● 157 entries

Verteidigung und Betrieb

Aircrack-ngQuelloffene Wi-Fi-Audit-Suite zum Mitschneiden von 802.11-Verkehr und zum Ermitteln von WEP- und WPA/WPA2-Schlusseln aus Handshakes.
Aktive VerteidigungVerteidigungsstrategie, die ueber passives Monitoring hinausgeht und Angreifer innerhalb der eigenen Netze und Assets konfrontiert, taeuscht und stoert.
Alert-FatigueAbstumpfung von Analysten durch zu viele, gering wertvolle oder wiederkehrende Alarme, die Aufmerksamkeit mindert und echte Reaktionen verzoegert.
Angriffsmuster (Attack Pattern)Wiederverwendbare Beschreibung, wie Angreifer eine Schwachstellenklasse ausnutzen — als Grundlage fuer Mapping, Detektion und Haertung.
Antivirus (AV)Endpoint-Software, die schaedliche Dateien mit Signaturdatenbanken, Datei-Scans und einfachen Heuristiken erkennt und entfernt — die historische Basis der Endpointsicherheit.
Application Allowlisting (Whitelisting)Defensiver Mechanismus, der nur ausdrucklich genehmigte Ausfuhrbares, Skripte und Bibliotheken auf einem Endpoint zulasst und alles andere standardmaessig blockiert.
APT-GruppeBenannter, verfolgter (meist staatlich gefoerderter) Bedrohungsakteur, der gezielte, langfristige und gut ausgestattete Intrusionskampagnen gegen bestimmte Organisationen fuehrt.
Asset ManagementKontinuierliche Erkennung, Inventarisierung, Klassifizierung und Lebenszyklusverfolgung aller Hardware-, Software-, Cloud- und Datenwerte, die das Sicherheitsprogramm schützen muss.
Attack Surface Management (ASM)Kontinuierliche Erkennung, Inventarisierung, Klassifizierung und Überwachung aller Assets, die eine Organisation potenziellen Cyberangriffen aussetzen.
BedrohungsakteurPerson oder Gruppe, die ueber Cyberoperationen vorsaetzlich Schaden an Informationssystemen, Organisationen oder Menschen verursacht oder dies versucht.
BIA (Business Impact Analyse)Strukturierte Analyse, die kritische Geschäftsprozesse, ihre Abhängigkeiten und die operativen, finanziellen sowie Reputationsfolgen ihrer Unterbrechung identifiziert.
Black-Hat-HackerBoesartiger Threat Actor, der unautorisiert in Systeme eindringt, fuer persoenlichen Gewinn, Ideologie oder Schaden und in Verletzung von Computerstrafgesetzen.
BlackCat / ALPHVIn Rust geschriebene Ransomware-as-a-Service-Operation Ende 2021 bis 2024, bekannt fuer plattformuebergreifende Encryptoren und aggressive mehrstufige Erpressung.
BloodHoundEin Open-Source-Werkzeug, das mit Graphentheorie Angriffspfade in Active Directory und Azure AD zu hochwertigen Zielen wie Domain Admin abbildet und analysiert.
Blue TeamDefensives Sicherheitsteam, das Angriffe überwacht, erkennt, abwehrt und die Verteidigung kontinuierlich verbessert.
Burp SuiteEin abfangender Webproxy und Testbaukasten von PortSwigger, um Schwachstellen in HTTP- und HTTPS-Anwendungen zu finden, zu manipulieren und auszunutzen.
CensysInternetweite Scan-Plattform, die strukturierte Daten zu Hosts und TLS-Zertifikaten veroeffentlicht und fuer ASM und Infrastruktur-Pivots eingesetzt wird.
Certificate TransparencyOekosystem oeffentlicher Append-only-Logs fuer TLS-Zertifikate, definiert in RFC 6962 und 9162, das jedem die Pruefung existierender Zertifikate erlaubt.
Change-ManagementStrukturierter Prozess, um Änderungen an IT-Systemen mit kontrolliertem Risiko und klarer Nachvollziehbarkeit vorzuschlagen, zu prüfen, freizugeben, einzuplanen, umzusetzen und zu bewerten.
Cobalt StrikeEine kommerzielle Adversary-Simulation-Plattform, die in Red-Team-Operationen weit verbreitet ist und von Angreifern haeufig fuer Post-Exploitation und Command-and-Control missbraucht wird.
Collection (MITRE-Taktik)MITRE-ATT&CK-Taktik (TA0009), die Techniken zum Sammeln und Stagen relevanter Daten vor der Exfiltration bündelt.
Container-Image-ScanningPraxis, OCI/Docker-Images vor dem Deployment auf bekannte Schwachstellen, Secrets, Malware und Richtlinienverstosse zu prufen.
Conti-RansomwareRussischsprachige Ransomware-Operation 2020-2022, betrieb eines der volumenstaerksten Double-Extortion-Programme und loeste sich nach internen Leaks auf.
Credential AccessMITRE-ATT&CK-Taktik (TA0006), die Techniken zum Diebstahl von Kontonamen, Passwörtern, Token und anderen Geheimnissen bündelt.
Cyber Kill ChainSiebenstufiges Modell von Lockheed Martin, das den Ablauf eines gezielten Angriffs von der Aufklärung bis zu den Aktionen am Ziel beschreibt.
Cyber Threat Intelligence (CTI)Evidenzbasiertes Wissen über Angreifer, ihre Motivationen und Methoden, das defensive Entscheidungen unterstützt und Kontrollen priorisiert.
Cybercrime-as-a-Service (CaaS)Untergrund-Servicemodell, in dem spezialisierte kriminelle Anbieter Tooling, Infrastruktur oder Know-how verkaufen, sodass Kunden ohne eigene Kapazitaeten Angriffe ausfuehren koennen.
Datenbank-Aktivitatsuberwachung (DAM)Sicherheitskontrolle, die SQL-Anfragen, Aktionen privilegierter Nutzer und Schemaanderungen kontinuierlich uberwacht, um Richtlinien durchzusetzen und Datenmissbrauch in Echtzeit zu erkennen.
Datenbank-FirewallInline-Appliance oder Proxy, der SQL-Verkehr gegen eine Allow-List-Policy prufft und Injections, Privilegienmissbrauch und unzulassige Anweisungen blockiert, bevor sie die Datenbank erreichen.
Deception-TechnologieDefensiver Ansatz, der Koeder, Breadcrumbs und gefaelschte Assets im gesamten Umfeld verteilt, um Angreifer mit hoher Praezision zu erkennen, in die Irre zu fuehren und zu beobachten.
Defense EvasionMITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
Detection EngineeringDisziplin, Sicherheits-Detections wie Code zu entwerfen, zu testen, auszurollen und zu pflegen, mit messbarer Abdeckung gegnerischer Techniken.
Detektive KontrollenSicherheitsmaßnahmen, die bösartige Aktivitäten, Richtlinienverstöße oder Anomalien nach ihrem Auftreten in einer Umgebung erkennen und alarmieren.
Diamond Model of Intrusion AnalysisAnalyse-Framework, das jedes bösartige Ereignis mit vier Knoten verbindet: Adversary, Capability, Infrastructure und Victim.
Discovery (MITRE-Taktik)MITRE-ATT&CK-Taktik (TA0007), die Techniken bündelt, mit denen Angreifer eine kompromittierte Umgebung nach dem Eindringen kartieren.
eBPF-SicherheitEinsatz von eBPF-Programmen (extended Berkeley Packet Filter) im Linux-Kernel, um tiefe Observability und Policy-Durchsetzung fur Prozesse, Netzwerk und Syscalls bereitzustellen.
EDR (Endpoint Detection and Response)Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
Elastic Stack (ELK)Quelloffene Plattform von Elastic N.V., die Elasticsearch, Logstash, Kibana und Beats verbindet, um Sicherheits- und Betriebs-Logs in grossem Massstab zu sammeln, zu indizieren, zu durchsuchen und zu visualisieren.
Endpoint-IsolierungEDR-Response-Aktion, die einen kompromittierten Host vom Netz trennt (ausser zur Sicherheitsplattform), damit Angreifer waehrend der Untersuchung nicht lateral wandern.
EPP (Endpoint Protection Platform)Präventive Endpoint-Sicherheits-Suite, die Antivirus, Anti-Malware, Host-Firewall und Exploit-Schutz kombiniert, um Bedrohungen vor der Ausführung auf einem Gerät zu blockieren.
Ethical HackerSicherheits-Profi, der autorisiert offensive Techniken gegen Systeme einsetzt, um Schwachstellen zu finden und Betreibern bei deren Behebung zu helfen, bevor Angreifer sie ausnutzen.
Execution (MITRE-Taktik)MITRE-ATT&CK-Taktik (TA0002), die Techniken zur Ausführung gegnerischen Codes auf einem lokalen oder entfernten System bündelt.
ExfiltrationMITRE-ATT&CK-Taktik (TA0010), die Techniken zum Abtransport gestohlener Daten aus dem Opfernetz an einen vom Angreifer kontrollierten Ort bündelt.
External Attack Surface Management (EASM)Kontinuierliche Erkennung und Überwachung aller im Internet exponierten Assets einer Organisation aus der Außenperspektive eines Angreifers.
FalcoQuelloffene Cloud-Native-Runtime-Security-Engine, die ungewohnliches Verhalten in Containern, Hosts und Kubernetes erkennt, indem sie Syscalls und Audit-Events durch ein Regelwerk streamt.
False NegativeBoesartige Aktivitaet, die eine Detection nicht erkannt hat, sodass die Bedrohung unbemerkt bleibt und der Angreifer unbehelligt weiterarbeiten kann.
False PositiveSicherheitsalarm, der harmlose Aktivitaeten als boesartig kennzeichnet, Analystenzeit kostet und das Vertrauen in die Detection schwaecht.
File Integrity Monitoring (FIM)Sicherheitsmechanismus, der unerwartete Aenderungen an kritischen System-, Anwendungs- und Konfigurationsdateien anhand einer kryptografischen Baseline erkennt.
FIN-BedrohungsgruppeMandiant-Bezeichnung fuer eine finanziell motivierte Bedrohungsgruppe, deren Intrusionen Zahlungssysteme, Retail, Hotellerie und Finanzinstitute treffen.
Google Chronicle SecOpsCloud-natives SIEM und SOAR von Google Cloud (vormals Backstory), das Telemetrie im Petabyte-Massstab zu einem pauschalen Preis pro Mitarbeiter speichert und mit der YARA-L-Detektionssprache abfragt.
Grey-Hat-HackerHacker, der zwischen den ethischen und unethischen Extremen agiert und Systeme oft ohne ausdrueckliche Genehmigung untersucht, in der Regel mit Offenlegungs-, nicht Schadensabsicht.
Hack-BackOffensive Vergeltungsmassnahme eines privaten Opfers gegen die Infrastruktur eines Angreifers, nach den meisten nationalen Computerstrafgesetzen in der Regel illegal.
HackerEine technisch hochinteressierte Person, die mit kreativer Problemloesung Systeme, Software, Netzwerke oder Hardware versteht, veraendert oder ueberwindet.
HacktivistBedrohungsakteur, der Cyberangriffe fuer politische, soziale oder ideologische Anliegen statt fuer finanziellen Gewinn oder Spionage durchfuehrt.
HashcatEin quelloffenes, GPU-beschleunigtes Passwort-Wiederherstellungswerkzeug, das Hunderte von Hash- und Authentifizierungs-Algorithmen ueber Woerterbuch-, Regel-, Masken- und Hybrid-Angriffe knackt.
Heuristische ErkennungErkennungsmethode mit Daumenregeln — verdaechtige Codemuster, Packer, ungewoehnliche Strings, API-Kombinationen — zur Markierung wahrscheinlich schaedlicher Dateien ohne exakte Signatur.
Honey AccountKoeder-Credential oder -Konto, oft ohne ausgepraegte Persona, das beim Versuch eines Angreifers, es zu nutzen, einen Alarm ausloest.
HoneyfileEine Koederdatei im Speicher, die einen Alarm auslost, sobald ein Angreifer oder Innentaeter sie liest, kopiert oder exfiltriert.
HoneyuserFiktive Identitaet in Verzeichnisdiensten und HR-Systemen, sodass jeder Anmeldeversuch oder jede Enumeration einen Angreifer sofort entlarvt.
Impact (MITRE-Taktik)MITRE-ATT&CK-Taktik (TA0040), die Techniken zur Beeinträchtigung von Verfügbarkeit oder Integrität von Systemen, Daten und Geschäftsprozessen bündelt.
Indicator of Attack (IoA)Verhaltensbasierte Hinweise darauf, dass ein Angreifer aktuell eine Intrusion versucht – fokussiert auf Absicht und Technik statt nachträglicher Artefakte.
Indicator of Compromise (IoC)Ein beobachtbares Artefakt – etwa ein Datei-Hash, IP, Domain, URL oder Registry-Schlüssel – das auf eine erfolgte oder laufende Kompromittierung hinweist.
Initial AccessDie MITRE-ATT&CK-Taktik (TA0001), die Techniken zusammenfasst, mit denen Angreifer erstmals Fuß in einer Zielumgebung fassen.
Initial Access Broker (IAB)Cybercrime-Spezialist, der unautorisierten Zugriff auf Unternehmensnetzwerke beschafft und an andere Kriminelle, vor allem Ransomware-Affiliates, verkauft.
Insider-BedrohungRisiko, dass ein aktueller oder ehemaliger Mitarbeiter, Dienstleister oder Partner mit autorisiertem Zugriff diesen vorsaetzlich oder fahrlaessig missbraucht.
Kali LinuxEine von OffSec gepflegte Debian-basierte Linux-Distribution, die hunderte Pentest-, Red-Team- und Forensik-Tools mitbringt.
Kompensierende KontrollenAlternative Schutzmaßnahmen, die ein gleichwertiges Schutzniveau bieten, wenn eine vorgeschriebene oder bevorzugte Kontrolle nicht umsetzbar ist.
KonfigurationsmanagementDisziplin, den Soll-Zustand von Systemen und Anwendungen festzulegen, zu dokumentieren und durchzusetzen, damit Konfigurationen bekannt, konsistent und sicher bleiben.
Korrektive KontrollenSicherheitsmaßnahmen, die nach einem Vorfall greifen, um Schaden zu begrenzen, Bedrohungen zu beseitigen und Systeme in einen bekannt sicheren Zustand zurückzuführen.
Lateral MovementMITRE-ATT&CK-Taktik (TA0008), die Techniken bündelt, mit denen sich Angreifer von einem kompromittierten Host auf weitere Systeme in der Umgebung ausbreiten.
LockBitRussischsprachige Ransomware-as-a-Service-Operation, die zwischen 2022 und 2024 zum aktivsten Ransomware-Brand weltweit wurde, bevor Operation Cronos sie schwer traf.
Log-AggregationDas Sammeln, Normalisieren und zentrale Speichern von Ereignisprotokollen vieler Systeme in einer einzigen Plattform fuer Suche, Analyse und Aufbewahrung.
Log-KorrelationVerknuepfung von Ereignissen aus mehreren Log-Quellen ueber gemeinsame Felder, Zeitfenster oder Sequenzen, um mehrstufige Aktivitaeten sichtbar zu machen.
MDR (Managed Detection and Response)Managed Service, bei dem ein externer Anbieter Detection, Threat Hunting und Incident Response für den Kunden übernimmt, meist auf Basis von EDR/XDR- und SIEM-Telemetrie.
MetasploitEin Open-Source-Exploitation-Framework, das Exploits, Payloads und Post-Exploitation-Module in einer Plattform fuer Penetration Tester und Forscher buendelt.
Microsoft SentinelCloud-nativer SIEM- und SOAR-Dienst von Microsoft auf Azure, der Logs mit Kusto Query Language (KQL) abfragt und sich nativ in Microsoft 365 Defender und Azure-Datenquellen integriert.
MimikatzEin Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
MISPMISP ist eine Open-Source-Threat-Intelligence-Plattform zum Sammeln, Speichern, Korrelieren und Teilen strukturierter Indikatoren und Analystenkontext innerhalb vertrauenswuerdiger Communities.
mitmproxyOpen-Source-interaktiver TLS-faehiger Proxy, mit dem Security- und QA-Teams HTTP- und HTTPS-Traffic abfangen, pruefen, veraendern und wiedergeben.
MITRE EngageAdversary-Engagement-Framework von MITRE, das Deception-, Denial- und Engagement-Aktivitaten fur Verteidiger systematisiert und die altere MITRE-Shield-Wissensbasis abloest.
MTTC (mittlere Eindämmungszeit)Durchschnittliche Zeitspanne zwischen Detektion eines Vorfalls und dem Zustand, in dem die Bedrohung sich nicht mehr ausbreiten, Daten exfiltrieren oder weiteren Schaden anrichten kann.
MTTD (mittlere Erkennungszeit)Durchschnittliche Zeitspanne zwischen dem Beginn eines Sicherheitsvorfalls und dem Moment, in dem die Verteidiger ihn erkennen.
MTTR (mittlere Reaktionszeit)Durchschnittliche Zeitspanne zwischen der Detektion eines Sicherheitsvorfalls und dem Start einer wirksamen Reaktion darauf.
MTTR (mittlere Wiederherstellungszeit)Durchschnittliche Zeit, die benötigt wird, um betroffene Systeme und Dienste nach einem Sicherheitsvorfall oder Ausfall wieder in den Normalbetrieb zu bringen.
NDR (Network Detection and Response)Netzwerksicherheits-Technologie, die Verkehr (inklusive entschlüsselter Pakete, Metadaten und Flow-Daten) per Verhaltensanalyse und ML untersucht, um Bedrohungen zu erkennen und Response zu orchestrieren.
NessusEin kommerzieller Schwachstellenscanner von Tenable, der fehlende Patches, Fehlkonfigurationen und exponierte Dienste in Netzen, Endpunkten und Cloud-Workloads identifiziert.
NetFlowVon Cisco eingefuehrtes Flow-Record-Protokoll mit den Nachfolgern sFlow und IPFIX, das zusammengefasste Metadaten jeder Konversation eines Netzgeraets exportiert.
Next-Generation Antivirus (NGAV)Endpoint-Schutz, der Signaturen um ML-Modelle, Verhaltensanalyse und Exploit-Mitigation erganzt, um unbekannte und Fileless-Bedrohungen zu stoppen.
NmapEin Open-Source-Netzwerkscanner, um Hosts zu kartieren, offene Ports und Dienste zu enumerieren und Betriebssysteme in IP-Netzen zu fingerprinten.
Operative Threat IntelligenceMittelfristige Intelligence zu konkreten Kampagnen, Akteuren und ihren TTPs, die Verteidiger vorbereitet, Threat Hunting unterstützt und Kontrollen priorisiert.
OSSECKostenloses, quelloffenes Host-basiertes Intrusion-Detection-System mit Log-Analyse, Dateiintegritats-Monitoring, Rootkit-Erkennung und Active Response unter Linux, Windows, macOS und Solaris.
OTXOTX ist eine offene, community-getriebene Threat-Intelligence-Plattform – urspruenglich AlienVault, heute LevelBlue OTX – auf der Forschende Indikatoren in Form von Pulses veroeffentlichen.
Passive DNSHistorische Datenbank beobachteter DNS-Aufloesungen, mit der Ermittler nachvollziehen koennen, auf welche IPs eine Domain im Lauf der Zeit zeigte.
Patch-ManagementEnd-to-End-Prozess, der Software-Updates zur Behebung von Schwachstellen oder Fehlern identifiziert, testet, ausrollt und verifiziert.
PCAPBinaeres Paket-Mitschnittformat von libpcap, tcpdump und Wireshark, das Netzwerkpakete genau so speichert, wie sie auf dem Kabel zu sehen waren.
PenetrationstestAutorisierter, simulierter Cyberangriff auf Systeme, Anwendungen oder Personen, um ausnutzbare Schwächen vor echten Angreifern zu finden.
PersistenceMITRE-ATT&CK-Taktik (TA0003), die Techniken bündelt, mit denen Angreifer ihren Zugang trotz Reboots, Passwortwechsel und Incident-Response behalten.
Post-MortemSchuldfreie Nachbetrachtung nach einem Vorfall, die Zeitlinie und Mitursachen erfasst und konkrete Massnahmen festlegt, um das Problem kuenftig zu verhindern oder frueher zu erkennen.
Präventive KontrollenKontrollen, die ein Sicherheitsereignis von vornherein verhindern sollen, indem sie Gelegenheit oder Fähigkeit zum Handeln entfernen.
Purple TeamKollaboratives Übungsmodell, in dem Red und Blue Team offen zusammenarbeiten, um Detection und Response nahezu in Echtzeit zu verbessern.
Pyramid of PainModell von David Bianco, das Indicators of Compromise danach einstuft, wie schmerzhaft ihre Erkennung oder Sperrung für Angreifer ist.
Quarantane (Endpoint)Endpoint-Sicherheitsaktion, die eine verdaechtige Datei aus ihrem Ursprungsort in einen kontrollierten, entscharfen Speicher verschiebt, sodass sie nicht laufen, aber analysiert oder wiederhergestellt werden kann.
Ransomware-BandeFinanziell motivierte Cybercrime-Gruppe, die Ransomware entwickelt, betreibt oder verteilt, um Organisationen ueber Verschluesselung und Datenleak-Drohungen zu erpressen.
ReconnaissanceErste Angriffsphase, in der Angreifer Informationen über Mitarbeitende, Technologie und Angriffsfläche eines Ziels sammeln, bevor sie eindringen.
Red TeamOffensiv-Sicherheitsteam, das reale Angreifer Ende-zu-Ende emuliert, um Erkennung, Eindämmung und Reaktion der Organisation zu testen.
REvil / SodinokibiRussischsprachige Ransomware-as-a-Service-Operation 2019-2021, bekannt fuer Double Extortion und den Kaseya-VSA-Supply-Chain-Angriff.
RPO (Recovery Point Objective)Maximal akzeptabler Datenverlust, ausgedrückt als Zeitspanne, den ein Unternehmen nach einer Störung tolerieren kann.
RTO (Recovery Time Objective)Maximal akzeptable Ausfalldauer eines Geschäftsprozesses oder Systems nach einer Störung, bevor unzumutbare Folgen eintreten.
Sandbox-/Emulator-ErkennungAnti-Analyse-Techniken in Malware, die erkennen, wenn der Host eine Analyse-Sandbox, ein Emulator oder eine VM ist, und sich dann nicht ausfuhrt, um der Erkennung zu entgehen.
Sandbox-EscapeSchwachstelle oder Exploit-Kette, mit der Code aus einer isolierenden Sandbox — Browser, VM oder Hypervisor — ausbricht und Codeausfuhrung im umgebenden Host erlangt.
SchwachstellenbewertungSystematische Überprüfung einer Umgebung zur Identifikation, Klassifizierung und Priorisierung von Sicherheitsschwächen, in der Regel ohne aktive Ausnutzung.
SchwachstellenscanAutomatisierter Prozess, der Systeme, Anwendungen oder Container gegen bekannte Schwachstellensignaturen prüft und eine Liste potenzieller Schwachstellen liefert.
Script KiddieUnerfahrener Angreifer, der vorgefertigte Tools, Skripte oder Dienste anderer nutzt, ohne die zugrundeliegenden Techniken zu verstehen.
Security OnionKostenlose, quelloffene Linux-Distribution fur Threat Hunting, Network Security Monitoring und Log-Management, ursprunglich von Doug Burks erstellt und von Security Onion Solutions gepflegt.
Security Operations Center (SOC)Zentralisiertes Team und Einrichtung, das die IT-Umgebung einer Organisation rund um die Uhr überwacht, Sicherheitsvorfälle erkennt, untersucht und darauf reagiert.
Security PlaybookDokumentierte, wiederholbare Prozedur, die Respondern fuer einen bestimmten Alarm- oder Vorfalltyp genau vorgibt, was wann zu tun ist.
ShodanSuchmaschine, die das Internet kontinuierlich scannt und Service-Banner indiziert, sodass Nutzer exponierte Geraete, Ports, Software-Versionen und Zertifikate abfragen koennen.
Sicherheits-BaselineDokumentierte Mindest-Sicherheitskonfiguration, die jedes System einer bestimmten Klasse vor dem Produktivbetrieb erfüllen muss.
SicherheitskontrollenSchutz- oder Gegenmaßnahmen – technisch, organisatorisch oder physisch –, mit denen Bedrohungen gegen Informationswerte verhindert, erkannt oder bewältigt werden.
SicherheitslageGesamtstärke der Cyberabwehr einer Organisation, ausgedrückt durch ihre Fähigkeit, Bedrohungen vorherzusagen, zu verhindern, zu erkennen, zu beantworten und sich davon zu erholen.
SIEMPlattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
SIEM-Regel-TuningDer laufende Prozess, Detection-Regeln in einem SIEM anzupassen, um Fehlalarme zu reduzieren, Luecken zu schliessen und sie am Bedrohungsmodell auszurichten.
Sigma-RegelEine herstellerunabhaengige, YAML-basierte Detection-Signature fuer Log-Events, die sich in Queries fuer SIEM-, EDR- oder XDR-Backends uebersetzen laesst.
SLA (Service Level Agreement)Formale Vereinbarung zwischen Anbieter und Kunde, die das erwartete Service-Niveau samt messbarer Leistungs- und Sicherheitszusagen definiert.
Snort-RegelEine Signatur in der Snort-Regelsprache, die Netzwerkverkehrsmuster beschreibt, auf die im IDS- oder IPS-Modus alarmiert oder geblockt wird.
SOARPlattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
SOC-ReifegradmodellFramework, das ein Security Operations Center in den Dimensionen Menschen, Prozesse, Technologie und Services bewertet und so eine mehrjaehrige Roadmap stuetzt.
Splunk Enterprise SecurityKommerzielle SIEM-Losung von Splunk Inc. (2024 von Cisco ubernommen), die Maschinendaten uber Splunk Processing Language (SPL) ingestiert, indiziert und korreliert.
Splunk-SPL-AbfrageSuchanfrage in Splunks Search Processing Language, um Maschinendaten zu filtern, zu transformieren, zu korrelieren und fuer Detection, Hunting und Reporting zu visualisieren.
Staatlicher AkteurVom Staat gefoerderter oder mit ihm verbundener Bedrohungsakteur, der Cyberoperationen zu strategischen, nachrichtendienstlichen, militaerischen oder wirtschaftlichen Zwecken durchfuehrt.
STIXSTIX ist ein OASIS-Standard, der eine strukturierte, maschinenlesbare Sprache zum Darstellen und Austauschen von Cyber Threat Intelligence zwischen Organisationen und Tools definiert.
Strategische Threat IntelligenceLangfristige, übergreifende Intelligence zu Bedrohungslandschaft, Angreiferabsicht und geopolitischem Kontext, die Entscheidungen auf Vorstands- und Geschäftsleitungsebene unterstützt.
SuricataEine quelloffene, hochperformante Engine fuer Netzwerk-IDS, IPS und Security Monitoring, gepflegt von der Open Information Security Foundation (OISF).
SysmonEin Windows-Systemdienst aus Microsoft Sysinternals, der reichhaltige Telemetrie zu Prozessen, Netzwerk, Dateien, Registry und Image-Loads in das Eventlog schreibt.
SystemhärtungReduktion der Angriffsfläche eines Systems durch Entfernen unnötiger Funktionen, Verschärfung der Konfiguration und Erzwingen sicherer Standardwerte.
Tactics, Techniques and Procedures (TTPs)Geschichtete Beschreibung der Arbeitsweise eines Bedrohungsakteurs: Taktiken (das Warum), Techniken (das Wie) und Procedures (die konkrete Umsetzung).
Taktische Threat IntelligenceKurzlebige, technische Intelligence zu Werkzeugen, Indikatoren und Signaturen der Angreifer, die SOC-Analysten und Sicherheitswerkzeuge zur Erkennung und Blockierung nutzen.
TAXII ProtocolTAXII ist ein OASIS-Anwendungsprotokoll uber HTTPS zum Veroffentlichen, Entdecken und Konsumieren von Cyber Threat Intelligence – typischerweise STIX-Inhalten – zwischen Organisationen.
Threat HuntingProaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
Threat IntelligenceEvidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.
TLPTLP ist ein einfaches Kennzeichnungsschema von FIRST, das angibt, wie sensibel geteilte Cyberinformationen sind und wer sie weitergeben darf.
TrivyQuelloffener Single-Binary-Scanner von Aqua Security, der CVEs, Fehlkonfigurationen, Secrets, SBOM-Daten und Lizenzprobleme in Container-Images, Dateisystemen, Git-Repos und Kubernetes-Clustern findet.
UBA (User Behavior Analytics)Analyse-Technologie, die Baselines normaler Nutzeraktivität bildet und Abweichungen kennzeichnet, um Kontomissbrauch, Insider-Bedrohungen und kompromittierte Zugangsdaten zu erkennen.
UEBA (User and Entity Behavior Analytics)Erkennungstechnologie, die normales Verhalten von Nutzern und Entitäten modelliert und mit Statistik oder Machine Learning Abweichungen aufdeckt, die auf Kompromittierung oder Insider-Risiken hinweisen.
UNC-Cluster (Uncategorized)Mandiant-Tracking-Label fuer eine Reihe verwandter Intrusionen, deren Akteur, Motivation oder Sponsor noch nicht ausreichend bestaetigt sind, um zu APT oder FIN zu graduieren.
UTM (Unified Threat Management)All-in-One-Netzwerksicherheitsappliance, die Firewall, IPS, Web-Filter, Antivirus und VPN in einem Gerät kombiniert und vor allem KMU sowie Außenstellen adressiert.
VerhaltenserkennungErkennungsansatz, der schaedliches Verhalten an der Laufzeit von Prozessen, Nutzern und Netzflussen identifiziert, statt sich auf statische Dateisignaturen zu stutzen.
VERIS-FrameworkVerizons Vocabulary for Event Recording and Incident Sharing – ein offenes Schema, um Sicherheitsvorfälle strukturiert und vergleichbar zu beschreiben.
WazuhQuelloffene XDR- und SIEM-Plattform — 2015 als Fork von OSSEC entstanden — die Endpoint-, Cloud- und Container-Telemetrie auf Wazuh Indexer und Dashboard vereint.
White TeamNeutrale Schiedsstelle, die Cybersecurity-Übungen und -Wettbewerbe entwirft, überwacht und entscheidet, damit sie sicher, fair und zielgerichtet bleiben.
White-Hat-HackerSicherheits-Profi, der offensive Faehigkeiten nur mit ausdruecklicher Genehmigung einsetzt, um Schwachstellen zu finden und zur Behebung zu melden.
WHOIS-AbfrageAbfrage gegen die WHOIS- oder RDAP-Datenbank, die Registrierungsdaten einer Domain oder IP liefert: Registrar, Registrant, Daten und Nameserver.
WiresharkEin Open-Source-Netzwerkprotokollanalysator, der Pakete in Echtzeit aufzeichnet und untersucht, fuer Troubleshooting, Sicherheitsanalyse und Schulung.
XDR (Extended Detection and Response)Sicherheitsplattform, die Telemetrie aus Endpoint, Netzwerk, Identity, E-Mail und Cloud vereint und korrelative Erkennung mit integrierten Response-Aktionen kombiniert.
YARA-RegelEine textuelle Signatur in der YARA-Sprache, die Byte-, String- oder Verhaltensmuster beschreibt, um Malware-Samples und Dateien zu klassifizieren und zu erkennen.
Yellow TeamDie Builder – Entwickler, Architekten und DevOps-Ingenieure – die jene Systeme entwerfen und ausliefern, die Red und Blue Team angreifen und verteidigen.
ZeekEin quelloffener Network Security Monitor (frueher Bro), der Netzwerkverkehr in strukturierte, protokollbewusste Logs und Skripte fuer die Bedrohungserkennung verwandelt.