kollisionsresistenz.

Siehe auch SHA-256, HMAC, Salt

Eine Konstruktion, die einen kryptografischen Hash mit einem geteilten Geheimnis kombiniert, um einen Message Authentication Code zu erzeugen. Resistent gegen Length-Extension-Angriffe — anders als naives `hash(key || message)`.

Siehe auch Hash Function, SHA-256

Die operatorseitige Anzeige- und Bedienoberfläche eines industriellen Prozesses. Zunehmend browserbasiert, zunehmend denselben Schwachstellenklassen wie Web-Anwendungen ausgesetzt.

Siehe auch SCADA, PLC

Ein absichtlich exponiertes System ohne legitimen Zweck, das Angreifer anlocken soll, sodass deren Verhalten — und Indicators — erfasst werden können. Nützlich für Frühwarnung und Threat Intelligence.

Siehe auch IOC, Threat Hunting

Ein manipulationsresistentes Hardware-Gerät, das kryptografische Schlüssel erzeugt, speichert und einsetzt, ohne das Schlüsselmaterial je in den Host-Speicher zu exponieren. Pflicht für hohe Vertraulichkeitsanforderungen an Schlüsselverwahrung.

Siehe auch PKI, Certificate Authority (CA)

Bereitstellung und Konfiguration von Infrastruktur über maschinenlesbare Definitionen (Terraform, Pulumi, CloudFormation) statt Konsolen-Klicks. Ermöglicht Review und Reproduzierbarkeit.

Siehe auch Container, CI/CD

Die Disziplin und das Tooling für die Verwaltung, wer was in einem System tun darf — User, Gruppen, Rollen, Policies, Sessions. In Cloud-Kontexten die hebelwirksamste Angriffsfläche.

Siehe auch SSO, MFA, Zero Trust

Der Oberbegriff für Systeme, die physische industrielle Prozesse überwachen und steuern — vom einzelnen PLC bis zum anlagenweiten DCS. Das Sicherheitsmodell unterscheidet sich grundlegend von IT: Sicherheit und Verfügbarkeit zuerst, Vertraulichkeit zuletzt.

Siehe auch SCADA, PLC, DCS, OT

Ein Autorisierungsfehler, bei dem ein Nutzer auf Datensätze anderer zugreifen kann, indem er einen Identifier in der Anfrage rät oder verändert — weil der Server zwar Authentifizierung, aber nicht Eigentümerschaft prüft.

Siehe auch Business Logic Flaw, Authentication Bypass

Ein Monitoring-System, das Netzwerk- oder Host-Aktivität beobachtet und Alerts auslöst, wenn sie Angriffssignaturen oder Anomalie-Profilen entspricht. Reine Detektion, kein Blocking.

Siehe auch IPS, SIEM

Der erste Foothold, den ein Angreifer in einem Zielumfeld etabliert — über Phishing, exponierte Credentials, einen ausnutzbaren Dienst oder eine Supply-Chain-Kompromittierung.

Siehe auch Phishing, Foothold, Lateral Movement

Rekonstruktion angreifer-kontrollierter serialisierter Objekte (Java, .NET, PHP, Python), die zu Gadget-Chain-Remote-Code-Execution führt. Ohne Library-Upgrades schwer zu beheben.

Siehe auch Command Injection,

Eine Schwachstellenklasse, bei der der Server hochgeladene Dateien ohne hinreichende Validierung speichert oder ausführt — was Webshells, Archive-Bomben oder Content-Type-Confusion-Angriffe ermöglicht.

Siehe auch Path Traversal, Command Injection

Ein beobachtbares Artefakt — IP-Adresse, File-Hash, Domain, Registry-Key — das auf eine erfolgte Intrusion hindeutet. Nützlich für Known-Bad-Detection; spröde gegen neuartige Adversaries.

Siehe auch TTP, STIX / TAXII

Vernetzte Embedded-Geräte außerhalb des klassischen IT-Inventars — Sensoren, Kameras, Gebäudeautomation, Consumer-Elektronik. Berüchtigt für ungepatche Stacks und hardcodierte Credentials.

Siehe auch OT, Hardcoded Credentials

Eine IDS-Variante, die inline sitzt und Traffic verwirft, zurücksetzt oder umschreibt, wenn er einem Angriffsmuster entspricht. Aktive Mitigation; birgt Risiko durch False-Positive-Störungen.

Siehe auch IDS, WAF

Der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Spezifiziert den Prozess; Anhang A listet die Controls. Die Revision von 2022 hat den Control-Satz modernisiert.

Siehe auch ISO/IEC 27002, BSI IT-Grundschutz, SOC 2

Der Begleitstandard zu ISO/IEC 27001, der Umsetzungsleitfäden für jeden Annex-A-Control bereitstellt. Referenz, kein Zertifizierungsziel.

Siehe auch ISO/IEC 27001

Ein signiertes, base64-kodiertes Token-Format für zustandslose Authentifizierung. Leicht falsch einzusetzen: das Akzeptieren von `alg: none`, schwache Signing-Keys und fehlende Audience-Validierung sind wiederkehrende Fallen.

Siehe auch OIDC, OAuth 2.0

Die IT-Aufsichtsanforderungen der BaFin für Kapitalverwaltungsgesellschaften (Asset Manager unter dem KAGB).

Siehe auch BaFin, BAIT, VAIT

Ein ticket-basiertes Netzwerk-Authentifizierungsprotokoll aus den 1980er-Jahren und die Grundlage der Active-Directory-Authentifizierung. Angriffe umfassen Kerberoasting, AS-REP-Roasting und Golden-Ticket-Forgery.

Siehe auch Active Directory (AD), Privilege Escalation

Die deutsche Regulierungskategorie für Betreiber kritischer Infrastrukturen über neun Sektoren. Unterliegt der BSI-Aufsicht, verpflichtenden Stand-der-Technik-Sicherheitsmaßnahmen und Meldepflichten. Setzt NIS2 teilweise um.

Siehe auch BSI, NIS2, BSI IT-Grundschutz

Ein Open-Source-Orchestrierungssystem für containerisierte Workloads. Mächtig und komplex; fehlkonfigurierte Cluster-Rollen und exponierte Dashboards sind das wiederkehrende Schwachstellenmuster.

Siehe auch Container, IAM

Die Bewegung vom anfänglichen Foothold zu anderen Systemen im selben Umfeld — mit gestohlenen Credentials, ausgenutzten Vertrauensbeziehungen oder Remote-Execution-Primitiven.

Siehe auch Pivoting, Privilege Escalation, Kerberos

Das Directory-Protokoll unter Active Directory und mehreren Open-Source-IAM-Stacks. LDAP-Injection ist ein paralleles Risiko zu SQL-Injection, wo Filter-Strings unsicher konkateniert werden.

Siehe auch Active Directory (AD), SQL Injection

Ein datenschutzfokussiertes Threat-Modeling-Framework — Linkability, Identifiability, Non-Repudiation, Detectability, Disclosure of Information, Unawareness, Non-Compliance. Wird verwendet, wo DSGVO-relevante Daten im Scope sind.

Siehe auch STRIDE, GDPR / DSGVO

Die Mindestanforderungen der BaFin an das Risikomanagement für Kreditinstitute. Setzt die qualitative Messlatte, die BAIT für die IT-Dimension dann konkretisiert.

Siehe auch BaFin, BAIT

Ein ausgelagerter SOC-Dienst — meist aufgebaut auf EDR oder XDR plus einem 24/7-Analystenteam. Wo ein 24/7-In-House-SOC unwirtschaftlich ist.

Siehe auch SOC, EDR, XDR

Eine Schwachstellenklasse in Code unsicherer Sprachen, bei der Annahmen über das Speicherlayout verletzt werden — Buffer Overflows, Use-after-Free, Type Confusion. Mitigiert durch ASLR, Stack-Canaries und zunehmend durch speichersichere Sprachen.

Siehe auch Zero-Day,

Authentifizierung, die zwei oder mehr unabhängige Faktoren aus den Kategorien Wissen, Besitz und Inhärenz verlangt. Phishing-resistente MFA (WebAuthn, Hardware-Keys) ist der moderne Standard.

Siehe auch SSO, SAML, OIDC

Eine Schwachstelle, die in einer Konfigurationsentscheidung wurzelt — nicht in einer unsicheren Primitive — und Daten oder Funktionalität ungewollt freilegt. Default-Credentials, offene S3-Buckets, exponierte Management-Konsolen sind typisch.

Siehe auch Hardcoded Credentials,

Eine community-kuratierte Wissensbasis realer Adversary-Tactics, -Techniques und -Procedures (TTPs), nach Plattform und Adversary-Gruppe indiziert. Die Lingua franca für Blue-Team-Detection-Abdeckung und Red-Team-Scope.

Siehe auch TTP, Cyber Kill Chain, Diamond Model

Ein 1979 entstandenes serielles Industrieprotokoll, das in Feldgeräten allgegenwärtig ist. Keine native Authentifizierung oder Verschlüsselung — Sicherheit hängt vollständig von Netzwerk-Isolation ab.

Siehe auch OPC UA, ICS

TLS, bei dem sowohl Client als auch Server Zertifikate vorzeigen und validieren. Wird für Service-to-Service-Authentifizierung eingesetzt, wo Bearer-Tokens nicht ausreichen.

Siehe auch TLS, PKI

EU-Richtlinie (2022/2555), die Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen über 18 Sektoren hinweg verschärft. Ersetzt die ursprüngliche NIS-Richtlinie; durchgesetzt über nationale Umsetzungsgesetze.

Siehe auch DORA, CER, KRITIS, BSI

Der US-Föderal-Control-Katalog für Informationssysteme. Dicht quervernetzt, auch außerhalb US-bundesbehördlicher Procurement-Kontexte als Vokabular verwendet.

Siehe auch NIST CSF, ISO/IEC 27001

Ein Framework des US National Institute of Standards and Technology, das Sicherheit um fünf Funktionen organisiert: Identify, Protect, Detect, Respond, Recover (Version 2.0 ergänzt Govern). International als Reifegrad-Gerüst weit zitiert.

Siehe auch ISO/IEC 27001, BSI IT-Grundschutz

Das NoSQL-Pendant zur SQL-Injection — Manipulation von Query-Operatoren (z. B. MongoDB `$ne`, `$gt`) oder JavaScript-Auswertung in der Datenbank-Engine.

Siehe auch SQL Injection

Ein Autorisierungs-Framework, das einem Nutzer erlaubt, einem Dritten gescopten Zugriff auf seine Ressourcen zu gewähren, ohne Credentials zu teilen. Autorisierung, nicht Authentifizierung — OIDC ergänzt die Authentifizierung.

Siehe auch OIDC, JWT

Eine Identity-Schicht auf OAuth 2.0, die standardisierte ID-Tokens hinzufügt. Der moderne Standard für Föderation in neuen Anwendungen.

Siehe auch OAuth 2.0, SAML, SSO, JWT

Ein plattformunabhängiges Industrie-Kommunikationsprotokoll mit erstklassiger Sicherheit (Verschlüsselung, Authentifizierung, Zertifikate). Der moderne Nachfolger des älteren OPC Classic.

Siehe auch Modbus, ICS

Sammlung von Informationen aus öffentlich verfügbaren Quellen — DNS, Code-Repositories, Breach-Daten, Social Media, Archive — um ein Zielbild ohne aktive Interaktion aufzubauen.

Siehe auch Reconnaissance, Fingerprinting

Der Oberbegriff für Technologie, die mit der physischen Welt interagiert — ICS, SCADA, Gebäudeautomation, Medizingeräte. Unterscheidet sich von IT durch andere Prioritäten (Safety, Verfügbarkeit) und deutlich längere Lebenszyklen.

Siehe auch ICS, IoT

Eine gemeinnützige Stiftung, die frei verfügbare Standards, Leitfäden und Tooling für Anwendungssicherheit veröffentlicht. Ihre Ergebnisse — Top 10, ASVS, Testing Guide, Cheat Sheets — sind die De-facto-Referenz für Web- und API-Sicherheitsarbeit.

Siehe auch OWASP Top 10, OWASP ASVS

Ein dreistufiger Anforderungskatalog (L1 opportunistisch, L2 standard, L3 fortgeschritten) zur Verifikation von Anwendungssicherheits-Controls. Dient als Spezifikation, wenn ein Audit nachweisbare Evidenz pro Control verlangt.

Siehe auch OWASP, OWASP Top 10

Ein umfangreiches Handbuch, das die Testfälle für jede OWASP-anerkannte Schwachstellenklasse vorschreibt. Die Pre-Flight-Checkliste für Web-Assessments.

Siehe auch OWASP, OWASP ASVS

Ein zehnstufiges Ranking der wirkungsstärksten Web-Anwendungs-Sicherheitsrisiken, alle drei bis vier Jahre aktualisiert. Wird zur Stakeholder-Briefing-Zusammenfassung und als Mindest-Scope-Grenze in Routine-Assessments verwendet.

Siehe auch OWASP, OWASP ASVS

Verwendung relativer Pfad-Segmente (z. B. `../`) in Eingaben, um aus einem vorgesehenen Verzeichnis auszubrechen und beliebige Dateien zu lesen oder zu schreiben. Oft mit File-Upload-Schwächen kombiniert.

Siehe auch XXE, Insecure File Upload

Der von den Kartenmarken vorgeschriebene Standard für jede Umgebung, die Zahlungskartendaten speichert, verarbeitet oder überträgt. Aktuell v4.0 mit gestaffelten Compliance-Daten bis 2025.

Siehe auch ISO/IEC 27001, SOC 2

Ein autorisierter, zeitlich begrenzter Angriffstest gegen ein System oder Umfeld, der ausnutzbare Schwächen offenlegen und Controls validieren soll. Das Ergebnis ist ein Report mit bestätigten Befunden samt Reproduktionsschritten.

Siehe auch Red Team, TLPT, Black Box Testing, Assumed Breach

Mechanismen, die einem Angreifer erlauben, Zugriff über Reboots, Credential-Änderungen oder teilweise Bereinigungen hinweg zu behalten — Registry-Autoruns, Scheduled Tasks, Service-Installationen, bösartige Zertifikate.

Siehe auch Foothold, Command & Control (C2)

Social-Engineering-Angriffe mit hohem Volumen, typischerweise per E-Mail — der Empfänger soll Credentials preisgeben oder einen Payload ausführen. Der häufigste Initial-Access-Vektor.

Siehe auch Spear Phishing, Social Engineering, Initial Access

Tunneling von Netzwerk-Traffic durch einen kompromittierten Host, um Systeme zu erreichen, zu denen der Angreifer keine direkte Route hat. Die mechanische Schicht unter Lateral Movement.

Siehe auch Lateral Movement, Command & Control (C2)

Das System aus Policies, Prozessen und Komponenten — Root-CAs, Intermediate-CAs, Registration Authorities, Revocation Lists — das öffentliche Schlüssel an Identitäten bindet.

Siehe auch Certificate Authority (CA), TLS, HSM

Ein robuster Industrie-Computer, der deterministische Steuerlogik für eine einzelne Maschine oder Zelle ausführt. Die atomare Einheit eines ICS und der häufigste Angriffspunkt für Ladder-Logic-Manipulation.

Siehe auch ICS, HMI, SCADA

Alles, was ein Angreifer nach erfolgreichem Foothold tut: Situational Awareness, Credential-Harvesting, Lateral Movement, Persistence, Exfiltration.

Siehe auch Foothold, Lateral Movement, Exfiltration

Erhöhung von einem niedrigprivilegierten in einen höheren Kontext — lokal (User → root/SYSTEM) oder remote (Standard-User → Domain-Admin).

Siehe auch Lateral Movement, Kerberos, Active Directory (AD)

Minimaler Demonstrations-Code, der zeigt, dass eine Schwachstelle real und ausnutzbar ist — häufig eingesetzt, um Anbieter oder Stakeholder zu überzeugen. Nicht auf Zuverlässigkeit oder Weaponization ausgelegt.

Siehe auch Exploit, CVE

EU-Richtlinie, die Bankkonto-Zugänge für lizenzierte Dritte öffnete und starke Kunden-Authentifizierung für elektronische Zahlungen vorschrieb.

Siehe auch ZAIT, MFA

Ein praxisdefiniertes Sieben-Phasen-Pentest-Framework: Pre-Engagement, Intelligence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Post-Exploitation, Reporting. Das am häufigsten referenzierte methodische Rückgrat technischer Sicherheitstests.

Siehe auch OWASP, MITRE ATT&CK

Eine kollaborative Übung, in der Red und Blue Seite an Seite arbeiten: Red führt eine bekannte TTP aus, Blue bestätigt (oder verfehlt) die Detektion in Echtzeit. Optimiert Detection-Abdeckung, nicht Überraschung.

Siehe auch Red Team, Blue Team, MITRE ATT&CK

Ein Defekt, der entsteht, wenn parallele Anfragen sich in unerwarteter Reihenfolge verzahnen und eine vom Code als atomar angenommene Invariante brechen. Im Sicherheitskontext klassisch ein Double-Spend oder Double-Redeem.

Siehe auch Business Logic Flaw

Die erste Phase eines Engagements: Identifikation von Zielen, Oberflächen und Zugangsvektoren. Unterteilt in passiv (kein Traffic zum Ziel) und aktiv (Probes, Scans).

Siehe auch OSINT, Fingerprinting

Eine offensive Sicherheitsoperation, die einen spezifischen Adversary gegen die gesamte Angriffsfläche simuliert — Menschen, Prozesse, Technologie. Scope-leicht, zielgetrieben, oft den Verteidigern nicht angekündigt.

Siehe auch Blue Team, Purple Team, Adversary Emulation, TLPT

Die Praxis (und Norm), eine entdeckte Schwachstelle zunächst privat an die betroffene Partei zu melden — mit einem Remediation-Fenster vor Veröffentlichung. Wird auch als Coordinated Disclosure bezeichnet.

Siehe auch Bug Bounty, CVE

Drei Schichten des Cloud-Service-Modells. SaaS liefert eine fertige Anwendung; PaaS liefert eine Laufzeitumgebung; IaaS liefert rohe Compute-, Storage- und Netzwerk-Ressourcen. Jede verschiebt die Sicherheitsverantwortungs-Grenze.

Siehe auch IAM, VPC

Ein einzigartiger, zufälliger Wert, der vor dem Hashing mit einem Passwort gemischt wird, damit gleiche Passwörter unterschiedliche Digests ergeben. Pflicht für jedes Stored-Password-Schema.

Siehe auch Hash Function

Ein XML-basiertes Föderationsprotokoll für SSO, dominant in Enterprise-Integrationen. Wortreich, aber die einzige praktikable Wahl, wenn eine Partei nur SAML spricht.

Siehe auch SSO, OIDC

Eine isolierte Laufzeitumgebung, in der nicht vertrauenswürdiger Code oder Dateien ausgeführt werden, sodass ihr Verhalten beobachtet werden kann, ohne den Host zu beeinflussen. Wird in der Malware-Analyse und in Browser-Sicherheitsarchitekturen verwendet.

Siehe auch EDR, Honeypot

Eine spezifische Klasse von ICS, die verteilte Assets überwacht — Pipelines, Stromnetze, Wassernetze — über Fern-Telemetrie und Remote-Control. Das klassische High-Impact-Ziel.

Siehe auch ICS, PLC

Ein Opfer wird gezwungen, einen dem Angreifer bekannten Session-Identifier zu nutzen — der Angreifer übernimmt die Session nach der Anmeldung. Wird durch Regenerieren der Session-ID beim Login mitigiert.

Siehe auch Authentication Bypass

Das 256-Bit-Mitglied der SHA-2-Familie. Der aktuelle Default für kryptografisches Hashing — etwa für TLS-Zertifikate und Content-Addressing.

Siehe auch Hash Function, HMAC

Eine Plattform, die Logs aus einer ganzen Umgebung einsammelt, normalisiert, Detektionsregeln anwendet und Alerts hervorhebt. Das zentrale Nervensystem eines SOC.

Siehe auch SOC, SOAR, EDR

Tooling, das Analysten-Playbooks kodifiziert, sodass Routine-Triage- und Response-Schritte automatisch über den Security-Stack hinweg ausgeführt werden. Sitzt auf einem SIEM, nicht statt eines SIEM.

Siehe auch SIEM, SOC

Die Funktion — intern oder ausgelagert — die Sicherheits-Events überwacht, Alerts triagiert und Incident Response durchführt. Gemessen an Mean Time to Detect und Mean Time to Respond.

Siehe auch SIEM, SOAR, MDR

Ein AICPA-Attestierungsbericht über die operativen Controls einer Dienstleistungsorganisation, gemessen an fünf Trust-Services-Kriterien. Das De-facto-Procurement-Dokument im US-Enterprise-Vertrieb.

Siehe auch ISO/IEC 27001, PCI DSS

Manipulation von Menschen — durch Impersonation, Pretext, Dringlichkeit oder Autorität — um Informationen oder Handlungen zu erlangen, die technische Controls umgehen.

Siehe auch Phishing, Spear Phishing

Phishing, das auf eine Einzelperson oder kleine Gruppe abzielt — mit personalisiertem Kontext, der die Klickrate dramatisch erhöht.

Siehe auch Phishing, Social Engineering

Injektion angreifer-kontrollierter SQL-Fragmente in eine Query, typischerweise über nicht-parametrisierte Konkatenation von Nutzereingaben. Konsequenzen reichen von Auth-Bypass bis zur vollständigen Datenbank-Extraktion.

Siehe auch NoSQL Injection, Command Injection

Eine Architektur, bei der ein einziges Authentifizierungs-Event Zugang zu mehreren nachgelagerten Anwendungen über föderierte Tokens gewährt — typischerweise SAML oder OIDC.

Siehe auch SAML, OIDC, OAuth 2.0

Ein Server wird gezwungen, eine angreifer-kontrollierte Netzwerk-Anfrage zu senden — an interne Dienste, Cloud-Metadata-Endpoints oder beliebige URLs. Ein zentraler Pfad in ansonsten unerreichbare interne Infrastruktur.

Siehe auch XXE

STIX ist das Format zur Darstellung strukturierter Threat Intelligence; TAXII ist der Transport zu deren Austausch. Zusammen ermöglichen sie maschinenlesbares Teilen von Indicators und TTPs.

Siehe auch TTP, IOC

Eine Sechs-Kategorien-Threat-Modeling-Mnemonik: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege. Ursprünglich von Microsoft, weiterhin das am besten lehrbare Einstiegs-Framework.

Siehe auch LINDDUN, Threat Modeling

Eine Einzelperson oder Gruppe mit Intent und Capability, eine definierte Zielmenge anzugreifen. Wird nach Name, Tooling, Infrastruktur und TTP-Signatur katalogisiert.

Siehe auch APT, TTP, MITRE ATT&CK

Hypothesengetriebene proaktive Suche durch Telemetrie nach Adversary-Aktivität, die der automatisierten Detektion entgangen ist. Vom Alert-Triage dadurch unterschieden, wer die Untersuchung gestartet hat: der Hunter, nicht das SIEM.

Siehe auch SOC, SIEM, TTP

Die strukturierte Übung, plausible Bedrohungen gegen ein System zu enumerieren, bevor sie eintreten. Ergebnisse sind Control-Lücken und Test-Prioritäten — keine Vorhersagen.

Siehe auch STRIDE, LINDDUN, Diamond Model

Ein von der EZB veröffentlichtes Framework für intelligence-led Red-Team-Tests gegen Finanzsektor-Entitäten, mit nationalen Ausprägungen (TIBER-DE, TIBER-NL, etc.). Die Umsetzungsgrundlage für die Threat-Led-Penetration-Testing-Anforderung der DORA.

Siehe auch DORA, TLPT, Red Team

Der Informationssicherheits-Bewertungs- und Austauschmechanismus der deutschen Automobilindustrie, von ENX getragen und auf dem VDA ISA basierend. Voraussetzung für die Teilnahme an OEM-Lieferketten.

Siehe auch ENX Association, VDA ISA, ISO/IEC 27001

Intelligence-getriebene Red-Team-Tests gegen kritische Systeme, für in-scope Finanzentitäten unter DORA verpflichtend. Die Umsetzung folgt TIBER-EU und seinen nationalen Varianten.

Siehe auch DORA, TIBER-EU, Red Team

Das kryptografische Protokoll, das den Großteil des HTTP-, SMTP- und Datenbank-Traffics absichert. TLS 1.2 ist der Mindeststandard; TLS 1.3 ist aktuell; SSL ist veraltet.

Siehe auch mTLS, PKI, Certificate Authority (CA)

Der Verhaltens-Fingerprint eines Adversary — was er tut (Tactics), wie (Techniques), und genau wie (Procedures). Wird von MITRE ATT&CK katalogisiert.

Siehe auch MITRE ATT&CK, IOC, Threat Actor

UN-Regelungen für Cybersicherheit (R155) und Software-Update-Management (R156) von Straßenfahrzeugen. Voraussetzung für Fahrzeugtypgenehmigungen in UN-1958-Märkten, einschließlich der EU.

Siehe auch TISAX

Die IT-Aufsichtsanforderungen der BaFin für Versicherungsunternehmen, parallel zu BAIT strukturiert. Für betroffene Entitäten inzwischen mit DORA überlagert.

Siehe auch BaFin, BAIT, DORA

Der Control-Katalog, gegen den TISAX-Assessments geprüft werden. Vom Verband der Automobilindustrie (VDA) gepflegt, an ISO/IEC 27001 ausgerichtet mit automobil-spezifischen Erweiterungen.

Siehe auch TISAX, ENX Association, ISO/IEC 27001

Ein isoliertes Netzwerksegment innerhalb eines Public-Cloud-Anbieters, mit eigenem Adressraum, Routing und Zugriffs-Controls. Die Einheit des Netzwerk-Blast-Radius in modernen Cloud-Architekturen.

Siehe auch IAM

Ein Reverse-Proxy-Filter für HTTP-Traffic, der signatur- und anomalie-basierte Regeln anwendet, um bekannte Angriffsmuster zu blockieren. Eine nützliche Bremse, kein Fix; Schwachstellen dahinter müssen weiterhin gepatcht werden.

Siehe auch IDS, IPS

Tests mit vollständigen Informationen — Quellcode, Architekturdiagramme, Zugänge. Maximiert Abdeckung und Defekt-Dichte; nützlich vor einem Code-Release.

Siehe auch Black Box Testing, Grey Box Testing

Eine Kategorie, die den Endpoint-Fokus von EDR um E-Mail-, Netzwerk-, Cloud- und Identity-Telemetrie unter einer einzigen Korrelations-Schicht erweitert. Eher hersteller- als standarddefiniert.

Siehe auch EDR, SIEM

Injektion angreifer-kontrollierten Skripts in eine Seite, die im Browser eines anderen Nutzers gerendert wird. Drei Hauptmodi: reflected, stored, DOM-based.

Siehe auch DOM XSS, CSRF

Missbrauch von XML-Parsern, die externe Entity-Referenzen auflösen — ermöglicht Datei-Auslesen, SSRF und in manchen Konfigurationen Remote Code Execution. Wird durch Deaktivieren der DTD-Verarbeitung mitigiert.

Siehe auch SSRF, Path Traversal

Die IT-Aufsichtsanforderungen der BaFin für Zahlungsinstitute und E-Geld-Institute.

Siehe auch BaFin, BAIT, VAIT, PSD2

Ein Architekturprinzip, das keinen impliziten Vertrauensvorschuss anhand des Netzwerk-Standorts gewährt und stattdessen jede Anfrage gegen Identität, Device-Posture und Least-Privilege-Policy prüft. Anspruchsvoll in der Skalierung; in der Praxis selektiv.

Siehe auch Defense in Depth, IAM

Eine Schwachstelle, für die zum Zeitpunkt der Ausnutzung noch kein öffentlicher Patch existiert. Ein Countdown-Begriff; in der Praxis ist die aussagekräftige Frage die Sichtbarkeit der Ausnutzung, nicht die Existenz des Patches.

Siehe auch CVE, Exploit