security. explained.

Zugriffskontrolle auf Systeme, Daten und Anwendungen. Nur berechtigte Identitäten erhalten Zugang. Grundlage für jede Zero-Trust-Architektur.

Sicherheitskonzept, das auf kontinuierliche Überwachung setzt. Reagiert dynamisch auf neue Bedrohungen und passt Schutzmechanismen laufend an.

Langanhaltende, zielgerichtete Angriffe durch organisierte Gruppen. Oft im Auftrag staatlicher Akteure. Ziel: Spionage, Sabotage, Informationsdiebstahl.

Physische Trennung eines Systems vom Netzwerk zur Vermeidung jeglicher digitaler Angriffsvektoren. Eingesetzt bei hochsensiblen Infrastrukturen.

Absicherung von Software und Webanwendungen gegen Angriffe wie Injection, XSS oder unsichere Authentifizierung. Integraler Bestandteil moderner DevOps-Prozesse.

Im Bereich der Informationssicherheit stellt ein Asset einen Informationswert dar. Im Gegensatz zu fiskalischen Wertansätzen muss dieser, z.B. als Wissen eines Mitarbeiters, nicht direkt quantifizierbar sein.

Konzepte zur Datensicherung und Wiederanlaufplanung nach IT-Ausfällen. Entscheidend für Cyberresilienz.

Analyse von Nutzerverhalten zur Erkennung ungewöhnlicher Muster. Dient der Früherkennung von Bedrohungen, etwa durch kompromittierte Accounts.

Verbund aus infizierten Endgeräten, die ferngesteuert für Angriffe (z. B. DDoS) genutzt werden. Zentrale Komponente vieler APTs.

Nationales Gesetz zur Ergänzung und Ausdeutung der DSGVO. Erheblich neugefasst mit dem Inkrafttreten der DSGCO.

Ansatz zur Fortführung der wesentlichen Geschäftstätigkeiten auf einem akzeptablen Notbetriebsniveau im Falle einer Störung oder Unterbrechung.

Der carmasec Effekt ist das Ergebnis unserer Zusammenarbeit: messbar wirksamere Security, nachhaltige Verbesserungen, echter Wissenstransfer ins Team und klare, verständliche Kommunikation. security. done. right.

Die Triade stellt die Wesentlichen Schutzziele der Informationssicherheit dar. Vertraulichkeit zielt darauf ab, dass Informationen nur berechtigten Personen zugänglich werden. Verfügbarkeit zielt darauf ab, dass Informationen, wenn sie benötigt werden einem Zugang offen stehen. Die Integrität zielt darauf ab, dass Informationen unverfälscht zur Verfügung stehen und somit Informationen richtig und zutreffend verarbeitet werden.

Technologie zur Durchsetzung von Sicherheitsrichtlinien beim Zugriff auf Cloud-Dienste. Kontrolliert Schatten-IT, verhindert Datenabfluss.

Schutz von Cloud-Workloads durch Verschlüsselung, Zugriffskontrolle, Monitoring und Integritätsprüfungen. Muss differenziert nach IaaS, PaaS und SaaS gedacht werden.

Modell zur Strukturierung von Cyberangriffen in Phasen (Reconnaissance bis Action on Objectives). Hilft bei der Identifikation und Unterbrechung von Angriffsabläufen.

EU-Verordnung, die Hersteller digitaler Produkte zu verpflichtenden Sicherheitsanforderungen über den gesamten Produktlebenszyklus hinweg verpflichtet. Enthält Meldepflichten, Updatepflichten und Konformitätsanforderungen.

Proaktive Suche nach bislang unentdeckten Bedrohungen in IT-Umgebungen. Kombiniert Threat Intelligence, Log-Analyse und Erfahrungswissen.

Technische, organisatorische und menschliche Schutzmaßnahmen zur Verhinderung von Cyberangriffen. Ziel: Verfügbarkeit, Integrität und Vertraulichkeit sichern.

Verletzung der Vertraulichkeit durch unerlaubten Zugriff auf Daten. Kann durch Angriffe, Fehlkonfigurationen oder menschliches Versagen entstehen.

Verfahren zur Sicherstellung der Vertraulichkeit von Informationen. Kommt bei Datenübertragung, Speicherung oder Kommunikation zum Einsatz.

Gleichzeitige Anfragen vieler Systeme überlasten eine Zielinfrastruktur. Ziel: Verfügbarkeit unterbrechen. Botnets dienen als Angriffsquelle.

Integration von Security in alle Phasen des Softwareentwicklungsprozesses. Security as Code. Shift-Left.

Analyse digitaler Spuren nach einem Vorfall. Ziel: Klärung von Angriffsweg, Schadensausmaß und rechtssichere Beweissicherung.

Ansatz den Geschäftsbetrieb im Fall einer Havarie oder eines ähnlich schwerwiegenden Ereignisses fortzuführen. Eng verwandt mit der Thematik BCM.

Digital Operational Resilience Act. Stellt Geschäftsfortführungsanforderungen an Finanzinstitute und löst segmentierte Regulationen ab (z.B. VAIT, BAIT)

EU-Verordnung zum Schutz personenbezogener Daten. Verlangt technische und organisatorische Maßnahmen zur Vermeidung von Datenverlust oder -missbrauch.

Erkennung und Reaktion auf Bedrohungen auf Endgeräten. Analysiert Prozesse, Dateien, Registry-Events in Echtzeit. Zentrale Rolle im modernen SOC.

EU-Verordnung zur Harmonisierung von elektronischen Identitäten und Vertrauensdiensten wie eSignaturen, Siegeln und Zeitstempeln.

Netzwerksicherheitskomponente zur Filterung von Datenverkehr nach festgelegten Regeln. Bestandteil jeder Perimeter- oder Microsegmentation-Strategie.

Verwaltung digitaler Identitäten, Rollen und Zugriffsrechte. Ziel: Das richtige Zugriffsniveau für die richtige Person zur richtigen Zeit.

Strukturiertes Vorgehen zur Bewältigung von Sicherheitsvorfällen. Umfasst Detection, Containment, Eradication, Recovery und Lessons Learned.

Bedrohungen durch (ehemalige) Mitarbeitende, Dienstleister oder Partner. Oft schwer erkennbar, da privilegierter Zugriff missbraucht wird.

Internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Basis für Zertifizierungen, Audits und strukturierte Risikoanalyse.

Vom BSI entwickelte Standardfamilie bzw. Vorgehensweise. Kann zu einer Zertifizierung "ISO 27001 auf Basis IT-Grundschutz führen".

Deutsche Gesetzgebung zur Erhöhung der IT-Sicherheit in kritischen Infrastrukturen (KRITIS). Regelt Mindeststandards, Meldepflichten und Zuständigkeiten.

Verordnung zur Definition kritischer Infrastrukturen. Unternehmen, die darunter fallen, müssen erweiterte Schutzmaßnahmen umsetzen.

Schädliche Software, die Systeme kompromittieren, manipulieren oder zerstören soll. Varianten: Viren, Trojaner, Spyware, Ransomware.

Angreifer schleust sich in die Kommunikation zweier Parteien ein, um Daten mitzulesen oder zu manipulieren. Schutz: Verschlüsselung und Authentifizierung.

Anmeldeverfahren, das mehrere unabhängige Faktoren kombiniert: Wissen (z.B. Passwort), Besitz (z.B. Token), Biometrie (z.B. Fingerabdruck).

Zwei Konzepte um die Vertraulichkeit von Informationen sicherzustellen. Kurzgefasst: So viel wie nötig, so wenig wie möglich. Berechtigungen sollten so erteilt werden, dass man nur auf das was man wissen soll zugreifen kann.

EU-Richtlinie zur Schaffung eines einheitlichen Sicherheitsniveaus der Cybersicherheit in der Union. Führt strengere Meldepflichten, Aufsicht und Sanktionsmöglichkeiten für Unternehmen ein.

Kontinuierlicher Prozess zur Installation von Sicherheitsupdates. Ziel: Schließen bekannter Schwachstellen, bevor sie ausgenutzt werden.

Geplanter, kontrollierter Angriff auf Systeme oder Anwendungen zur Identifikation realer Schwachstellen. Bestandteil jeder Sicherheitsstrategie.

Manipulative Methode zur Erlangung vertraulicher Daten durch gefälschte Kommunikation. Varianten: Spear Phishing, Whaling, CEO Fraud.

Erpressungssoftware, die Systeme oder Daten verschlüsselt und erst gegen Lösegeld wieder freigibt. Kann komplette IT-Landschaften lahmlegen.

Realistische Simulation von Angriffen mit dem Ziel, Verteidigungsmechanismen zu überlisten. Gegenpart: Blue Team (Verteidigung).

Schulung der Mitarbeitenden zu IT-Sicherheitsrisiken, um menschliche Fehler zu minimieren.

Ansatz (Informations-)Sicherheitsanforderungen zu einem möglichst frühen Zeitpunkt (in der Konzeptionierungsphase) mit zu berücksichtigen.

Zentrale Analyseplattform für Logs, Events und sicherheitsrelevante Datenquellen. Ziel: Anomalien früh erkennen und kontextualisieren.

Zentrale Einheit für Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle. Arbeitet mit EDR, SIEM, Threat Intel und Forensik.

Ausnutzen menschlicher Schwächen zur Informationsgewinnung oder zum Einschleusen von Schadcode. Angriff auf die "Human Firewall".

Angriff über vorgelagerte Dienstleister, Partner oder Software-Lieferketten. Schwachstellen im Ecosystem werden zum Einfallstor.

Aufbereitung und Kontextualisierung von Informationen über Angreifer, Taktiken, Schwachstellen und Kampagnen. Grundlage für TID.

Verteidigungskonzept, das reale Angreiferverhalten (TTPs) als Basis für Sicherheitsstrategien nutzt. Ziel: technische Wirksamkeit prüfen und verbessern. Orientiert sich an MITRE ATT&CK.

An der ISO 27001 orientierter Branchenstandard der Automobileindustrie. Zeichnet sich durch branchenspezifische Anforderungen aus.

Sicherheitsprinzip: Vertrauen in Systeme oder Personen wird durch technische Überprüfungen und kontinuierliches Monitoring abgesichert.

Automatisierte oder manuelle Bewertung von Schwachstellen in Systemen. Dient der Risikoeinschätzung und Priorisierung von Maßnahmen.

Sicherheitsarchitektur, die niemals pauschal vertraut. Jeder Zugriff wird überprüft. Grundlage: Mikrosegmentierung, starke Authentifizierung, kontinuierliches Monitoring.

Schwachstelle, die dem Hersteller noch nicht bekannt ist. Besonders kritisch, da kein Patch verfügbar. Ziel von Bug-Bounty-Programmen und Threat Hunting.