Konformität (Zertifizierung/IWTS-Standard)

Im Bereich der Zertifizierung bezeichnet Konformität die Erfüllung eines, als Voraussetzung für eine Zertifizierung zu erfüllenden, Prüfkriteriums. Beim IWTS-Standard, dem ersten Standard für die Prüfung von Webseiten hinsichtlich Cyber-Sicherheit, Einhaltung von Vorschriften zum Datenschutz, Inhaberschaft und Ausweisungspflichten sowie Benutzerfreundlichkeit, werden Details und Elemente der zu prüfenden Webseiten auf Konformität zu zahlreichen Kriterien inspiziert.

Private-Key-Verfahren

Das Private-Key-Verfahren ist ein symmetrisches Verschlüsselungsverfahren, bei dem nur ein geheimer Schlüssel, der Private Key, sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet wird. Als Voraussetzung für dieses Verfahren muss im Vorfeld der Private Key zwischen den Kommunikationspartnern über einen sicheren Kanal ausgetauscht werden, damit die Geheimhaltung des Private Key durchweg gewährleistet ist.

Public-Key-Verfahren

Das Public-Key-Verfahren ist ein asymmetrisches Verschlüsselungsverfahren, bei dem zwei, nicht voneinander ableitbare Schlüssel verwendet werden: Ein öffentlich zugänglicher Public Key und ein geheimer, nur dem Inhaber bekannter, Private Key. Die Verschlüsselung von Daten und Nachrichten sowie die Verifizierung von mit dem Private Key getätigter Signaturen, erfolgt mit dem Public Key. Die Entschlüsselung sowie die Signatur von Daten und Nachrichten erfolgt mit dem Private Key.

Public Key

Der Public Key ist im Bereich von asymmetrischen Verschlüsselungsverfahren (bspw. dem Public-Key-Verfahren) der öffentlich verfügbare Schlüssel, der dazu verwendet wird, Nachrichten zu verschlüsseln, die nur mit dem nicht öffentlich verfügbaren Private Key entschlüsselt werden können. Darüber hinaus können mit dem Public Key Signaturen verifiziert werden, die vorher mit dem dazugehörigen Private Key getätigt wurden.

Private Key

Im Bereich von asymmetrischen Verschlüsselungsverfahren (bspw. dem Public-Key-Verfahren) ist der Private Key ein geheimer Schlüssel zur Entschlüsselung von sensitiven Daten und zum Schutz vor unberechtigtem Zugriff. Ein Private Key besitzt, bei asymmetrischer Verschlüsselung, einen zugehörigen Public Key, mit dem die Daten verschlüsselt wurden, während es bei einem symmetrischen Verschlüsselungsverfahren (bspw. dem Private-Key-Verfahren) nur einen Private Key gibt. Darüber hinaus ist es mit dem Private Key möglich, Daten zu signieren, indem damit eine eindeutige Zeichenfolge generiert wird, die anschließend mit dem Public Key auf Echtheit überprüft werden kann.

Malware

Als Malware werden Schadprogramme bezeichnet, die unaufgefordert und unbemerkt auf Computer übertragen werden und dort schadhafte Prozesse und Funktionen durchführen. Malware ist somit der Oberbegriff für Viren, Trojaner, Würmer, etc. Antivirenprogramme sind eine der wichtigsten Schutzkomponenten, um sich vor Malware zu schützen, da einmal auf dem Computer, Malware nur schwer aufgespürt und vollständig entfernt werden kann.

Trusted Computing Group (TCG)

Die Trusted Computing Group (TCG) ist eine Standardisierungs-Organisation, die von der Industrie betrieben wird. Die TCG entwickelt offene Standards für Trusted-Computing-Plattformen. Das Ziel der TCG ist, laut Webseite frei übersetzt, die Entwicklung und Förderung offener und von Herstellern unabhängiger Spezifikationen von Industriestandards für plattformübergreifende Softwareschnittstellen und Bausteine von Trusted-Computing-Plattformen. Diese sollen auf den Geräten, welche die Standards der Trusted-Computing-Plattformen verwenden, ungewollte Veränderungen erkennen und verhindern sowie externe Software-Angriffe verhindern können.

Cyber-Grooming

Als Cyber-Grooming werden Aktivitäten durch Ansprechen von Personen im Internet bezeichnet, die das Ziel verfolgen, sexuelle Kontakte herzustellen. Demnach kann es sich bei Cyber-Grooming um eine Form sexueller Belästigung handeln oder um das konkrete Ziel sexuellen Missbrauch, online, bspw. durch Chat, Erlangung von Bildern oder Videos oder offline durch reale Treffen, anzubahnen. Üblicherweise wird durch Vortäuschung von Verständnis, Schmeicheln oder durch Geschenke zuerst Vertrauen aufgebaut, um daraufhin eine Straftat, wie beispielsweise die Anfertigung von kinderpornografischem Material oder durch sexuellen Missbrauch, begehen zu können.

TAN

Eine Transaktionsnummer (TAN) ist ein einmalig verwendbares Passwort, das in der Regel aus sechs Ziffern besteht und überwiegend beim Online-Banking Verwendung findet. Die TAN muss bei einer Transaktion, wie zum Beispiel einer Überweisung, angegeben werden, um die Gültigkeit des Auftrags zu bestätigen. Ursprünglich wurden TAN anhand einer TAN-Liste bereitgestellt. Inzwischen wurde die Liste, vor allem aufgrund erhöhter Gefahren von Phishing-Angriffen, durch andere Verfahren wie beispielsweise pushTAN oder TAN-Generator ersetzt, bei denen die TAN unmittelbar vor einer nötigen Auftragsbestätigung durch eine von der Bank zur Verfügung gestellten mobilen App oder eines speziellen TAN-Generator-Geräts mitgeteilt wird.

PIN

PIN steht für den englischen Begriff “Personal Identification Number” oder auf Deutsch “Persönliche Identifikationsnummer” und wird umgangssprachlich auch als Geheimzahl bezeichnet. Die PIN ist ursprünglich eine Zahlenkombination, die nur einer oder sehr wenigen Personen bekannt ist und zur Authentifizierung gegenüber einem Gerät, wie Computer, Mobiltelefonen oder Bankautomaten verwendet wird, um den Missbrauch durch unbefugte Personen oder Maschinen zu verhindern.

Datenschutzbeauftragter (DSB)

Ein Datenschutzbeauftragter (DSB) organisiert in Betrieben oder Behörden die Einhaltung des Datenschutzes. Der DSB kann ein Mitarbeiter sein oder als externer DSB bestellt werden, muss die notwendige Fachkunde besitzen und darf seine Tätigkeit durch konfliktreiche Selbstkontrolle nicht gefährden.

Die generellen Aufgaben und Tätigkeiten des DSB, die in Deutschland im Budesdatenschutzgesetz (BDSG) geregelt werden, sind insbesondere:

  • Umsetzen von Datenschutzrichtlinien
  • Dokumentieren der Prozesse zum Datenschutz
  • Ansprechpartner für alle Datenschutzthemen
  • Überwachen und Prüfen der Einhaltung der Datenschutzbestimmungen beim Umgang mit personenbezogenen Daten und der Rechtmäßigkeit bei der Datenerhebung
  • Melden von Datenschutzverstößen und Verfolgung derer in Kooperation mit internen oder externen Organisationen
  • Überwachen der Datenlöschung
  • Aufbau einer internen oder externen Organisation zur Überwachung der Einhaltung des Datenschutzes

Digitaler Verbraucherschutz

Der digitale Verbraucherschutz hat zum Ziel, Endkunden durch die Etablierung von grundlegenden Sicherheitsstandards sowie durch Informationen und Sensibilisierung vor cyber-kriminellen Handlungen zu schützen. Weitere Ziele sind die Warnung vor aktuellen und strukturellen Sicherheitsrisiken bei gängigen und etablierten IT-Systemen und -Diensten sowie die Unterstützung von befugten Stellen, um berechtigte Sicherheitsinteressen bei Herstellern und Diensteanbietern durchzusetzen.

IT-Sicherheitsforschung

Die IT-Sicherheitsforschung beschäftigt sich mit vielen wichtigen Bereichen von kritischen Infrastrukturen und IKT-Systemen für beispielsweise Verwaltung, Strom, Verkehr und Gesundheitswesen, da diese essenziell für eine funktionierende Wirtschaft und Gesellschaft sind und mit der zunehmenden Digitalisierung auch das Risiko von Cyber-Angriffen stetig steigt.

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz oder Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das vom deutschen Bundestag verabschiedet wurde und seit 2015 gültig ist, soll dazu beitragen, dass die in Deutschland betriebenen IT-Systeme und digitalen Infrastrukturen zu den sichersten der Welt gehören. Dies spielt vor allem in den Bereichen der kritischen Infrastrukturen, wie Wasser- und Stromversorgung, Ernährung oder Finanzen, eine herausragende Rolle. Ein weiteres wichtiges Ziel ist aber auch die Verbesserung der IT-Sicherheit in Unternehmen und ein verbesserter Schutz im Internet.

Inhärenz

Im Bereich der Technik bedeutet inhärente Sicherheit, ähnlich wie bei der Redundanz, dass ein System derart erstellt ist, dass es weiterhin sicher arbeiten kann, auch wenn mehrere Komponenten ausgefallen sind.

Im Rahmen der PDS2 bedeutet Inhärenz “etwas, das einem Nutzer körperlich oder persönlich zu eigen ist, wie beispielsweise ein Fingerabdruck.” und ist, neben Wissen und Besitz, eines der drei Authentifizierungskategorien, von denen, im Rahmen der Zwei-Faktor-Authentisierung mindestens zwei für die starke Kundenauthentifizierung herangezogen werden müssen.

OWASP – Open Web Application Security Project

Die Non-Profit-Organisation Open Web Application Security Project (OWASP) hat das Ziel zur Erhöhung der Sicherheit von Diensten und Anwendungen im Internet beizutragen und diese zu verbessern. Im Mittelpunkt steht das Schaffen von Transparenz, um Organisationen und Endanwender auf Sicherheitsrisiken hinzuweisen, auf deren Basis fundierte Entscheidungen getroffen werden können. Hierfür werden innerhalb des Projekts Methoden, Werkzeuge, Technologien und Informationsmaterialien erarbeitet und für Interessierte frei zur Verfügung gestellt. Am OWASP sind weltweit verteilt sowohl Firmen und Bildungseinrichtungen als auch Einzelpersonen beteiligt.

Ein vielfach beachtetes Dokument ist OWASP Top 10, das regelmäßig aktualisiert und veröffentlicht wird und einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen darstellt. OWASP Top 10 findet mitunter auch bei der Zertifizierung mit dem IWTS-Standard Beachtung.

IKT – Informations- und Kommunikationstechnik

Als Informations- und Kommunikationstechnik (kurz IKT oder ITK für Informationstechnik und Kommunikationstechnik), wird im weitesten Sinne jede technische Kommunikationsanwendung verstanden. Die Verbindung der beiden Technologien hat die Entstehung und den heutigen Standard von bspw. Internet, Mobilfunk oder Netzwerken begünstigt, was sich auch auf Organisationsstrukturen und deren Flexibilität auswirkt.

BDSG – Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) besteht in seiner ursprünglichen Form seit 1978. Dessen Neufassung ist am 25.05.2018, zusammen mit der Datenschutz-Grundverordnung, in Kraft getreten. Es umfasst alle, die Bundesrepublik Deutschland betreffenden Datenschutzregeln und legt, zusammen mit den Datenschutzgesetzen der Bundesländer und weiterer Regelungen, fest, wie mit personenbezogenen Daten umzugehen ist, welche durch Informations- und Kommunikationssysteme oder auch manuell verarbeitet werden, um somit auch die allgemeine Cyber-Sicherheit zu erhöhen. Das Gesetz besteht aus vier Teilen und insgesamt 85 Paragraphen.

TLS

Das TLS (Transport Layer Security, auf Deutsch etwas holprig Transportschichtsicherheit) ist als Nachfolgemodell des SSL ein Verschlüsselungsprotokoll, um die Sicherheit von Internetprozessen zu gewährleisten. Es fußt auf dem Protokol SSL und ist auch landläufig weiter unter diesem Namen bekannt.

Allianz für Cyber-Sicherheit

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI), mit dem Ziel, die Widerstandsfähigkeit des Wirtschaftsstandorts Deutschland gegenüber Cyber-Angriffen zu stärken. Dem ständig wachsenden Netzwerk der Allianz für Cyber-Sicherheit gehören bereits mehr als 4000 Unternehmen und Institutionen an, die  sich aus IT-Dienstleistungsunternehmen, IT-Herstellern, Beratungsunternehmen sowie Anwenderunternehmen aller Größen und Branchen zusammensetzen.

PSD2

Die PSD2 oder Zweite Zahlungsdienstleisterrichtlinie ist seit dem 13. Januar 2018 in kraft und soll unter anderem Online-Transaktionen gleichzeitig vereinfachen und sicherer gestalten. Hierfür muss der Auftraggeber einer Transaktion, oft der Kunde, seine Identität mit einer 2-faktoriellen Authentifikation verifizieren (z.B. durch PIN und Handynummer).

Cyber-Sicherheit

Der Terminus Cyber-Sicherheit aus der Kommunikationstechnik erweitert den herkömmlichen Begriff der IT-Sicherheit auf den gesamten Raum der nationalen und internationalen Vernetzung. Cyber-Sicherheit erstreckt sich auf alle am virtuellen Datenfluss beteiligten Systeme und Prozesse.

Spyware

Spyware (Kunstwort aus englisch spy – Spion und dem letzten Teil aus Software) ist Software, die zur Spionage eingesetzt wird. Mittels Spyware können Externe die Daten eines Internetbenutzers sichten und sammeln. Diese können entweder weiterversendet oder analysiert werden. Spyware ist zum Beispiel wichtig, um Werbeeinblendungen auf Benutzer zuzuschneiden.

SCA – Strong-Customer-Authentication

SCA oder Strong-Customer-Authentication bedeutet auf Deutsch starke Kundenauthentifikation. Die SCA basiert auf einer Verifikation eines Zahlungsleisters durch zwei verschiedene Faktoren (zum Beispiel Tablet und Gesichtserkennung). Mittels SCA sollen Betrugsfälle bei Onlinetransaktionen signifikant minimiert werden. SCA gilt nur für Transaktionen, die vom Zahlenden eingeleitet werden.

Weitere Informationen finden Sie in unserem Beitrag: SCA – Strong-Customer-Authentication

Hashfunktion

Mittels einer Hashfunktion können sogenannte Schlüssel (größere Eingabemengen wie Texte oder Wörter) in kleineren Zielmengen dargestellt werden. Diese Zielwerte heißen Hashwerte. Während die Schlüssel in der Menge ihrer Elemente variieren können, sind die Hashwerte in der Regel numerisch festgelegt. Wenn verschiedene Schlüssel denselben Hashwert zugewiesen bekommen, kommt es zu einer Kollision.

HTTPS

HTTPS oder Hypertext Transfer Protocol Secure (sicheres Hypertext Übertragungsprotokoll) bezeichnet eine Verschlüsselungsmethode für die Datenübertragung zwischen einem Browser und einem Server. Das Transportverschlüsselungsprotokoll sorgt dafür, dass die Daten abhörsicher übertragen werden. Die Verschlüsselung erfolgt hierbei in beide Richtungen. HTTPS basiert auf HTTP und gewährleistet die Datensicherheit durch eine zusätzliche Verschlüsselung.

DSGVO – Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) gilt für alle Arten von Unternehmen, welche automatisiert personenbezogene Daten verarbeiten. Für Unternehmen erhöht sich dadurch die Dokumentations- und Rechenschaftspflicht gegenüber ihrer Kunden über die gespeicherten personenbezogenen Daten. Darüber hinaus dürfen die personenbezogenen Daten nur zweckgebunden verwendet werden. Im Falle der Nichtbeachtung drohen den betroffenen Unternehmen hohe Abmahnungen.

Weitere Informationen finden Sie in unserem Beitrag: EU-Datenschutz-Grundverordnung (DSGVO) und Datenschutzbestimmungen durch die DSGVO auf Webseiten