Index. C Chain of custody 364 Challenge Handshake Authentication Protocol 134 Chance 312. B Backup siehe Datensicherung Balanced Scorecard 389

Transkript

1

2 Index A Abhängige Schutzziele 276 Abschlussbericht Audit 344 Access Control List 129, 134 Account 141 Act-Phase 408, 430 Ad-hoc-Modus 253 Administration 125 AES 216 Aktiengesetz 69, 154 Aktiv-Aktiv-Cluster 200 Aktiv-Passiv-Cluster 200 Alarmierung 57 Alleinstehende Schutzziele 276 Angriffspfad 271, 356 Angriffsvektor 356 Annualized Loss Expectancy 386 Application-Firewall 239 Asset siehe Unternehmenswert Assetmanagement 262, 293, 308 Audit 96, 101, 325, 327 Auftragsdatenverarbeitung 220, 226 Ausfallsicherheit 197 Authentisierung 129 what you are 130 what you have 129 what you know 129 Authentizität 90, 277 Autorisierung 129 Availability management siehe Verfügbarkeitsmanagement Awareness 26, 119, 453 B Backup siehe Datensicherung Balanced Scorecard 389 Bauliche Maßnahmen 199, 203 Bedrohung 261, 264, 266, 271, 295 Listen 295 Vorsätzliche 273 Zufällige 273 Bedrohungslisten 295 Bell-LaPaluda-Modell 132 Benutzeraccount siehe Account Bereitschaftsregelung 175 Betriebliche Grundsätze 121 Betriebsübergabe 138 Beweissicherung 349 Bewertungsmatrix 109 Biba-Modell 133 Bring your own device 115 Browser 245 BS BSI-Grundschutz 83, 308 BSI-Standard BSI-Standard BSI-Standard BSI-Standard Bundesdatenschutzgesetz 69, 88, 125, 208, 219, 220 Bürgerliches Gesetzbuch 92 Business Continuity Management siehe IT Business Continuity Management Business Impact-Analyse 44, 149, 155, 160, 165, 171, 323, 425 C Chain of custody 364 Challenge Handshake Authentication Protocol 134 Chance

3 Change Management 116, 144 Check-Phase 408, 430 Chiffrierung 223 Clean-Desk-Richtlinie 29 Cloud 225 Broad network access 227 Datenschutz 232 Infrastructure-as-a-Service 229 Leistungsschein 236 On-demand self service 227 Platform-as-a-Service 229 Resource Pooling 228 Software-as-a-Service 228 Storage-as-a-Service 229, 230 Verschlüsselung 231 Zugriffsgeschwindigkeit 227, 233 Cluster 191, 199 CoBit 70 Common Criteria 87 Compliance 38, 68 Control siehe Maßnahme COSO 70 D Data Owner 32, 107, 126, 131 Daten 20 Übertragung 216 Vernichtung 115 Datenanalyse 348 Datenschutz 56, 89, 110, 234, 236 Datenschutzbeauftragter 56, 63, 111, 235, 355 Datensicherung 199, 221, 383 Datensparsamkeit 34 Delphi-Methode 296, 299 Denial of Service 245 Digitale Signatur 225, 248 Discretionary Access Control 131 DMZ 206 Do-Phase 408, 428 Dynamische Redundanz 198 E Einfaktor-Authentisierung 131 Eingabekontrolle 218 Eintrittswahrscheinlichkeit 308, , 215, 243, 244 Ereignisbaumanalyse 299 Exceptions 293 Excessive privileges 127 F Fehlzustandsbaumanalyse 299 Fingerabdruck 130 Firewall 237, 356 Forensik siehe IT-Forensik Forensische Analyse 351, 363 Forensische Untersuchung 362, 366 Fragenkatalog Audit 341 Funktionelle Redundanz 200 Funktionstrennung 33 G Geheimtext 223 Geltungsbereich 290, 413 Genehmigungsprozess 145 Gesetz gegen den unlauteren Wettbewerb 93 Gewaltentrennung 55, 62 GmbH-Gesetz 69, 124 Governance 39 Grundschutz 80 GSTOOL

4 H Haftung 124, 125 Handelsgesetzbuch 154 Hochverfügbarkeit 194 Honeypot 252, 352 Honeytoken 352 Hotline 145 HTTP 239, 242 IT Business Continuity Management 118, 150 IT-Forensik 347, 365 IT-Grundschutz-Kataloge 79, 342 ITIL 70, 86, 374, 400 IT-Risikomanagement siehe Risikomanagement IT-Security Policy siehe Richtlinien I ICMP 186 Identifikation 129 Identitätsmanagement 141 identity management siehe Identitätsmanagement Incident Management 348 Incident Response-Prozess 348, 350 Information 20, 21 Information Security Policy siehe Richtlinien Infrastrukturmodus 253 Initiator 265, 273, 357 Integrität 90, 277 Internet 243 Intrusion Detection System (IDS) 250, 368 Intrusion Prevention System (IPS) 252 ISMS 75, 103, 385, 399 ISO ISO , 110, 375, 421 ISO ISO , 84, 91, 152, 308, 315, 342, 372, 419, 449 ISO , 113, 315, 419 ISO , 380 ISO , 107, 414 ISO , 450 ISO , 299 ISO ISO , 403, 409 K Kapazitätsmanagement 192 Katastrophe 169 Kennzahlen 44, 101, 192, 301, 319, 372 Klartext 223 Klassifizierung 109, 276, 279 Klassifizierungsrichtlinie 108 Konfigurationsmanagement 192 Kontinuitätsmanagement siehe Verfügbarkeitsmanagement KonTraG 70 Krise 170 Kryptographie 223 Kumulationsprinzip 280 L Laptopverschlüsselung 218 Least privileges 127 Leitlinie 96 Leitlinie zur Informationssicherheit siehe Richtlinien Lightweight Extensible Authentication Protocol 134 Live-Forensik 351 M Mail-Spoofing 244 Malware siehe Schadsoftware Mandatory Access Control

5 Masquerading 359 Maßnahme 272, 308, 314, 425 Maximum Tolerable Downtime (MTD) 195 Maximumprinzip 280 Metrics siehe Kennzahlen Monitoring 317 Agent 318, 324 Betrachtungsebenen 319 Logfile-Monitoring 186, 219, 324 System-Monitoring 185, 321 N Need-to-know-Prinzip 33, 143 Nichtabstreitbarkeit 278 Nine-Steps-Model 391 Notfall 169 Notfallbewältigung 176, 180, 349 Notfallhandbuch 168, 170, 177 Notfallkonzept 167 Notfallkrisenstab 177 Notfallmanagement 150, 153, 164, 165, 349 Notfallorganisation 175 Notfallplan 138 Notfallstrategie 166 Notfallübung 164, 183 Notfallvorsorge 170, 221 O Obfuscation 140 Offline-Forensik siehe Post-mortem- Analyse Online-Forensik siehe Live-Forensik Operatives Risiko 265 Organisation 47, 54, 60, 107, 114 OSI 7-Schichten-Modell 239 P Paketfilter 239 Password Authentication Protocol 134 Passwort 116, 129, 360 Patchmanagement 198 PDCA-Regelkreis 74, 147, 404, 408 Penetrationstest 136, 246, 334 Personal-Firewall 237 Personalmanagement 115 PGP 245 Ping 321 PKI 216 Plan-Phase 408, 414 Poka Yoke 33 Port-Scan 248 Post-mortem-Analyse 351 Pre-shared Key 223, 254 Prinzipien 32, 124 Proxyserver 237, 242 Prozessdefinition 155 Prozesserfassung 155 Public-Key-Verfahren 223 Q Qualitätshandbuch 136 Quantitative Risikoermittlung 263 R RAID 191, 199 Redundante Systeme 150, 192, 198, 201 Redundanzeffekt 280 Regelwerk Firewall 241 Reifegradmodell 285 Restrisiko 263, 301, 305, 349 Return on Security Investment (ROSI) 373 Revisionsfähigkeit

6 Richtlinien 96, 97, 445 Attribute 98 Basisrichtlinien 102 Geltungsbereich 106, 114 IT-Sicherheitsrichtlinie 112 IT-Systemrichtlinie 116 Kategorisierung 98 Klassifizierungsrichtlinie 106, 132, 281, 414 Notfallmanagement 165 Richtlinien-Pyramide 97 Risikomanagement 111, 258, 413 Sicherheitsrichtlinie 103 Überarbeitungsintervall 113, 117 Verfügbarkeitsmanagement 192 Versionierung 100 Risiko 259, 265, 273, 425 akzeptieren 311 reduzieren 312 verlagern 313 vermeiden 313 Risikoanalyse 80, 261 Risikoarten 260, 266, 307 Risikobehandlung 261, 306, 308, 414 Risikoberechnung 301, 303 Risikobewertung 261, 297, 309 Risikoerfassung 262 Risikokatalog 307 Risikomanagement 40, 111, 255 Risikomanagementkultur 258 Risikomanagementprozess 264 Risikomatrix 305 Role-Based Access Control 131 Rollen 48, 133 Gebäudemanagement 58 Interne Revision 58 IT-Administrator 59 IT-Security Auditor 53 Klassifizierungsrichtlinie 22 Lokale IT-Security Manager 64 Manager IT-Compliance 53 Manager IT-Security 49, 54 Sicherheitsingenieur 58 Unternehmensleitung 53 Werkschutz 57 S S/MIME 245 Sabotage 272 SANS 269 Sarbanes-Oxley Act 23, 70, 103, 325 Schaden 260 Schadensanalyse 158 Schadensklasse 109, 287 Schadsoftware 244 Schulung 119, 272, 453 Schutzbedarf 31, 108, 275, 280 Schutzstufe 109, 278 Schutzziele 30, 109, 267 Schwachstelle 262, 264, 268, 271, 356 Logische 269 Physische 271 Schweregrad 169 Scope siehe Geltungsbereich Scorecard 184 Security Awareness Management 455 Selbstauskunft 334 Self-Assessment siehe Selbstauskunft separation of duties siehe Gewaltentrennung Service Delivery Assurance 192 Service Level Agreement 101, 174, 187, 193, 320 Service-Level Management 192 Sicherheitseinstufung 132 Sicherheitsklasse 132 Sicherheitslandschaft 330 Sicherheitsleitlinie siehe Richtlinien Sicherheitsniveau

7 Signator 249 Signaturgesetz 249 Single Loss Expectancy 387 SmartCard 129 SMTP 244 Social Engineering 272, 358 Software 134 Application Service Provider 135 Betriebshandbuch 138 Eigenentwicklung 135, 138 im Auftrag entwickelt 135 Implementierung 137 Kaufsoftware 135 Qualität 135, 140 Versionierung 140 Software-Lifecycle 139 Softwarequalität 135 Sorgfaltspflicht 124, 125, 126, 154 SPAM-Mail 245 SPICE 285, 376 Standardisierung 33, 124, 146 Statische Redundanz 198 Steuerungsfunktion 43 Störung 169 Strafgesetzbuch 93 Strategie der IT-Security 28 Strukturelle Redundanz 199 T Tätigkeitsfelder 41 Technisch-organisatorische Maßnahmen 90, 208 Telefonliste 170 Telekommunikationsgesetz 92 Telemediengesetz 92 Token 129 Transparenz 90, 124 Two signatures 127 U Unternehmensstrategie 256 Unternehmenswert 109, 159, 439 Urheberrechtsgesetz 92 USB 215, 354 V Verband der Automobilindustrie 342 Verfassungsschutz 24 Verfügbarkeit 90, 147, 150, 193, 221, 276 Verfügbarkeitsklasse 194 Verfügbarkeitskontrolle 221 Verfügbarkeitsmanagement 153, 191, 221 Verhältnismäßigkeitsprinzip 243, 274 Verschlüsselung 126, 222, 231, 270 asymmetrisch 223, Öffentlicher Schlüssel 224 Privater Schlüssel 224 Schlüssel 223 Schlüsselaustausch 223 symmetrisch 223 Verteilungseffekt 280 Vertraulichkeit 90, 109, 276 Vier-Augen-Prinzip 33, 116, 125, 127 Virenschutz 221, 244 Vor-Ort-Audit 332 VPN 217, 224 W Wahrscheinlichkeitsvorhersagen 299 Weitergabekontrolle 215 WEP 254 Wireless LAN 252 Wirtschaftlichkeit 32 Workflow 145, 434, 439 WPA

8 Z Zero Day Attack 269 Zertifizierung Grundschutz 82, 85 ISO , 85, 290, 447 Zivilprozeßordnung 248 Zugangskontrolle 57, 115, 211 Zugriffskontrolle 116, 131, 134, 213 Zutrittskontrolle