8 Informationssicherheit und Datenschutz Flashcards
Identitätssicherheit (identity security)
Sicherung der Identität von Benutzern, d.h. die Gewährleistung, dass die Benutzer diejenigen sind, für die sie sich ausgeben
Identitätsmanagementsysteme
Werden für die Gewährleistung der Identitätssicherheit eingesetzt
Datensicherheit (data security)
Sicherung von Datenverlust, Datendiebstahl und Datenverfälschung; durch vorbeugende Maßnahmen soll die jederzeitige Vollständigkeit und Korrektheit der Daten gewährleistet werden
Kommunikationssicherheit (Netzwerksicherheit)
Sicherung der Kommunikationsverbindungen und Sicherung der Informationssysteme gegenüber Angriffen aus Netzwerken
Vertraulichkeit (confidentiality)
Sicherung von geheimer Information gegenüber dem Zugriff von unberechtigten Dritten
Datenintegrität
Nachweis der Unverändertheit von Daten gegenüber dem Originalzustand
Authentifikation
Nachweisliche Identifikation eines Benutzers oder eines Kommunikationspartners
Identitätsdiebstahl
Diebstahl von Anmeldeinformation, um sich als andere Person auszugeben
Verfügbarkeit eines Informationssystems
Gewährleistung, dass berechtigte Benutzer die ihnen zustehenden Dienste nutzen können; es soll insbesondere verhindert werden, dass die Systemdienste durch eine übermäßige Beanspruchung eines anderen (unter Umständen nicht berechtigten Benutzers) blockiert werden können
Botnetz (master&slave)
Vielzahl von Rechnern, die mittels Schadprogrammen unter die Kontrolle eines Angreifers gelangt sind, der diese Rechner ohne Wissen der Besitzer für unterschiedliche Typen von Aufgaben missbrauchen kann
Datenauthentizität
Nachweisliche Identifikation von Meldungen, Dokumenten oder Dateien; hierzu zählt sowohl der Beweis der Integrität der Daten als auch der Beweis ihrer Herkunft
Nichtabstreitbarkeit
Gewährleistung, dass Aktionen am Rechner nicht abgestritten werden können
Zugriffskontrolle
Dienst zur Autorisierung von Zugriffen; den Benutzern sollen ausschließlich die Aktionen gewährt werden, welche ihnen aufgrund ihrer Legitimation erlaubt sind
Zurechenbarkeit
Nachweis, welcher Benutzer welche Systemressourcen in Anspruch genommen hat
Prüfsumme
Vergleichswert, der durch eine Hash-Funktion gebildet wird, die aus beliebigen Daten einen eindeutigen Wert konstanter Länge (oft 128 / 160Bit) ermittelt; die erzeugte Prüfsumme lässt keine Rückschlüsse auf die ursprünglichen Daten zu
Codific mesajul m in m’ si doar cei care stiu Hash Funktion (eu si B) putem sa “citim” mesajul initial
Verschlüsselung
Eine im Klartext vorliegende Information wird nach einer bestimmten Methode und unter der Einbeziehung eines Schlüssels in eine scheinbar sinnlose Zeichenfolge umgewandelt; die resultierende Zeichenfolge kann durch Anwendung der richtigen Schlüssels wiederum in den Klartext zurück verwandelt werden
Asymmetrische Kryptografie
Verschlüsselungsverfahren, das auf dem Einsatz von Schlüsselpaaren beruht; eine Meldung, die mit einem der beiden Schlüssel verschlüsselt wurde, kann nur mit dem jeweils anderen Schlüssel wiederum entschlüsselt werden
(Bob foloseste public key a mea ca sa cripteze mesajul pe care mi-l trimite mie, iar eu folosesc cheia MEA de decriptare; fiecare are PERECHI de chei, una de criptare - public key pe care o stie toata lumea - si una de decriptare pe care doar eu o stiu)
Schlüsselpaar
Besteht aus einem geheimen Schlüssel und einem öffentlichem Schlüssel; eine Meldung, die mit einem der beiden Schlüssel verschlüsselt wurde, kann nur mit dem jeweils anderen Schlüssel wiederum entschlüsselt werden
Steganografisches Verfahren
Ascunzi date intr-un media file (Mona Lisa)
Verfahren zum Verstecken von geheimer Information in Dateien mit “unverdächtigem” Inhalt; die zu übermittelnde gemeine Information wird in einem Trägermedium (zB Bild oder Musikdatei) versteckt; der “Schlüssel” zu der geheimen Information liegt in dem Wissen, wie und wo diese auf dem Trägermedium abgelegt ist
Elektronische Unterschrift
Kryptografisch geschütztes Nachweis, dass ein eindeutig identifizierter Benutzer ein digitales Dokument unterzeichnet hat und dieses danach nicht mehr verändert wurde
Digitales Zertifikat
Digitales Dokument, das von einer Zertifizierungsstelle digital signiert wird und einen öffentlichen Schlüssel nachweislich einer Person oder einer Organisation zuordnet
Risiko
Ereignis, das mit einer bestimmten Wahrscheinlichkeit eintritt und eine Gefährdung bedeuten könnte
Risikomanagement
Umfasst Tätigkeiten, die dazu beitragen sollen, Risiken zu erkennen, in ihrem Ausmaß abzuschätzen und deren Folgen zu vermindern
Gezielter Angriff
Angriff, der sich auf Personen, Unternehmen, Regierungsorganisationen oder Wirtschaftszweige richtet; oft wird hierbei mittels Spionagesoftware gezielt Information gestohlen, um Wettbewerbsvorteile zu erzielen
Informationstechnischen Kriegsführung
Methode, die den gezielten Angriffen gehört; die Angreifer sind vielfach nicht Einzeltäter sondern arbeiten im Auftrag von Organisationen, oder es handelt sich um profesionelle Geheimdienste
Social Engineering
Angriffe, die versuchen durch gezielte Fragen die Freundlichkeit/Naivität/Unvorsichtigkeit von Mitarbeitern auszunutzen; ein Angreifer stellt einem Mitarbeiter gezielte Fragen, um diesem vertrauliche Information über die Sicherheitsmechanismen des IS zu entlocken
Schadprogramm
Softwareprogramm, das mit der Intention geschrieben wurden, unberechtigterweise Funktionen auf fremden Rechnern auszuführen, wobei häufig Schaden verursacht wird
Wahlfreie (diskrete) Zugriffskontrolle
Modell der Zugriffskontrolle, das auf der Annahme beruht, dass der Eigentümer eines Objektes für dessen Schutz alleine verantwortlich ist; der Eigentümer hat freie Wahl, wer (aktiv) auf seine Objekte (passiv) in welcher Weise (Operation) zugreifen darf
Zentralistisch verpflichtende Zugriffskontrolle
Modell der Zugriffskontrolle, das auf die Steuerung des Informationsflusses ausgelegt ist; das Verfahren basiert auf einer Klassifikation (Einstufung) der Subjekte und Objekte eines Systems - hierzu erhalten die Subjekte (Benutzer) und Objekte des Systems (Daten und Programme) jeweils eine Sicherheitsmarkierung zugewiesen, anhand derer entschieden wird, ob ein Informationsfluss zw einem Subjekt und einem Objekt (bzw zw 2 Subjekte) stattfinden darf
Rollenbasierte Zugriffskontrolle
Modell der Zugriffskontrolle, bei dem Zugriffsrechte nicht an Subjekte, sondern an Rollen vergeben werden; in einem getrennten Schritt werden Benutzern diese Rollen gemäß ihrer Aufgabenprofilen zugeordnet, wodurch diese implizit die Zugriffsrechte ihrer jeweiligen Rollen erhalten
Datenschutz
Gesamtheit der gesetzlichen Regelungen und betrieblichen Maßnahmen zum Schutz der informationellen Selbstbestimmung von Personen und zur Sicherheit des Informationshaushalts
Vorratsdatenspeicherung
Gesetzliche Verpflichtung der Anbieter von Telekommunikationsdiensten zur Registrierung von Verkehrsdaten alles Kommunikationsvorgänge, ohne dass ein Anfangsverdacht oder konkrete Hinweise auf Gefahren bestehen
Online Durchsuchung
Heimlicher Zugriff staatlicher Organe auf fremde Rechner über Netzwerke; Zwecke sind die Strafverfolgung, die polizeiliche Gefahrenabwehr und die nachrichtendienstliche Informationsbeschaffung
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
Ein in Deutschland vom Bundesverfassungsgericht als Ausprägung des allgemeinen Persönlichkeitsrechts formuliertes Grundrecht zum Schutz personenbezogener Daten; es ist bei Systemen anzuwenden, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten
Symmetrische Kryptografie
Ver- und die Entschlüsselung erfolgt mit demselben (geheimen) Schlüssel
