Payment Card Industry Data Security Standard (PCI DSS)

Payment Card Industry Data
Security Standard (PCI DSS)
Glossar, Abkürzungen und
Akronyme
Begriff
Definition
AAA
Authentication, Authorization and Accounting-Protokoll
Accounting
Nachverfolgung von Netzwerkressourcen der Benutzer
Zugriffssteuerung
Mechanismen, die die Verfügbarkeit von Informationen oder
informationsverarbeitenden Ressourcen auf autorisierte Personen oder
Anwendungen beschränken.
Account-Harvesting
Auf Versuch und Irrtum beruhendes Verfahren zur Identifizierung
vorhandener Benutzerkonten. [Hinweis: Zu umfangreiche Informationen in
Fehlermeldungen können es Hackern erleichtern, Zugangsdaten zu ermitteln
und das System zu penetrieren bzw. mit Harvesting Systemdaten
abzuschöpfen oder das System zu gefährden.]
Kontonummer
Zahlungskartennummer (Kredit- oder Debitkarte), die den Kartenaussteller
und das jeweilige Karteninhaberkonto identifiziert. Wird auch als Primary
Account Number (PAN) bezeichnet.
Händlerbank
Mitglied des Bankkartenverbands, das Geschäftsbeziehungen mit Händlern
aufnimmt und pflegt, die Zahlungskartenzahlungen akzeptieren.
AES
Advanced Encryption Standard. Blockcodierung, die im November 2001 vom
NIST übernommen wurde. Der Algorithmus ist im FIPS PUB 197
angegeben.
ANSI
American National Standards Institute. Private, gemeinnützige Organisation,
die das freiwillige US-Standardisierungs- und
Konformitätsbewertungssystem verwaltet und koordiniert.
Antivirusprogramm
Programme, die in der Lage sind, verschiedene Arten bösartiger Codes oder
Malware, z. B. Viren, Würmer, Trojanische Pferde, Spyware und Adware, zu
erkennen, zu entfernen und abzuwehren.
Anwendung
Umfasst alle käuflich erworbenen und benutzerdefinierten
Softwareprogramme oder -programmgruppen, die für Endbenutzer
entwickelt wurden, einschließlich interner und externer (Web)Anwendungen.
Anerkannte
Standards
Anerkannte Standards sind standardisierte Algorithmen (wie in ISO und
ANSI) sowie bekannte marktübliche Standards (wie Blowfish), die den
Zweck starker Kryptografie erfüllen. Beispiele für anerkannte Standards sind
AES (128 Bit und höher), TDES (zwei oder drei unabhängige Schlüssel),
RSA (1024 Bit) und ElGamal (1024 Bit).
Asset
Informationen oder informationsverarbeitende Ressourcen einer
Organisation.
Überwachungsprotok
oll
Chronologische Aufzeichnung von Systemaktivitäten. Enthält einen
Überwachungspfad zur hinreichenden Rekonstruktion, Überprüfung und
Untersuchung von Abfolgen von Umgebungen und Aktivitäten, die von
Anfang bis Ende einer Transaktion für Funktionen, Prozeduren oder
Ereignisse relevant sind. In einigen Fällen wird dieses Protokoll auch als
Sicherheitsüberwachungspfad bezeichnet.
Authentifizierung
Prozess zur Überprüfung der Identität einer Person oder eines Prozesses.
Glossar, Abkürzungen und Akronyme
2
Begriff
Definition
Autorisierung
Erteilung von Zugriffs- oder anderen Rechten für Benutzer, Programme oder
Prozesse.
Sicherung
Datenkopie, die zu Archivierungszwecken bzw. zum Schutz vor
Beschädigung oder Verlust erstellt wird.
Karteninhaber
Kunde, für den die Karte ausgestellt wurde bzw. Person, die zur Nutzung der
Karte berechtigt ist.
Karteninhaberdaten
Vollständiger Magnetstreifen oder PAN, einschließlich einer der folgenden
Angaben:
• Name des Karteninhabers
• Ablaufdatum
• Servicecode
KarteninhaberdatenUmgebung
Bereich des Computersystem-Netzwerks, in dem Karteninhaberdaten bzw.
vertrauliche Authentifizierungsdaten gespeichert werden, sowie Systeme
und Segmente, die Karteninhaberdaten direkt verarbeiten, speichern oder
übertragen bzw. diese Vorgänge unterstützen. Durch eine adäquate
Netzwerksegmentierung, die Systeme zum Speichern, Verarbeiten oder
Übertragen von Karteninhaberdaten vom übrigen Netzwerk trennt, lässt sich
der Umfang der Karteninhaberdaten-Umgebung und somit auch der Umfang
der PCI-Prüfung verringern.
Datenelement auf dem Magnetstreifen einer Karte, das anhand eines
sicheren kryptografischen Prozesses die Datenintegrität auf dem Streifen
schützt und jede Änderung oder Fälschung aufdeckt. Wird je nach
Zahlungskartenunternehmen als CAV, CVC, CVV oder CSC bezeichnet. Im
Folgenden werden die von den jeweiligen Zahlungskartenunternehmen
verwendeten Bezeichnungen aufgeführt:
Kartenprüfwert oder
Kartenprüfcode
•
•
•
•
CAV Card Authentication Value (JCB-Zahlungskarten)
CVC Card Validation Code (MasterCard-Zahlungskarten)
CVV Card Verification Value (Visa- und Discover-Zahlungskarten)
CSC Card Security Code (American Express-Zahlungskarten)
Hinweis: Der zweite Typ von Kartenprüfwert oder -code ist die dreistellige
Zahl, die im Signaturfeld auf der Rückseite der Kreditkarte rechts neben der
Kreditkartennummer zu finden ist. Bei American Express-Karten ist der Code
eine vierstellige, ungeprägte Zahl über der Kartennummer auf der
Vorderseite der Zahlungskarte. Der Code ist der jeweiligen Karte eindeutig
zugeordnet und stellt das Bindeglied zwischen Kontonummer und Karte dar.
Hier eine Übersicht:
•
•
•
•
CID Card Identification Number (American Express- und DiscoverZahlungskarten)
CAV2 Card Authentication Value 2 (JCB-Zahlungskarten)
CVC2 Card Validation Code 2 (MasterCard-Zahlungskarten)
CVV2 Card Verification Value 2 (Visa-Zahlungskarten)
Glossar, Abkürzungen und Akronyme
3
Begriff
Definition
Ersatzkontrollen
Ersatzkontrollen können in Erwägung gezogen werden, wenn eine Entität
eine explizite Anforderung aufgrund von legitimen technischen oder
dokumentierten geschäftlichen Beschränkungen nicht erfüllen kann, das mit
der Anforderung verbundene Risiko durch die Implementierung anderer
Kontrollen jedoch ausreichend eingedämmt hat. Ersatzkontrollen müssen 1)
Zweck und Stringenz der ursprünglich angegebenen PCI DSS-Anforderung
erfüllen, 2) einen Angriffsversuch in ähnlichem Umfang abwehren, 3) andere
PCI DSS-Anforderungen nicht nur erfüllen, sondern übertreffen, und 4) das
mit der Nichterfüllung der PCI DSS-Anforderungen verbundene Risiko
ausgleichen.
CIS
Center for Internet Security. Gemeinnütziges Unternehmen zur
Unterstützung von Organisationen bei der Reduzierung des Risikos von
Geschäfts- und E-Commerce-Unterbrechungen aufgrund unzulänglicher
technischer Sicherheitskontrollen.
Sicherheitsgefährdun
g
Eindringen in ein Computersystem, wobei nicht autorisierte Offenlegung,
Änderung oder Zerstörung von Karteninhaberdaten vermutet wird.
Konsole
Bildschirm und Tastatur für den Zugriff auf bzw. die Steuerung von Server
bzw. Mainframecomputer in einer Netzwerkumgebung.
Kunde
Person, die Waren, Dienste oder beides erwirbt.
Cookies
Datenzeichenfolge, die zwischen einem Webserver und einem Webbrowser
zur Aufrechterhaltung einer Sitzung ausgetauscht wird. Cookies können
Benutzereinstellungen und persönliche Informationen enthalten.
Disziplin der Mathematik und Informatik, die sich mit Informationssicherheit
und ähnlichen Themen befasst, insbesondere mit Verschlüsselung und
Authentifizierung sowie Anwendungen wie. Im Bereich der Computer- und
Netzwerksicherheit dient die Kryptografie der Zugriffssteuerung und dem
Datenschutz.
Kryptografie
Datenbank
Strukturiertes Format zur Organisation und Verwaltung einfach abrufbarer
Informationen. Beispiele für einfache Datenbanken sind Tabellen und
Kalkulationstabellen.
Data Base
Administrator (DBA)
Datenbankadministrator. Person, die für die Verwaltung von Datenbanken
verantwortlich ist.
DBA (Doing Business
As)
Firmenname. Die Ebenen der Erfüllungsüberprüfung basieren auf dem
Transaktionsvolumen eines DBA oder einer Einzelhandelskette (nicht auf
dem eines Konzerns, der über mehrere Ketten verfügt).
Standardkonten
Vordefiniertes Systemanmeldekonto in einem ausgelieferten System, das
bei Erstinbetriebnahme den ersten Zugriff ermöglicht.
Standardkennwort
Bei Auslieferung festgelegtes Kennwort für Systemadministrator- oder
Dienstkonten; ist gewöhnlich dem Standardkonto zugeordnet.
Standardkonten und -kennwörter werden veröffentlicht und sind allgemein
bekannt.
DES
Data Encryption Standard (DES). Blockcodierung, die 1976 als offizieller
Federal Information Processing Standard (FIPS) für die USA gewählt wurde.
Nachfolger ist der Advanced Encryption Standard (AES).
Glossar, Abkürzungen und Akronyme
4
Begriff
Definition
DMZ
Demilitarized Zone (Entmilitarisierte Zone). Als zusätzliche
Sicherheitsschicht zwischengeschaltetes Netzwerk zwischen einem privatem
und einem öffentlichem Netzwerk.
DNS
Domain Name System oder Domain Name Service. System zum Speichern
von Informationen, die mit Domänennamen in einer verteilten Datenbank in
Netzwerken, z. B. dem Internet, verknüpft ist.
DSS
Data Security Standard
Vier- oder
Sechsaugenprinzip
Verfahren, bei dem mindestens zwei verschiedene Entitäten (normalerweise
Personen) gemeinsam tätig sind, um vertrauliche Funktionen bzw.
Informationen zu schützen. Beide Entitäten sind gleichermaßen
verantwortlich für den physischen Schutz von Materialien, die in anfälligen
Transaktionen eingesetzt werden. Für Einzelpersonen dürfen diese
Materialien (z. B. den kryptografischen Schlüssel) nicht zugänglich sein.
Beim manuellen Generieren, Übertragen, Laden, Speichern und Abrufen
von Schlüsseln nach dem Vier- oder Sechsaugenprinzip sind mindestens
zwei Personen erforderlich, die nur ihren Teil des Schlüssels kennen, um
den gesamten Schlüssel rekonstruieren zu können. Siehe auch „SplitKnowledge-Prinzip“.
ECC
Elliptic Curve Cryptography (Kryptografie mit elliptischen Kurven).
Kryptografieverfahren für öffentliche Schlüssel basierend auf elliptischen
Kurven über endliche Felder.
Egress
Ausgehender Datenverkehr eines Netzwerks, der über eine
Kommunikationsverbindung in das Netzwerk des Kunden gelangt.
Verschlüsselung
Umwandlung von Informationen in eine nicht lesbare Form, die nur mithilfe
eines bestimmten kryptografischen Schlüssels entschlüsselt werden kann.
Anhand von Verschlüsselung können Informationen zwischen dem
Verschlüsselungs- und dem Entschlüsselungsvorgang (dem Gegenteil von
Verschlüsselung) vor nicht autorisierter Offenlegung geschützt werden.
FIPS
Federal Information Processing Standard
Firewall
Hardware, Software oder beides zum Schutz von Ressourcen in einem
Netzwerk vor Eindringlingen aus anderen Netzwerken. Jedes Unternehmen
mit einem Intranet, über das Mitarbeiter auf das Internet zugreifen können,
sollte über eine Firewall verfügen, um den Zugriff auf interne, private
Datenressourcen durch externe Personen zu verhindern.
FTP
File Transfer Protocol
GPRS
General Packet Radio Service (Allgemeiner paketorientierter Funkdienst).
Mobiler Datendienst, der Benutzern von GSM-Mobiltelefonen zur Verfügung
steht. Ist für die effiziente Nutzung begrenzter Bandbreite bekannt. GPRS ist
insbesondere für das Senden und Empfangen kleiner Datenmengen
geeignet, z. B. für E-Mails und Webbrowsing.
GSM
Global System for Mobile Communications. Bekannter Standard für
Mobiltelefone. Aufgrund der Verbreitung des GSM-Standards ist
internationales Roaming zwischen verschiedenen Mobilfunkanbietern
inzwischen gang und gäbe und gibt Benutzern so die Möglichkeit, ihre
Mobiltelefone in vielen Teilen der Welt zu verwenden.
Glossar, Abkürzungen und Akronyme
5
Begriff
Definition
Host
Hauptcomputerhardware, auf der sich Computersoftware befindet.
Hostinganbieter
Bieten Händlern und anderen Dienstanbietern verschiedene Dienste an.
Dabei kann es sich sowohl um einfache als auch um komplexe Dienste
handeln: von gemeinsam genutztem Speicherplatz auf einem Server über
eine Reihe von „Einkaufswagen“-Optionen und Zahlungsanwendungen bis
hin zu Verbindungen zu Zahlungsgateways und -prozessoren und dem
dedizierten Hosting von nur einem Kunden pro Server.
HTTP
Hypertext Transfer Protocol. Offenes Internetprotokoll zur Übertragung von
Informationen im World Wide Web.
ID
Identität
IDS/IPS
Intrusion Detection System/Intrusion Prevention System. Wird zur
Identifizierung und Warnung vor Angriffsversuchen auf Netzwerke oder
Systeme verwendet. Es besteht aus Sensoren, die Sicherheitsereignisse
generieren, einer Konsole, die Ereignisse und Warnungen überwacht und
die Sensoren kontrolliert sowie einem zentralen Modul, das die von den
Sensoren protokollierten Ereignisse in einer Datenbank protokolliert. Es
verwendet ein Regelsystem, um bei erkannten Sicherheitsereignissen
Warnungen zu generieren. Durch ein IPS wird zudem der Eindringversuch
verhindert.
IETF
Internet Engineering Task Force. Große offene internationale Community
von Netzwerkdesignern, Betreibern, Anbietern und Forschern, die sich mit
der Entwicklung der Internet-Architektur und dem reibungslosen Betrieb des
Internets beschäftigt. Diese Community steht allen Interessierten offen.
Informationssicherhei
t
Schutz von Informationen zur Gewährleistung von Vertraulichkeit, Integrität
und Verfügbarkeit.
Informationssystem
Diskreter Satz strukturierter Datenressourcen, der zur Erfassung,
Verarbeitung, Verwaltung, Verwendung, gemeinsamen Nutzung,
Verbreitung oder Anordnung von Informationen verwendet wird.
Ingress
Eingehender Datenverkehr, der über eine Kommunikationsverbindung und
das Netzwerk des Kunden in das Netzwerk gelangt.
Intrusion Detection
Systems
Siehe IDS.
IP
Internet Protocol. Netzwerkprotokoll, das Adress- und einige
Steuerungslinformationen enthält, mit deren Hilfe Pakete weitergeleitet
werden können. IP ist das primäre Netzwerkprotokoll unter den
Internetprotokollen.
IP-Adresse
Numerischer Code, der zur eindeutigen Identifizierung eines Computers im
Internet dient.
IP-Spoofing
Von Eindringlingen verwendetes Verfahren, um sich unbefugten Zugriff auf
Computer zu verschaffen. Der Eindringling sendet trügerische Mitteilungen
an einen Computer mit einer IP-Adresse, die scheinbar von einem vertrauten
Host stammt.
Glossar, Abkürzungen und Akronyme
6
Begriff
Definition
IPSEC
Internet Protocol Security. Standard zur Sicherung von IP-Kommunikation
durch Verschlüsselung und/oder Authentifizierung aller IP-Pakete. IPSEC
bietet Sicherheit auf Netzwerkebene.
ISO
International Organization for Standardization. Internationale
Nichtregierungsorganisation von Normungsinstituten aus über 150 Ländern
mit einem Vertreter pro Land. Die Zentrale der Organisation befindet sich in
Genf, von wo aus das System koordiniert wird.
ISO 8583
Etablierter Standard für die Kommunikation zwischen Finanzsystemen.
Schlüssel
In der Kryptografie ist ein Schlüssel ein Algorithmuswert, der auf
unverschlüsselten Text angewendet wird, um diesen zu verschlüsseln. Die
Länge des Schlüssels bestimmt in der Regel, wie schwierig die
Entschlüsselung des Textes der jeweiligen Mitteilung ist.
L2TP
Layer 2 Tunneling Protocol. Protokoll zur Unterstützung von VPNs (Virtual
Private Networks).
LAN
Local Area Network. Kleines Computernetzwerk – oft in einem Gebäude
oder in mehreren Gebäuden.
LPAR
Logical Partition. Abschnitt einer Festplatte, der nicht zu den primären
Partitionen gehört. Er wird in einem Datenblock definiert, auf den die
erweiterte Partition verweist.
MAC
Message Authentication Code
Magnetstreifendaten
(Spurdaten)
Im Magnetstreifen verschlüsselte Daten, die bei Transaktionen zur
Autorisierung verwendet werden, wenn die Karte in physischer Form
verwendet wird. Diese Magnetstreifendaten müssen nach der
Transaktionsautorisierung von den Entitäten nicht in vollständiger Form
aufbewahrt werden. Dies bedeutet insbesondere, dass Servicecodes,
verfügbare Daten/Kartenprüfwert/-code und firmeneigene, reservierte Werte
nach der Autorisierung gelöscht werden müssen, während die
Kontonummer, das Ablaufdatum, der Name und der Servicecode je nach
geschäftlichem Bedarf extrahiert und gespeichert werden können.
Malware
Bösartige Software. Sie wird in der Regel zur Infiltration oder Beschädigung
eines Computersystems ohne Wissen oder Erlaubnis des Inhabers
missbraucht.
Überwachung
Kontinuierliche Beaufsichtigung eines Computernetzwerks durch ein
System. Dabei werden u. a. langsame Systeme oder Systemausfälle
überwacht und der Benutzer im Fall von Ausfällen oder anderen Alarmen
benachrichtigt.
MPLS
Multi Protocol Label Switching
NAT
Network Address Translation. Wird auch als Netzwerkmaskierung oder IPMaskierung bezeichnet. Änderung einer in einem Netzwerk verwendeten IPAdresse in eine andere IP-Adresse, die in einem anderen Netzwerk bekannt
ist.
Netzwerk
Zwei oder mehr Computer, die zur gemeinsamen Ressourcennutzung
miteinander verbunden sind.
Glossar, Abkürzungen und Akronyme
7
Begriff
Definition
Netzwerkkomponente
n
Zu Netzwerkkomponenten gehören u. a. Firewalls, Switches, Router,
drahtlose Zugriffspunkte, Netzwerkgeräte und sonstige
Sicherheitsvorrichtungen.
Network Security
Scan
Automatisches Tool, das Händler- bzw. Dienstanbietersysteme über eine
Remoteverbindung auf Sicherheitsrisiken überprüft. Nicht intrusiver Test, bei
dem Systeme mit externer Verbindung basierend auf IP-Adressen mit
externer Verbindung abgesucht werden und über Dienste, die im externen
Netzwerk verfügbar sind (d. h. Dienste, die im Internet verfügbar sind),
Bericht erstattet wird. Sicherheitsrisiken in Betriebssystemen, Diensten und
Geräten, die von Hackern für Angriffe auf das private
Unternehmensnetzwerk verwendet werden können, werden durch Scans
ermittelt.
NIST
National Institute of Standards and Technology. Nicht-regulative Behörde
der technologischen Administration des US-Handelsministeriums. Ziel dieser
Behörde ist es, die Innovation und industrielle Wettbewerbsfähigkeit der
USA durch Unterstützung von Messwissenschaft, Standards und
Technologie zu fördern und so die wirtschaftliche Stabilität und den
Lebensstandard zu verbessern.
Benutzer, die keine
Kunden sind
Alle Personen, außer Kunden, die auf Systeme zugreifen, u. a. Mitarbeiter,
Administratoren und Dritte.
NTP
Protokoll zur Synchronisation der Uhren von Computersystemen über
paketgeschaltete Datennetzwerke mit variabler Wartezeit.
OWASP
Open Web Application Security Project (siehe http://www.owasp.org)
Zahlungskarteninhab
er-Datenumgebung
Der Teil des Netzwerks, in dem Karteinhaberdaten bzw. vertrauliche
Authentifizierungsdaten gespeichert sind.
PAN
Primary Account Number. Die Zahlungskartennummer (Kredit- oder
Debitkarte), die den Kartenaussteller und das jeweilige Karteninhaberkonto
identifiziert. Sie wird auch Kontonummer als Kontonummer bezeichnet.
Kennwort
Eine Zeichenfolge, die als Echtheitsbestätigung des Benutzers dient.
PAD
Packet Assembler/Disassembler. Kommunikationsgerät, das ausgehende
Daten formatiert und Daten aus eingehenden Paketen extrahiert. In der
Kryptografie ist der One-Time-PAD ein Verschlüsselungsalgorithmus mit
einer Kombination aus Text und einem Zufallsschlüssel oder „PAD“, der die
gleiche Länge wie der Klartext hat und nur einmal verwendet wird. Wenn der
Schlüssel außerdem wirklich zufallsgeneriert ist, niemals wieder verwendet
und streng vertraulich behandelt wird, ist der One-Time-PAD nicht zu
entschlüsseln.
PAT
Port Address Translation. Feature eines (NAT) Network Address
Translation)-Geräts, das TCP (Transmission Control Protocol)- oder UDP
(User Datagram Protocol)-Verbindungen mit einem Host und Anschluss
eines externen Netzwerks in Verbindungen mit einem Host und Anschluss
eines internen Netzwerks übersetzt.
Glossar, Abkürzungen und Akronyme
8
Begriff
Definition
Patch
Schnelle Reparatur eines Programmabschnitts. Treten während der Betabzw. Testphase oder nach der formellen Herausgabe der Produktversion
Probleme auf, wird Benutzern als Schnelllösung ein Patch zur Verfügung
gestellt.
PCI
Payment Card Industry
Penetration
Erfolgreiche Umgehung von Sicherheitsmechanismen und Erlangen des
Zugriffs auf ein Computersystem.
Penetrationstest
Sicherheitsorientiertes Absuchen eines Computersystems oder Netzwerks,
um Sicherheitsrisiken zu ermitteln, die von Hackern ausgenutzt werden
können. Darüber hinaus können diese Tests auch tatsächliche
Penetrationsversuche beinhalten. Ziel eines Penetrationstests ist es,
Sicherheitsrisiken zu ermitteln und Verbesserungen der Sicherheit zu
empfehlen.
PIN
Personal Identification Number
Richtlinie
Unternehmensweite Regeln in Bezug auf zulässige Nutzung von
Computerressourcen, Sicherheitspraktiken und Anleitung bei der
Entwicklung betrieblicher Prozeduren.
POS
Point-of-Sale
Prozedur
Beschreibende Schilderung einer Richtlinie. Eine Prozedur beschreibt die
Umsetzung und Durchführung einer Richtlinie.
Protokoll
Vereinbartes Kommunikationsverfahren innerhalb von Netzwerken.
Spezifikation, die die Regeln und Prozeduren beschreibt, die von
Computerprodukten bei Aktivitäten in einem Netzwerk befolgt werden
sollten.
Öffentliches Netzwerk
Ein von einem Telekommunikationsanbieter oder einem anerkannten
Privatunternehmen eingerichtetes und betriebenes Netzwerk, das dem
Zweck dient, Datenübertragungsdienste für die Öffentlichkeit bereitzustellen.
Die Daten müssen für die Übertragung über öffentliche Netzwerke
verschlüsselt werden, da Hacker sie mühelos abfangen, ändern und
umleiten können. Beispiele für öffentliche Netzwerke, die dem PCI DSSStandard entsprechen, sind das Internet, GPRS und GSM.
PVV
PIN Verification Value. Codierung auf dem Magnetstreifen einer
Zahlungskarte.
RADIUS
Remote Authentication and Dial-In User Service. Authentifizierungs- und
Accounting-System. Überprüft die Richtigkeit von an den RADIUS-Server
geleiteten Benutzernamen und Kennwörtern und autorisiert anschließend
den Zugriff auf das System.
RFC
Request for Comments (Aufforderung zu Kommentaren)
Neuverschlüsselung
Änderung der kryptografischen Schlüssel, um den Umfang der mit dem
gleichen Schlüssel zu verschlüsselnden Daten zu begrenzen.
Glossar, Abkürzungen und Akronyme
9
Begriff
Definition
Risikoanalyse
Vorgang, bei dem wertvolle Systemressourcen und Bedrohungen
systematisch identifiziert und Verlustpotenziale basierend auf geschätzten
Vorkommenshäufigkeiten und -kosten quantifiziert werden. Auf Wunsch
kann dieser Vorgang auch Empfehlungen zur Zuweisung von Ressourcen
für Gegenmaßnahmen umfassen, um das Risiko einer systemweiten
Gefährdung zu minimieren. Risikobewertung.
Router
Hardware oder Software, mit der zwei oder mehr Netzwerke miteinander
verbunden werden. Dient als Sortierer und Interpreter und leitet
Informationsabschnitte anhand von Adressen an ihre jeweiligen Zielorte.
Softwarerouter werden manchmal auch als Gateways bezeichnet.
RSA
Algorithmus für die Verschlüsselung öffentlicher Schlüssel, der 1977 von
Ron Rivest, Adi Shamir und Len Adleman vom Massachusetts Institute of
Technology (MIT) beschrieben wurde. Der Name des Algorithmus (RSA)
ergibt sich aus den Anfangsbuchstaben ihrer Nachnamen.
Entschärfung
Löschen vertraulicher Daten aus einer Datei, einem Gerät oder einem
System bzw. Änderung von Daten, um sie für Angreifer unbrauchbar zu
machen.
SANS
SysAdmin, Audit, Network, Security Institute (siehe www.sans.org)
Sicherheitsbeauftragt
er
Hauptverantwortlicher für sicherheitsrelevante Angelegenheiten in einem
Unternehmen.
Sicherheitsrichtlinie
Reihe von Gesetzen, Regeln und Praktiken, die die Verwaltung, den Schutz
und die Verteilung von vertraulichen Informationen innerhalb eines
Unternehmens regeln.
Vertrauliche
Authentifizierungsdat
en
Sicherheitsinformationen (Kartenprüfcodes/-werte, vollständige Spurdaten,
PINs und PIN-Blöcke), die zur Authentifizierung von Karteninhabern
verwendet werden und als Klartext oder in anderer ungeschützter Form
auftreten. Die Offenlegung, Änderung oder Vernichtung dieser Informationen
kann die Sicherheit von Verschlüsselungsgeräten, Informationssystemen
oder Karteninhaberdaten gefährden oder für betrügerische Transaktionen
verwendet werden.
Aufgabentrennung
Aufteilung von Aufgaben in einer Funktion auf verschiedene Einzelpersonen,
sodass keine dieser Personen allein den Prozess sabotieren kann.
Computer, der anderen Computern Dienste zur Verfügung stellt, z. B.
Kommunikationsverarbeitung, Dateispeicherung oder Zugriff auf eine
Druckeinrichtung. Zu den Servertypen gehören u. a. Web-, Datenbank,
Authentifizierungs-, DNS-, Mail-, Proxy- und NTP-Server.
Server
Servicecode
Drei- oder vierstellige Zahl auf dem Magnetstreifen einer Karte, die die
Akzeptanzanforderungen und -einschränkungen bei einer
Magnetstreifentransaktion festlegt.
Glossar, Abkürzungen und Akronyme
10
Begriff
Definition
Dienstanbieter
Geschäftsentität, die weder Kreditkartengesellschaft noch Händler ist und
somit nicht direkt an der Verarbeitung, Speicherung, Übertragung und
Vermittlung von Transaktionsdaten und/oder Karteninhaberinformationen
beteiligt ist. Dazu gehören auch Unternehmen, die Händlern,
Dienstanbietern oder Mitgliedern Dienste anbieten, die die Sicherheit von
Karteninhaberdaten kontrollieren oder sich darauf auswirken können.
Beispiele umfassen Managed Service-Anbieter, die verwaltete Firewalls, IDS
und andere Dienste anbieten, sowie Hostinganbieter und andere Entitäten.
Entitäten wie Telekommunikationsunternehmen, die nur
Kommunikationsverbindungen ohne Zugriff auf die Anwendungsebene der
Kommunikationsverbindungen bereitstellen, gehören nicht zu dieser Gruppe.
SHA
Secure Hash Algorithm. Ein Satz miteinander verwandter kryptografischer
Hash-Funktionen. SHA-1 ist die am häufigsten verwendete Funktion. Durch
die Verwendung eines eindeutigen Streuwertes bei der Hash-Funktion wird
das Risiko von identischen Hash-Werten verringert.
SNMP
Simple Network Management Protocol. Unterstützt die Überwachung von
Geräten in einem Netzwerk auf jegliche Zustände, die die Aufmerksamkeit
eines Administratoren erfordern.
„Split-KnowledgePrinzip“
Sicherheitsvorkehrung, bei der zwei oder mehr Entitäten separate
Schlüsselkomponenten kennen, die nur zusammen den kryptografischen
Schlüssel ergeben.
SQL
Structured Query Language. Computersprache zum Erstellen, Ändern und
Abrufen von Daten aus relationalen Datenverwaltungssystemen.
SQL-Injektion
Form eines Angriffs auf eine datenbankgesteuerte Website. Dabei nutzt der
Angreifer einen unsicheren Code auf einem mit dem Internet verbundenen
System aus, um nicht autorisierte SQL-Befehle auszuführen. Bei Angriffen
mit SQL-Injektion können Eindringlinge normalerweise unzugängliche
Informationen aus einer Datenbank entwenden und/oder sich über den
Computer, der die Datenbank hostet, Zugriff auf die Hostcomputer einer
Organisation verschaffen.
SSH
Secure Shell. Protokolle zur Verschlüsselung von Netzwerkdiensten, z. B.
Remoteanmeldung oder Remotedatenübertragung.
SSID
Service Set Identifier. Name, der einem drahtlosen WiFi- oder IEEE 802.11Netzwerk zugewiesen wird.
SSL
Secure Sockets Layer. Etablierter Industriestandard, nach dem der Kanal
zwischen Webbrowser und Webserver verschlüsselt wird, um eine
vertrauliche und zuverlässige Datenübertragung über diesen Kanal zu
gewährleisten.
Glossar, Abkürzungen und Akronyme
11
Begriff
Definition
Starke Kryptografie
Allgemeiner Begriff für extrem schwer zu analysierende Kryptografie. Das
heißt, der kryptografische Schlüssel bzw. die geschützten Daten werden
aufgrund der kryptografischen Methode (Algorithmus oder Protokoll) nicht
verfügbar gemacht. Die Stärke ist vom verwendeten kryptografischen
Schlüssel abhängig. Die effektive Länge des Schlüssels sollte mit der
Mindestlänge der Schlüssel aus vergleichbaren Empfehlungen für die
Mindestschlüssellänge übereinstimmen. Als Quellen für die empfohlene
Mindeststärke dienen die NIST Special Publication 800-57, August 2005
(http://csrc.nist.gov/publications/), und andere Empfehlungen, die folgende
vergleichbare Sicherheitsanforderungen für Mindestschlüssellängen erfüllen:
•
80 Bit für Systeme, die auf der Verschlüsselung durch geheime
Schlüssel basieren (z. B. TDES)
•
1024-Bit-Modulo für Algorithmen öffentlicher Schlüssel basierend
auf Faktorisierung (z. B. RSA)
•
1024 Bit für den diskreten Logarithmus (z. B. Diffie-Hellman) mit
einer Mindestgröße von 160 Bit einer großen Untergruppe (z. B.
DSA)
•
160 Bit für Kryptografie mit elliptischen Kurven (z. B. ECDSA)
Systemkomponenten
Beliebige Netzwerkkomponenten, Server oder Anwendungen, die in die
Karteninhaberdaten-Umgebung eingebunden oder mit ihr verbunden sind.
TACACS
Terminal Access Controller Access Control System.
Remoteauthentifizierungsprotokoll.
Fälschungssicherheit
System, bei dem Änderungen oder Beschädigungen selbst für einen
Angreifer mit physischem Zugriff auf das System schwierig vorzunehmen
sind.
TCP
Transmission Control Protocol
TDES
Triple Data Encription Standard – wird auch als 3DES bezeichnet.
Blockcodierung, die aus der DES-Codierung durch dreimalige Verwendung
gebildet wird.
TELNET
TELephone NETwork (Telefonnetzwerk-Protokoll). Wird in der Regel zur
Bereitstellung von benutzerorientierten Befehlszeilen-Anmeldesitzungen
zwischen Hosts im Internet verwendet. Programm, das ursprünglich zur
Emulation eines einzelnen Terminals entwickelt wurde, das mit dem anderen
Computer verbunden ist.
Bedrohung
Zustand, durch den Informationen oder
Informationsverarbeitungsressourcen absichtlich oder versehentlich verloren
gehen bzw. geändert, verfügbar gemacht oder unzugänglich gemacht oder
auf andere für das Unternehmen schädigende Weise beeinträchtigt werden.
TLS
Transport Layer Security. Wurde mit dem Ziel entwickelt, Datensicherheit
und -integrität zwischen zwei kommunizierenden Anwendungen zu
gewährleisten. TLS ist der Nachfolger von SSL.
Token
Vorrichtung zur dynamischen Authentifizierung.
Transaktionsdaten
Daten im Zusammenhang mit elektronischem Zahlungsverkehr.
Glossar, Abkürzungen und Akronyme
12
Begriff
Definition
Abschneiden
Entfernen von Datensegmenten. Beim Abschneiden von Kontonummern
werden in der Regel die ersten 12 Ziffern gelöscht, während nur die letzten
vier Ziffern verbleiben.
2-FaktorenAuthentifizierung
Authentifizierung, bei der Benutzer zwei Anmeldeinformationen angeben
müssen, um Zugriff auf ein System zu erhalten. Anmeldeinformationen
bestehen aus einem physischen Element, z. B. Smartcards oder
Hardwaretoken, und einer abstrakten Komponente, z. B. einem Kennwort.
Um Zugriff auf ein System zu erhalten, muss der Benutzer beide Elemente
vorweisen können.
UDP
User Datagram Protocol.
Benutzer-ID
Eine Zeichenfolge, die zur eindeutigen Identifizierung eines Benutzers in
einem System dient.
Virus
Programm oder Codeabschnitt, die sich vervielfachen und Software oder
Daten ändern oder zerstören können.
VPN
Virtual Private Network. Privates Netzwerk, das über einem öffentlichen
Netzwerk eingerichtet wurde.
Sicherheitsrisiko
Schwachstelle in Systemsicherheitsprozeduren, Systemdesign,
Implementierung oder internen Kontrollen, die zur Verletzung der
Sicherheitsrichtlinien des Systems ausgenutzt werden kann.
Schwachstellenscan
Scans, die zur Ermittlung von Sicherheitsrisiken in Betriebssystemen,
Diensten und Geräten durchgeführt werden, die von Hackern für Angriffe auf
das private Unternehmensnetzwerk verwendet werden können.
WEP
Wired Equivalent Privacy. Protokoll, das zufälliges Mithören verhindert und
mit herkömmlichen drahtgebundenen Netzwerken vergleichbare
Vertraulichkeit gewährleisten soll. Bietet keine adäquate Sicherheit gegen
vorsätzliches Mithören (z. B. bei der Kryptoanalyse).
WPA
WiFi Protected Access (WPA und WPA2). Sicherheitsprotokoll für drahtlose
(WiFi-) Netzwerke. Wurde wegen mehrerer schwerwiegender
Schwachstellen im WEP-Protokoll entwickelt.
XSS
Cross-Site-Scripting. Ein Typ von Sicherheitsrisiko, das in der Regel in
Webanwendungen auftritt. Kann von Angreifern dazu verwendet werden,
höhere Berechtigungen für vertrauliche Inhalte, Sitzungscookies und eine
Reihe anderer Objekte zu erlangen.
Glossar, Abkürzungen und Akronyme
13