Konformität (Zertifizierung/IWTS-Standard)

Im Bereich der Zertifizierung bezeichnet Konformität die Erfüllung eines, als Voraussetzung für eine Zertifizierung zu erfüllenden, Prüfkriteriums. Beim IWTS-Standard, dem ersten Standard für die Prüfung von Webseiten hinsichtlich Cyber-Sicherheit, Einhaltung von Vorschriften zum Datenschutz, Inhaberschaft und Ausweisungspflichten sowie Benutzerfreundlichkeit, werden Details und Elemente der zu prüfenden Webseiten auf Konformität zu zahlreichen Kriterien inspiziert.

Private-Key-Verfahren

Das Private-Key-Verfahren ist ein symmetrisches Verschlüsselungsverfahren, bei dem nur ein geheimer Schlüssel, der Private Key, sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet wird. Als Voraussetzung für dieses Verfahren muss im Vorfeld der Private Key zwischen den Kommunikationspartnern über einen sicheren Kanal ausgetauscht werden, damit die Geheimhaltung des Private Key durchweg gewährleistet ist.

Public-Key-Verfahren

Das Public-Key-Verfahren ist ein asymmetrisches Verschlüsselungsverfahren, bei dem zwei, nicht voneinander ableitbare Schlüssel verwendet werden: Ein öffentlich zugänglicher Public Key und ein geheimer, nur dem Inhaber bekannter, Private Key. Die Verschlüsselung von Daten und Nachrichten sowie die Verifizierung von mit dem Private Key getätigter Signaturen, erfolgt mit dem Public Key. Die Entschlüsselung sowie die Signatur von Daten und Nachrichten erfolgt mit dem Private Key.

Public Key

Der Public Key ist im Bereich von asymmetrischen Verschlüsselungsverfahren (bspw. dem Public-Key-Verfahren) der öffentlich verfügbare Schlüssel, der dazu verwendet wird, Nachrichten zu verschlüsseln, die nur mit dem nicht öffentlich verfügbaren Private Key entschlüsselt werden können. Darüber hinaus können mit dem Public Key Signaturen verifiziert werden, die vorher mit dem dazugehörigen Private Key getätigt wurden.

Private Key

Im Bereich von asymmetrischen Verschlüsselungsverfahren (bspw. dem Public-Key-Verfahren) ist der Private Key ein geheimer Schlüssel zur Entschlüsselung von sensitiven Daten und zum Schutz vor unberechtigtem Zugriff. Ein Private Key besitzt, bei asymmetrischer Verschlüsselung, einen zugehörigen Public Key, mit dem die Daten verschlüsselt wurden, während es bei einem symmetrischen Verschlüsselungsverfahren (bspw. dem Private-Key-Verfahren) nur einen Private Key gibt. Darüber hinaus ist es mit dem Private Key möglich, Daten zu signieren, indem damit eine eindeutige Zeichenfolge generiert wird, die anschließend mit dem Public Key auf Echtheit überprüft werden kann.

Malware

Als Malware werden Schadprogramme bezeichnet, die unaufgefordert und unbemerkt auf Computer übertragen werden und dort schadhafte Prozesse und Funktionen durchführen. Malware ist somit der Oberbegriff für Viren, Trojaner, Würmer, etc. Antivirenprogramme sind eine der wichtigsten Schutzkomponenten, um sich vor Malware zu schützen, da einmal auf dem Computer, Malware nur schwer aufgespürt und vollständig entfernt werden kann.

Cyber-Grooming

Als Cyber-Grooming werden Aktivitäten durch Ansprechen von Personen im Internet bezeichnet, die das Ziel verfolgen, sexuelle Kontakte herzustellen. Demnach kann es sich bei Cyber-Grooming um eine Form sexueller Belästigung handeln oder um das konkrete Ziel sexuellen Missbrauch, online, bspw. durch Chat, Erlangung von Bildern oder Videos oder offline durch reale Treffen, anzubahnen. Üblicherweise wird durch Vortäuschung von Verständnis, Schmeicheln oder durch Geschenke zuerst Vertrauen aufgebaut, um daraufhin eine Straftat, wie beispielsweise die Anfertigung von kinderpornografischem Material oder durch sexuellen Missbrauch, begehen zu können.

Digitaler Verbraucherschutz

Der digitale Verbraucherschutz hat zum Ziel, Endkunden durch die Etablierung von grundlegenden Sicherheitsstandards sowie durch Informationen und Sensibilisierung vor cyber-kriminellen Handlungen zu schützen. Weitere Ziele sind die Warnung vor aktuellen und strukturellen Sicherheitsrisiken bei gängigen und etablierten IT-Systemen und -Diensten sowie die Unterstützung von befugten Stellen, um berechtigte Sicherheitsinteressen bei Herstellern und Diensteanbietern durchzusetzen.

IT-Sicherheitsforschung

Die IT-Sicherheitsforschung beschäftigt sich mit vielen wichtigen Bereichen von kritischen Infrastrukturen und IKT-Systemen für beispielsweise Verwaltung, Strom, Verkehr und Gesundheitswesen, da diese essenziell für eine funktionierende Wirtschaft und Gesellschaft sind und mit der zunehmenden Digitalisierung auch das Risiko von Cyber-Angriffen stetig steigt.

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz oder Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das vom deutschen Bundestag verabschiedet wurde und seit 2015 gültig ist, soll dazu beitragen, dass die in Deutschland betriebenen IT-Systeme und digitalen Infrastrukturen zu den sichersten der Welt gehören. Dies spielt vor allem in den Bereichen der kritischen Infrastrukturen, wie Wasser- und Stromversorgung, Ernährung oder Finanzen, eine herausragende Rolle. Ein weiteres wichtiges Ziel ist aber auch die Verbesserung der IT-Sicherheit in Unternehmen und ein verbesserter Schutz im Internet.

Inhärenz

Im Bereich der Technik bedeutet inhärente Sicherheit, ähnlich wie bei der Redundanz, dass ein System derart erstellt ist, dass es weiterhin sicher arbeiten kann, auch wenn mehrere Komponenten ausgefallen sind.

Im Rahmen der PDS2 bedeutet Inhärenz “etwas, das einem Nutzer körperlich oder persönlich zu eigen ist, wie beispielsweise ein Fingerabdruck.” und ist, neben Wissen und Besitz, eines der drei Authentifizierungskategorien, von denen, im Rahmen der Zwei-Faktor-Authentisierung mindestens zwei für die starke Kundenauthentifizierung herangezogen werden müssen.

OWASP – Open Web Application Security Project

Die Non-Profit-Organisation Open Web Application Security Project (OWASP) hat das Ziel zur Erhöhung der Sicherheit von Diensten und Anwendungen im Internet beizutragen und diese zu verbessern. Im Mittelpunkt steht das Schaffen von Transparenz, um Organisationen und Endanwender auf Sicherheitsrisiken hinzuweisen, auf deren Basis fundierte Entscheidungen getroffen werden können. Hierfür werden innerhalb des Projekts Methoden, Werkzeuge, Technologien und Informationsmaterialien erarbeitet und für Interessierte frei zur Verfügung gestellt. Am OWASP sind weltweit verteilt sowohl Firmen und Bildungseinrichtungen als auch Einzelpersonen beteiligt.

Ein vielfach beachtetes Dokument ist OWASP Top 10, das regelmäßig aktualisiert und veröffentlicht wird und einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen darstellt. OWASP Top 10 findet mitunter auch bei der Zertifizierung mit dem IWTS-Standard Beachtung.

IKT – Informations- und Kommunikationstechnik

Als Informations- und Kommunikationstechnik (kurz IKT oder ITK für Informationstechnik und Kommunikationstechnik), wird im weitesten Sinne jede technische Kommunikationsanwendung verstanden. Die Verbindung der beiden Technologien hat die Entstehung und den heutigen Standard von bspw. Internet, Mobilfunk oder Netzwerken begünstigt, was sich auch auf Organisationsstrukturen und deren Flexibilität auswirkt.

BDSG – Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) besteht in seiner ursprünglichen Form seit 1978. Dessen Neufassung ist am 25.05.2018, zusammen mit der Datenschutz-Grundverordnung, in Kraft getreten. Es umfasst alle, die Bundesrepublik Deutschland betreffenden Datenschutzregeln und legt, zusammen mit den Datenschutzgesetzen der Bundesländer und weiterer Regelungen, fest, wie mit personenbezogenen Daten umzugehen ist, welche durch Informations- und Kommunikationssysteme oder auch manuell verarbeitet werden, um somit auch die allgemeine Cyber-Sicherheit zu erhöhen. Das Gesetz besteht aus vier Teilen und insgesamt 85 Paragraphen.

TLS

Das TLS (Transport Layer Security, auf Deutsch etwas holprig Transportschichtsicherheit) ist als Nachfolgemodell des SSL ein Verschlüsselungsprotokoll, um die Sicherheit von Internetprozessen zu gewährleisten. Es fußt auf dem Protokol SSL und ist auch landläufig weiter unter diesem Namen bekannt.

Allianz für Cyber-Sicherheit

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI), mit dem Ziel, die Widerstandsfähigkeit des Wirtschaftsstandorts Deutschland gegenüber Cyber-Angriffen zu stärken. Dem ständig wachsenden Netzwerk der Allianz für Cyber-Sicherheit gehören bereits mehr als 4000 Unternehmen und Institutionen an, die  sich aus IT-Dienstleistungsunternehmen, IT-Herstellern, Beratungsunternehmen sowie Anwenderunternehmen aller Größen und Branchen zusammensetzen.

PSD2

Die PSD2 oder Zweite Zahlungsdienstleisterrichtlinie ist seit dem 13. Januar 2018 in kraft und soll unter anderem Online-Transaktionen gleichzeitig vereinfachen und sicherer gestalten. Hierfür muss der Auftraggeber einer Transaktion, oft der Kunde, seine Identität mit einer 2-faktoriellen Authentifikation verifizieren (z.B. durch PIN und Handynummer).

Cyber-Sicherheit

Der Terminus Cyber-Sicherheit aus der Kommunikationstechnik erweitert den herkömmlichen Begriff der IT-Sicherheit auf den gesamten Raum der nationalen und internationalen Vernetzung. Cyber-Sicherheit erstreckt sich auf alle am virtuellen Datenfluss beteiligten Systeme und Prozesse.

Spyware

Spyware (Kunstwort aus englisch spy – Spion und dem letzten Teil aus Software) ist Software, die zur Spionage eingesetzt wird. Mittels Spyware können Externe die Daten eines Internetbenutzers sichten und sammeln. Diese können entweder weiterversendet oder analysiert werden. Spyware ist zum Beispiel wichtig, um Werbeeinblendungen auf Benutzer zuzuschneiden.

SCA – Strong-Customer-Authentication

SCA oder Strong-Customer-Authentication bedeutet auf Deutsch starke Kundenauthentifikation. Die SCA basiert auf einer Verifikation eines Zahlungsleisters durch zwei verschiedene Faktoren (zum Beispiel Tablet und Gesichtserkennung). Mittels SCA sollen Betrugsfälle bei Onlinetransaktionen signifikant minimiert werden. SCA gilt nur für Transaktionen, die vom Zahlenden eingeleitet werden.

Weitere Informationen finden Sie in unserem Beitrag: SCA – Strong-Customer-Authentication

Hashfunktion

Mittels einer Hashfunktion können sogenannte Schlüssel (größere Eingabemengen wie Texte oder Wörter) in kleineren Zielmengen dargestellt werden. Diese Zielwerte heißen Hashwerte. Während die Schlüssel in der Menge ihrer Elemente variieren können, sind die Hashwerte in der Regel numerisch festgelegt. Wenn verschiedene Schlüssel denselben Hashwert zugewiesen bekommen, kommt es zu einer Kollision.

HTTPS

HTTPS oder Hypertext Transfer Protocol Secure (sicheres Hypertext Übertragungsprotokoll) bezeichnet eine Verschlüsselungsmethode für die Datenübertragung zwischen einem Browser und einem Server. Das Transportverschlüsselungsprotokoll sorgt dafür, dass die Daten abhörsicher übertragen werden. Die Verschlüsselung erfolgt hierbei in beide Richtungen. HTTPS basiert auf HTTP und gewährleistet die Datensicherheit durch eine zusätzliche Verschlüsselung.

DSGVO – Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) gilt für alle Arten von Unternehmen, welche automatisiert personenbezogene Daten verarbeiten. Für Unternehmen erhöht sich dadurch die Dokumentations- und Rechenschaftspflicht gegenüber ihrer Kunden über die gespeicherten personenbezogenen Daten. Darüber hinaus dürfen die personenbezogenen Daten nur zweckgebunden verwendet werden. Im Falle der Nichtbeachtung drohen den betroffenen Unternehmen hohe Abmahnungen.

Weitere Informationen finden Sie in unserem Beitrag: EU-Datenschutz-Grundverordnung (DSGVO) und Datenschutzbestimmungen durch die DSGVO auf Webseiten