Formen von Trojanern (und somit Unterformen von Malware), die auf manuelle menschliche Verwendung spezialisiert sind. Kommen normalerweise bei gezielten Cyber-Angriffen zum Einsatz und sind meist modular gestaltet.

Antimalware Scan Interface. Schnittstelle in Windows, die es Antivirusprogrammen und Endpoint Protection erlaubt, Programmcodes auch während der Ausführung im Arbeitsspeicher auf bösartige Funktionalität zu untersuchen.

Advanced Persistent Threat. Beschreibt längerfristige (persistent) Bedrohungen durch sehr fähige (advanced) bösartige Akteure (threats).

Azure Active Directory (Azure AD) ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Mehr Informationen:

Azure AD Connect ist ein Tool von Microsoft zur Herstellung einer lokalen Identitätsinfrastruktur mit Microsoft Azure AD. Mehr Informationen:

Bundesamt für Sicherheit in der Informationstechnik. Zentrale Stelle auf Bundesebene für die meisten Fragen der IT-Sicherheit.

Ein Team, welches die Verteidigerrolle einnimmt. Je nach Unternehmen beinhaltet dies ein SOC (Security Operations Center), Security Administrators, normale Netzwerk- und Systemadministratoren, ein IR-Team (Incident-Response-Team) und andere. Generell alle Angehörige einer Organisation, die primär mit Verteidigung beschäftigt sind.

CIS-Benchmarks sind Basispläne für Konfiguration und bewährte Methoden zur sicheren Konfiguration eines Systems. Mehr Informationen: https://www.cisecurity.org/benchmark/azure/

Gegenteil von „Dark Net“. Damit ist das öffentliche und frei zugängliche Internet gemeint.

Gegenteil von „Deep Web“. Alle Webseiten, die über Suchmaschinen oder auf andere einfache Weise aufgefunden werden können.

Customer Premises Equipment. Sämtliche Geräte (Equipment), die es einem Kunden (Customer) erlauben, Zugang zu technischen Diensten oder Netzwerken eines Anbieters zu erlangen, und die in Räumlichkeiten des Kunden (Premises) installiert sind. Hierzu gehören zum Beispiel Modems, Router, Faxgeräte oder Femtozellen.

Credential Stuffing ist eine Technik von Hackern, bei der gestohlene oder in Data Breaches geleakte Anmeldeinformationen in großem Umfang automatisiert gegen Login-Portale geprüft werden.

Öffentliches Netzwerk, das nicht direkt durch das Internet, sondern nur mit besonderer Zugangssoftware erreicht werden kann. Hierzu gehören insbesondere TOR (The Onion Router), I2P und Freenet.

Webseiten, die zwar im Internet (nicht im Darknet) ohne Zusatzsoftware theoretisch erreichbar sind, aber nur aufrufbar sind, wenn man den korrekten Link zu der jeweiligen Deep-Web-Ressource hat. Grund ist, dass Deep-Web-Ressourcen Indizierung verhindern, in nicht-europäischen Fremdsprachen vorliegen oder es keine Verknüpfungen zu diesen Ressourcen gibt, denen Suchmaschinen folgen könnten.

Feld und Prozesse, um Sachverhalte und Vorgänge mit IT-Sicherheitsbezug zu rekonstruieren. Soll die typischen Wer-Fragen bei IT-Sicherheitsvorfällen beantworten: Wer hat wann was und wo gemacht, mit welchen Auswirkungen?

Mini-Malware, welche die schädlichen Hauptkomponenten, d.h. die „Haupt-Malware“, nachlädt.

Phishing-Angriffe, die sich bezüglich Grad der Anpassung zwischen Massen-Phishing und Spear Phishing bewegen. Die Besonderheit bei Dynamit-Phishing ist jedoch, dass Dynamit-Phishing-Mails meistens Bezug auf vergangene, echte Kommunikation nehmen und im Namen eines echten beteiligten Kommunikationspartners, der infiziert wurde, auf diese Kommunikation geantwortet wird. In der neuen gefälschten Antwort befindet sich jedoch Malware. Die Bezugnahme auf vergangene Kommunikation und der Versand von echten Absendern sorgt dafür, dass Dynamite Phishing besonders effektiv ist. Wird häufig durch Ransomware eingesetzt.

Ein Exploit ist ein Stück Code oder ein Programmteil, der es Hackern erlaubt, gefundene Schwachstellen in Soft- oder Hardware auszunutzen.

GEOspatial INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus raumbezogenen Datenquellen bezogen wurden. Hierzu gehören Karten, Lokalisierung von Objekten, Satellitenbilder, Overlays (z.B. mit Infrastruktur) oder andere Geoinformationssysteme (GIS).

Hyper Text Transfer Protocol

Das Protokoll des Webs bzw. der Webbrowser/Webserver.

Eine Direktive des HTTP Protokolls

HUMan INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus menschlichen Quellen (z.B. durch Social Engineering) erlangt wurden.

Standard für IT-Sicherheit im Bereich IoT, IIoT und ICS (Industrial Control Systems). Beinhaltet Vorgaben, wie eingebettete Systeme (Embedded Systems) gegen Angriffe abzusichern sind.

Industrial Internet of Things. Hierbei handelt es sich um IoT-Geräte im industriellen Einsatz.

Internet of Things, „Internet der Dinge“. Bezeichnet physische Dinge/Geräte, die netzwerkfähig sind. Beinhaltet zum Beispiel Sensoren (Temperatur, Kameras), Aktoren, generelle Regelungstechnik, Haushaltsgeräte, Beleuchtung und vieles mehr. Generell handelt es sich um die Verschmelzung der Welt der physischen Dinge mit der digitalen Welt.

Alle Prozesse einer Organisation, um auf Sicherheitsvorfälle zu reagieren.

Informationssicherheits-Managementsystem (Information Security Management System). Dies ist ein System, um Fragen der Informationssicherheit in Unternehmen zu managen. Hierzu gehört unter anderem Schwachstellenmanagement, Vorfallsmanagement, Change Management, Freigaben und vieles mehr.

Standard für Informationssicherheits-Managementsysteme (ISMS).

Java-Laufzeitumgebung. Sie wird benötigt, um Java-Programme auf verschiedenen Architekturen und Systemen lauffähig zu machen.

Modell, das die Vorgehensweise von Angreifern bei Cyber-Angriffen beschreibt und in mehrere übliche Phasen aufteilt. Diese Phasen reichen von der Informationsgewinnung, Auskundschaftung des Ziels und Angriffsvorbereitung über das Durchbrechen der äußeren Verteidigungslinie hin zum permanenten Einnisten, Verstecken und Ausbreiten im internen Netzwerk des Angriffsziels.

Eine Post-Exploitation-Aktivität. Hierbei bewegt sich der Angreifer innerhalb eines Netzes von System zu System, bis er Zugriff auf die für ihn eigentlich interessanten Zielsysteme erlangt. Oft starten Angriffe auf für den Angreifer uninteressanten Systemen wie Workstations, von wo er sich dann über Server bis zum eigentlichen Angriffsziel weiterhangelt.

Lightweight Directory Access Protocol: Ein Protokoll, das die Abfrage von Verzeichnisdaten über das Netzwerk erlaubt.

Automatische Protokollierung von Softwareprozessen.

Sammelbegriff für sämtliche Schadsoftware. Beinhaltet Viren, Würmer, Trojaner, Agents, Implants, Ransomware, Dropper, Loader, Beacons und alle andere Software, die für bösartige Zwecke verwendet werden kann.

Sammlung von Techniken von Angreifern, d.h. eine Sammlung von TTPs. ATT&CK steht hierbei für Adversarial Tactics, Techniques and Common Knowledge.

Modus Operandi. Generelle Vorgehensweise eines bestimmten Akteurs, bestehend aus einer Sammlung von TTPs (Tactics, Techniques and Procedures) sowie Vorgehensweisen, die sich nicht direkt gegen das Ziel richten oder der unmittelbaren Angriffsvorbereitung dienen und somit nicht in TTP-Sammlungen erfasst sind.

Open Source INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus öffentlichen Quellen erlangt wurden. OSINT & Taktische Informationsbeschaffung

Open Web Application Security Project. Am bekanntesten durch die verschiedenen Top-10-Listen („OWASP Top 10“), welche die häufigsten Schwachstellen in verschiedenen technischen Bereichen katalogisieren. Hierzu gehören zum Beispiel die Bereiche Web (OWASP Web Top 10), IoT (OWASP IoT Top 10), APIs (OWASP API Top 10) und Mobile Apps (OWASP Mobile Top 10). Die OWASP unterstützt außerdem die Erstellung von Anleitungen und Hilfestellungen im Bereich sichere Software-Entwicklung sowie die Entwicklung von Security Tools.

Password Spraying ist eine Technik von Hackern, bei der ein oder mehrere Passwörter bei zahlreichen Nutzer-Accounts ausprobiert werden. Bei traditionellen Attacken via Brute Force versuchen die Angreifer dagegen, das Passwort eines einzelnen Anwenders zu erraten.

Nutzlast, bzw. Teil eines Exploits, der einem Angreifer unterschiedliche Funktionalität zur Verfügung stellen kann.

E-Mails, welche unter Vorwand oder als Täuschung versuchen, den Empfänger dazu zu bringen, sein Passwort preiszugeben.

Alle Aktivitäten, die ein Angreifer durchführt, nachdem er einen initialen Zugang zu einem Ziel hat. Beinhaltet Tätigkeiten wie Lateral Movement (Ausbreitung von System zu System) sowie Privilege Escalation (Erhöhung der eigenen Rechte).

Eine Post-Exploitation-Aktivität. Hierbei versucht der Angreifer, seine Rechte zu erhöhen, z.B. von denen eines normalen Nutzers zu denen eines Administrators. Das Erhöhen wird auch als vertikale Privilege Escalation bezeichnet. Ebenfalls kann der Angreifer versuchen, sich zusätzliche Einzelrechte (zum Beispiel Zugriff auf bestimmte Daten oder Funktionen) zu beschaffen, ohne in der Rollenhierarchie aufzusteigen. Dies nennt man horizontale Privilege Escalation.

Schadsoftware, die Dateien verschlüsselt. In der Folge wird der Nutzer oder die Firma, dessen/deren Dateien verschlüsselt wurden, erpresst: Entweder es wird gezahlt und die Dateien werden entschlüsselt oder die verschlüsselten Dateien werden vernichtet.

Eine schwerwiegende Sicherheitslücke, die es dem Angreifer erlaubt, beliebige Befehle auszuführen

Administrativer Nutzer unter Linux

Kommandozeile mit erweiterten Rechten

Ein Team, welches im Rahmen von Angriffssimulationen die Angreiferrolle einnimmt. Red Team Assessment

Mit einer Shell lassen sich beliebige Befehle auf einem System ausführen

Security Information and Event Management. Systeme, die alle sicherheitsrelevanten Informationen und Ereignisse in einer Organisation an zentraler Stelle sammeln, verknüpfen (korrelieren), aufbereiten und menschlichen Mitarbeitern anzeigen und zur Verfügung stellen.

Die Sicherheitszentrale einer Organisation, wo alle Sicherheitsinformationen einer Organisation zusammenlaufen und von wo aus Sicherheitspersonal (Blue Team) Untersuchungen und Gegenmaßnahmen einleiten kann. Vergleichbar mit der Brücke eines Schiffs oder dem Kontrollturm eines Flughafens, wo alle Informationen über sicherheitsrelevante Vorgänge auf technischer Ebene zusammenlaufen. Beinhaltet oft ein SIEM und viele weitere TOMs (technisch-organisatorische Maßnahmen).

Manipulation menschlicher Ziele durch Angreifer, um bösartige Zwecke zu erreichen. Beinhaltet Phishing, Telefongespräche, Ausgeben als Kollege oder Lieferant, um Zugang zu Räumlichkeiten zu erhalten u.v.m.

SOCial Media INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus sozialen Medien ermittelt wurden.

Maßgeschneiderte Phishing-E-Mails, die sich konkret an den jeweiligen Empfänger richten und bei denen oft großer Aufwand in Auswahl und Entwicklung des Täuschungsszenario investiert wurde. Kann sich auch auf legitime Anfragen des Opfers aus der Vergangenheit oder aktuelles Geschehen in dessen Umfeld beziehen.

Zeichen, die von einer Applikation speziell interpretiert werden, um bestimmte Aktionen auszulösen.

Bösartiger Akteur, der Angriffe durchführt. Sammelbegriff für alle menschlichen Angreifer, egal ob Einzelpersonen, Cybercrime-Gruppen, lose Kollektive oder staatliche Einheiten.

Threat Intelligence. Verwendbare Informationen über Bedrohungen durch bösartige Akteure und deren Aktionen sowie Motivationen.

Threat Intelligence-based Ethical Red Teaming. Rahmenwerk der EU (TIBER-EU) sowie der Deutschen Bundesbank (TIBER-DE) mit Vorgaben, wie effektive Red Teams im Finanzsektor (Banken, Versicherungen, andere Finanzmarktakteure) durchgeführt werden sollten.

Transport Layer Security. Hieß früher SSL (Secure Sockets Layer). Häufigstes Protokoll, um Netzwerkdatenverkehr zu verschlüsseln. Nur für Datenverkehr („data in transit“), jedoch nicht für persistente Datenspeicherung auf Massenspeichern („data at rest“).

Summe aller Maßnahmen auf technischer wie auch organisatorischer Ebene, die zum Erreichen eines Ziels oder Umsetzen von Vorgaben implementiert werden. Wird oft im Sicherheitskontext benutzt, um die Summe aller Maßnahmen zu beschreiben, um Systeme und Daten abzusichern.

Wird entweder für „Targeted Threat Intelligence“ oder „Target and Threat Intelligence“ verwendet. Bezeichnet Formen der Informationsgewinnung und Aufklärung über die Bedrohungslage für Unternehmen, einerseits durch bösartige Akteure (Threat Actors) – die sogenannte Threat Intelligence – wie auch die Angriffsfläche eines potenziellen Angriffsziels – die Target Intelligence. Targeted Threat Intelligence erfasst nicht die breite Bedrohungslage (z.B. die aktuellen TTPs von bösartigen Akteuren oder die Bedrohung für eine ganze Branche im Allgemeinen), sondern die konkrete Bedrohungslage für eine bestimmte Organisation.

Tactics, Techniques and Procedures. Dies sind die drei Komponenten der Angreifervorgehensweise, dem sogenannten MO (Modus Operandi).

Eine Zeichenkette, die ein Browser an Webserver schicken kann, um sich identifizieren zu lassen.

WEB INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus Quellen des World Wide Web ermittelt wurden.