● 120 entries

Netzwerksicherheit

5G-SicherheitDie in 3GPP TS 33.501 definierte Sicherheitsarchitektur fur 5G-Mobilfunknetze, die Teilnehmerprivatsphare, gegenseitige Authentifizierung sowie den Schutz von Signalisierung und Nutzdaten umfasst.
Always-On VPNGerateweite Richtlinie, die den VPN-Tunnel automatisch aufbaut, sobald ein Netzwerk verfugbar ist, und ungetunnelten Verkehr verweigert; durchgesetzt von Windows-, Apple- und Android-Profilen.
Anomaliebasierte ErkennungEin Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet.
ARC (Authenticated Received Chain)E-Mail-Standard nach RFC 8617, der Authentifizierungsergebnisse über Forwarding-Hops hinweg erhält, indem jeder Intermediär die Kette der bisherigen Prüfungen kryptografisch signiert.
ARPSicherungsschicht-Protokoll (RFC 826), das eine IPv4-Adresse auf die MAC-Adresse eines Hosts im selben Broadcast-Domain abbildet, damit Frames zugestellt werden können.
BGP-HijackingAngriff, bei dem ein autonomes System IP-Prafixe ankundigt, die ihm nicht legitim gehoren, und so weltweiten Internetverkehr anzieht und moglicherweise abfangt.
BGP-Route-LeakUnbeabsichtigte BGP-Propagation, bei der ein autonomes System Routen ausserhalb der vorgesehenen Geschaftsbeziehung ankundigt und damit oft globalen Verkehr in das falsche AS lenkt.
BIMIE-Mail-Standard, der das Anzeigen eines verifizierten Marken-Logos neben authentifizierten Nachrichten in unterstützenden Clients ermöglicht, sofern die Domain eine DMARC-Policy von Quarantine oder Reject einsetzt.
Bot-ManagementBot-Management erkennt automatisierten Traffic und unterscheidet gute von boesartigen Bots, um sie entsprechend zuzulassen, herauszufordern oder zu blockieren.
Canary TokenEine spezielle Form des Honeytokens, die beim Auslösen leise nach Hause funkt und so als Stolperdraht für unbefugten Zugriff oder Datenmissbrauch dient.
CDN-SicherheitCDN-Sicherheit nutzt den globalen Edge eines Content-Delivery-Network – TLS-Terminierung nahe am Nutzer – um DDoS-Schutz, WAF, Bot-Management und TLS-Hygiene durchzusetzen.
CIDR-NotationDie Classless-Inter-Domain-Routing-Notation drueckt ein IP-Prafix als Adresse plus Schragstrich und Bitanzahl aus, z. B. 10.0.0.0/8.
DANEProtokollfamilie nach RFC 6698, die mit DNSSEC-signierten TLSA-Records TLS-Zertifikate oder öffentliche Schlüssel an einen Dienst bindet und so die Abhängigkeit vom öffentlichen CA-System verringert.
DDoS-MitigationDDoS-Mitigation umfasst Techniken und Dienste, die verteilte Denial-of-Service-Angriffe absorbieren, filtern und umleiten, bevor sie Netz, Infrastruktur oder Anwendung des Ziels ueberlasten.
Deep Packet Inspection (DPI)Ein Verfahren, das nicht nur Header, sondern die gesamte Nutzlast von Netzwerkpaketen analysiert, um Anwendungen, Inhalte und Bedrohungen zu erkennen.
Demilitarisierte Zone (DMZ)Pufferndes Netzsegment für extern erreichbare Dienste, das vom internen LAN isoliert ist, um die Schadensreichweite eines Einbruchs zu begrenzen.
DHCPUDP-basiertes Protokoll (RFC 2131, Ports 67/68), das Clients beim Netzbeitritt automatisch IP-Adressen und Netzwerkkonfigurationsparameter zuweist.
Diameter-ProtokollEin in RFC 6733 standardisiertes AAA-Protokoll (Authentifizierung, Autorisierung, Abrechnung), das RADIUS in IMS, LTE-EPC und Roaming-/IPX-Netzen abgelost hat.
DKIME-Mail-Authentifizierungsstandard nach RFC 6376, mit dem die Absenderdomain ausgehende Nachrichten kryptografisch signiert, sodass Empfänger Header- und Body-Integrität prüfen können.
DMARCE-Mail-Authentifizierungsstandard nach RFC 7489, mit dem Domain-Inhaber eine Richtlinie veröffentlichen, wie Empfänger Nachrichten behandeln sollen, die SPF/DKIM und Alignment verfehlen.
DNS over HTTPS (DoH)Protokoll, das DNS-Anfragen verschlüsselt, indem es sie über HTTPS transportiert und so verhindert, dass On-Path-Beobachter sie lesen oder manipulieren.
DNS over TLS (DoT)Protokoll, das DNS-Anfragen in einer dedizierten TLS-Sitzung verschlüsselt und so vor Abhören und Manipulation auf der Leitung schützt.
DNS RebindingBrowserseitiger Angriff, der kurze DNS-TTLs missbraucht, sodass ein Hostname zuerst auf einen Angreiferserver und dann auf eine interne IP zeigt - die Same-Origin-Policy wird umgangen.
DNS-Blocklist (DNSBL)DNS-basiertes Verfahren nach RFC 5782, mit dem Mailsysteme eine Liste bekannter Spam- oder Malware-IPs bzw. -Domains abfragen und Blockier-, Bewertungs- oder Routing-Entscheidungen treffen können.
DNS-TunnelingVerdeckter Kanal, der beliebige Daten in DNS-Abfragen und -Antworten auf UDP/TCP-Port 53 kodiert und haufig fur Command-and-Control sowie Datenexfiltration genutzt wird.
DNSSECEine Reihe von DNS-Erweiterungen, die digitale Signaturen verwenden, damit Resolver die Echtheit und Integrität von DNS-Einträgen überprüfen können.
Extended-Validation-ZertifikatEin TLS-Zertifikat, das eine CA erst nach einer strengen, standardisierten Prüfung der Rechtspersönlichkeit, physischen Existenz und Berechtigung des Antragstellers ausstellt.
FirewallEin Netzwerk-Sicherheitsgerät oder eine Software, die ein- und ausgehenden Datenverkehr anhand definierter Regeln überwacht und steuert und vertrauenswürdige von nicht vertrauenswürdigen Netzwerken trennt.
Forward-ProxyAuf Clientseite konfigurierter Proxy, der ausgehende Anfragen im Namen des Nutzers an externe Dienste weiterleitet.
FTPEin veraltetes Dateiubertragungsprotokoll (RFC 959), das TCP-Port 21 fur die Steuerung und Port 20 fur Daten verwendet, Zugangsdaten und Inhalte im Klartext ubertragt und aus Sicherheitsgrunden weitgehend abgelost wurde.
GnuPG (GPG)Freie Software-Implementierung des OpenPGP-Standards (RFC 4880, RFC 9580) zum Signieren, Verschlüsseln und Entschlüsseln von Daten, einschließlich E-Mails und Software-Paketen.
GreylistingAnti-Spam-Technik, die unbekannten Absender-Tripeln zunächst eine vorübergehende SMTP-Ablehnung zurückgibt und Nachrichten erst bei einer ordnungsgemäßen späteren Wiederzustellung annimmt.
HoneynetEin kontrolliertes Netzwerk aus mehreren miteinander verbundenen Honeypots, das Angreiferverhalten in einer realistischen Multi-Host-Umgebung untersucht.
HoneypotEin bewusst exponiertes Köder-System oder -Dienst, das Angreifer anlocken, ihre Techniken aufzeichnen und sie von produktiven Assets fernhalten soll.
HoneytokenEin gefälschtes Datum – Zugangsdaten, Datei, Datensatz oder API-Schlüssel – ohne legitimen Verwendungszweck, das beim Zugriff sofort einen Alarm auslöst.
Host-basiertes IDS (HIDS)Ein auf einem Server oder Endpunkt installierter Agent, der lokale Dateien, Prozesse, Logs und Systemaufrufe auf bösartige Aktivität überwacht.
HTTP Strict Transport Security (HSTS)Eine über einen HTTP-Antwortheader übermittelte Sicherheitsrichtlinie, die Browser anweist, eine Domain für einen festgelegten Zeitraum nur über HTTPS aufzurufen.
HTTP/2-SicherheitDas Sicherheitsmodell von HTTP/2 (RFC 9113) uber TLS 1.2+ sowie die Fallstricke von HPACK, Multiplexing, CONTINUATION-Frames und dem Rapid-Reset-Angriff 2023.
HTTP/3 / QUICHTTP/3 (RFC 9114) ist die HTTP-Abbildung auf QUIC (RFC 9000), einen UDP-basierten, verschlusselten Transport mit integriertem TLS 1.3 und Stream-Multiplexing ohne Head-of-Line-Blocking.
HTTPSHTTP, das über eine TLS-geschützte Verbindung läuft und so Vertraulichkeit, Integrität und Server-Authentizität für Webverkehr bereitstellt.
ICMPSteuer- und Diagnoseprotokoll der Netzwerkschicht (RFC 792 fur IPv4, RFC 4443 fur IPv6), mit dem Hosts und Router Fehler melden und Pfadzustande signalisieren.
IEEE 802.1XPortbasierter NAC-Standard, der ein Gerät oder einen Nutzer authentifiziert, bevor Datenverkehr auf einem verkabelten oder drahtlosen Port zugelassen wird.
Intrusion Detection System (IDS)Eine passive Sicherheitskomponente, die Netzwerk- oder Host-Aktivität auf böswilliges Verhalten überwacht und Alarme auslöst, ohne Verkehr zu blockieren.
Intrusion Prevention System (IPS)Eine inline arbeitende Sicherheitskomponente, die bösartigen Verkehr erkennt und in Echtzeit aktiv blockiert, zurücksetzt oder filtert.
IP-AdresseNumerische Kennung einer Netzwerkschnittstelle fur das Routing in IP-Netzen: 32 Bit bei IPv4 (RFC 791) oder 128 Bit bei IPv6 (RFC 8200).
IPsecEine IETF-Protokollsuite, die IP-Pakete authentisiert und verschlüsselt und damit sichere Kommunikation auf der Netzwerkschicht ermöglicht.
known_hosts-DateiOpenSSH-Client-Datei (~/.ssh/known_hosts), die offentliche Server-Schlussel verankert, damit SSH Host-Key-Anderungen als Hinweis auf MITM-Angriffe erkennen kann.
LTE-SicherheitSicherheitsarchitektur fur 4G/LTE-Mobilfunknetze nach 3GPP TS 33.401, mit EPS-AKA-Authentifizierung sowie Verschlusselung von RRC, NAS und Nutzdaten.
MAC-Adresse48-Bit-Hardwarekennung (IEEE 802), die in eine Netzwerkschnittstelle gebrannt ist und der Zustellung innerhalb eines Sicherungsschicht-Segments dient.
MicrosegmentationFeingranulare Segmentierung, die Allowlist-Policies zwischen einzelnen Workloads oder Anwendungen anwendet, meist durchgesetzt auf Host- oder Hypervisor-Ebene.
MTA-STSE-Mail-Sicherheitsmechanismus nach RFC 8461, mit dem eine Domain TLS für eingehendes SMTP erzwingt und vertrauenswürdige MX-Hostnamen festschreibt, um Downgrade- und STARTTLS-Stripping-Angriffe zu verhindern.
Mutual TLS (mTLS)Eine TLS-Erweiterung, bei der sowohl Client als auch Server X.509-Zertifikate vorlegen, um sich kryptografisch gegenseitig zu authentifizieren.
Network Access Control (NAC)Richtlinien und Technologien, die Geräte und Nutzer vor der Netzwerknutzung authentifizieren und Postur-Anforderungen kontinuierlich durchsetzen.
Network Address Translation (NAT)Verfahren, bei dem ein Router beim Durchlaufen der Pakete IP-Adressen und Ports umschreibt, damit viele interne Hosts eine oder wenige öffentliche Adressen teilen können.
Netzwerk-basiertes IDS (NIDS)Ein Intrusion-Detection-Sensor, der aus einem Netzwerksegment kopierten Verkehr analysiert, um bösartige Muster und Policy-Verstöße zu erkennen.
NetzwerksegmentierungDie Praxis, ein Netzwerk in mehrere Zonen aufzuteilen und den Verkehr zwischen ihnen zu kontrollieren, um Einbrüche einzudämmen und Least-Privilege umzusetzen.
Next-Generation Firewall (NGFW)Eine fortgeschrittene Firewall, die Stateful Inspection mit Anwendungs- und Benutzererkennung, integriertem IPS und TLS-Inspektion kombiniert, um differenziertere Richtlinien durchzusetzen.
OCSP (Online Certificate Status Protocol)HTTP-basiertes Protokoll, mit dem ein Client in Echtzeit beim Responder einer CA prüft, ob ein bestimmtes X.509-Zertifikat gültig, widerrufen oder unbekannt ist.
OpenVPNEin quelloffenes, im Userspace laufendes VPN, das TLS/OpenSSL für die Peer-Authentisierung verwendet und beliebigen IP- oder Ethernet-Verkehr tunnelt.
Opportunistisches TLSVerschlüsselungshaltung, bei der zwei Parteien TLS verwenden, wenn beide es unterstützen, und sonst auf Klartext zurückfallen – typisch für SMTP zwischen Mailservern mit STARTTLS ohne starke Authentifizierung.
PaketfilterungEine Netzwerk-Sicherheitstechnik, die die Header-Felder jedes Pakets prüft und es anhand eines statischen Regelwerks zulässt oder verwirft.
PGPPretty Good Privacy – ein 1991 von Phil Zimmermann entwickeltes Verfahren für Ende-zu-Ende-Verschlüsselung und digitale Signaturen von E-Mails, Dateien und Nachrichten.
Port KnockingVerfahren, das Dienstports standardmäßig geschlossen hält und nur nach einer vordefinierten Sequenz von Verbindungsversuchen öffnet.
Port-ForwardingNAT-Konfiguration, bei der ein Router Datenverkehr von einem bestimmten öffentlichen Port auf einen gewählten internen Host und Port umleitet.
Proxy-ServerVermittlungsserver, der Client-Anfragen an andere Server weiterleitet, dabei den Client verbirgt und zentrale Inspektion, Filterung oder Zwischenspeicherung des Verkehrs ermöglicht.
Public-Key-Infrastruktur (PKI)Gesamtsystem aus Richtlinien, Software, Hardware und vertrauenswürdigen Instanzen, das digitale Zertifikate ausstellt, verteilt, prüft und widerruft, die Identitäten mit öffentlichen Schlüsseln verknüpfen.
RADIUSWeit verbreitetes AAA-Protokoll, mit dem Netzwerkgeräte die Authentifizierung, Autorisierung und Abrechnung des Nutzer- oder Gerätezugriffs durchführen.
Rate LimitingRate Limiting begrenzt die Anzahl von Anfragen, die ein Identifier (IP, User, API-Key oder Token) in einem Zeitfenster stellen darf, und schuetzt APIs und Apps vor Missbrauch, Scraping und Brute-Force.
Remote-Access-VPNEin VPN, das einer einzelnen Person erlaubt, Laptop oder Smartphone von beliebigen Internetstandorten sicher mit dem Unternehmensnetz zu verbinden.
Reverse-ProxyServer vor einem oder mehreren Backend-Diensten, der Client-Anfragen in deren Namen entgegennimmt und nach innen weiterleitet.
S/MIMEIETF-Standard für Ende-zu-Ende-Signatur und -Verschlüsselung von MIME-E-Mails mit X.509-Zertifikaten einer öffentlichen oder Unternehmens-CA.
SASESASE ist eine 2019 von Gartner gepraegte, cloud-bereitgestellte Architektur, die SD-WAN am Netzwerkrand mit Sicherheitsdiensten wie SWG, CASB, ZTNA und FWaaS zusammenfuehrt.
Secure Email GatewayPerimeter- oder Cloud-Dienst, der eingehende und ausgehende E-Mails auf Spam, Phishing, Malware, Datenabfluss und Policy-Verstöße prüft, bevor sie das Postfach erreichen.
Selbstsigniertes ZertifikatEin digitales Zertifikat, das mit demselben privaten Schlüssel signiert ist, dessen öffentlichen Schlüssel es enthält — also ohne externe Zertifizierungsstelle.
SFTPEin sicheres Datentransfer-Subsystem, das innerhalb einer SSH-Sitzung auf TCP-Port 22 lauft und authentifizierte, verschlusselte Datei- und Verzeichnisoperationen bereitstellt.
Signaturbasierte ErkennungEine Erkennungsmethode, die beobachteten Verkehr, Dateien oder Verhalten mit einer Datenbank bekannter bösartiger Muster (Signaturen) abgleicht, um bösartige Aktivität zu kennzeichnen.
Site-to-Site-VPNEin dauerhafter verschlüsselter Tunnel zwischen zwei Netzwerken – etwa Niederlassungen, Rechenzentren oder Cloud-VPCs – über den Hosts beider Seiten transparent kommunizieren.
SPF (Sender Policy Framework)E-Mail-Authentifizierungsmechanismus nach RFC 7208, mit dem eine Domain im DNS festlegt, welche IPs oder Hosts berechtigt sind, mit ihrer Domain im Envelope-MAIL-FROM zu senden.
SSESSE ist die Sicherheitshaelfte von SASE – ein cloud-bereitgestelltes Buendel aus SWG, CASB, ZTNA und oft DLP und FWaaS, das den Nutzerverkehr zu Internet, SaaS und privaten Apps schuetzt.
SSHEin kryptografisches Netzwerkprotokoll (RFC 4251, Port 22), das authentifizierte, verschlusselte und integritatsgeschutzte Fernanmeldungen, Befehlsausfuhrung und Tunnel uber unsichere Netze ermoglicht.
SSH-Agent-ForwardingOpenSSH-Funktion (mit -A oder ForwardAgent yes), die auf dem Remote-Host einen UNIX-Socket bereitstellt, damit Befehle dort den lokalen SSH-Agent fur weitere Hops nutzen konnen.
SSH-SchlusseltypenAsymmetrische Schlusselalgorithmen, die OpenSSH zur Benutzer- und Host-Authentifizierung akzeptiert: RSA, ECDSA (NIST-Kurven) und der moderne Default Ed25519.
SSL (Secure Sockets Layer)Der historische Vorläufer von TLS, ursprünglich von Netscape in den 1990ern entwickelt, um Webverkehr zu verschlüsseln, heute formal abgekündigt.
SSL StrippingEin Man-in-the-Middle-Angriff, der eine HTTPS-Verbindung des Opfers unbemerkt auf unverschlüsseltes HTTP herabstuft, damit der Angreifer den Verkehr mitlesen und manipulieren kann.
SSL-VPNEin VPN, das den Tunnel über TLS (historisch SSL) führt und Remote-Zugriff über Standard-Web-Ports ohne dediziertes VPN-Protokoll ermöglicht.
STARTTLSSMTP-, IMAP-, POP3- und XMPP-Erweiterung nach RFC 3207, die eine Klartextverbindung nach dem Protokollgruß auf TLS upgradet und so opportunistische Verschlüsselung zwischen Mailservern und -clients ermöglicht.
Stateful FirewallEine Firewall, die den Zustand aktiver Verbindungen in einer Verbindungstabelle verfolgt und Rückverkehr passender Sessions automatisch zulässt.
Subdomain-TakeoverAngriff, bei dem ein verwaister DNS-Eintrag (meist ein CNAME) auf eine nicht beanspruchte Cloud- oder SaaS-Ressource zeigt; ein Angreifer kann diese registrieren und so die Subdomain ubernehmen.
SubnetzZusammenhangender IP-Adressbereich mit gemeinsamem Prafix, der eine einzelne Broadcast-Domane und Routing-Grenze im Netz definiert.
SWGEin Secure Web Gateway (SWG) ist ein Proxy – on-prem oder Cloud – der den Web-Verkehr von Nutzern inspiziert, Acceptable-Use-Policies durchsetzt und Malware, Phishing und Datenabfluss blockiert.
TACACS+Von Cisco entwickeltes AAA-Protokoll, das Authentifizierung, Autorisierung und Abrechnung trennt und die gesamte Payload zwischen Client und Server verschlüsselt.
TCPEin verbindungsorientiertes Transportprotokoll (RFC 9293), das einen geordneten, zuverlassigen und staugesteuerten Bytestrom zwischen zwei Endpunkten uber IP liefert.
TCP/IPDie vierschichtige Internet-Protokollsuite, die definiert, wie Pakete in verbundenen Netzen adressiert, geroutet, fragmentiert und zuverlassig zugestellt werden.
TLS (Transport Layer Security)Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
TLS-HandshakeDer initiale Protokollaustausch von Transport Layer Security, der den Server (und optional den Client) authentifiziert und die symmetrischen Sitzungsschlussel ableitet.
Transparenter ProxyInline ins Netzwerk geschalteter Proxy, der Client-Verkehr abfängt, ohne dass der Client konfiguriert werden muss.
UDPEin verbindungsloses Transportprotokoll (RFC 768), das einzelne Datagramme mit minimalem Overhead zwischen Ports zustellt, ohne Zuverlassigkeits- oder Reihenfolgegarantien.
VLANEin virtuelles LAN (IEEE 802.1Q) gruppiert Switch-Ports in getrennte Broadcast-Domanen, indem Ethernet-Frames mit einer 12-Bit-VLAN-ID getaggt werden.
VoIP-SicherheitDie Massnahmen, die Voice-over-IP-Anrufe (SIP-Signalisierung und RTP-Medien) vor Mithoren, Betrug, Denial-of-Service und Identitatsfalschung schutzen.
VoLTE-SicherheitSicherheit von Voice over LTE: IMS-Authentifizierung sowie Signalisierungs- und Medienschutz fur SIP/RTP-Anrufe, die uber 4G- oder 5G-Datentrager gefuhrt werden.
VPN (Virtual Private Network)Eine Technologie, die einen verschlüsselten, authentifizierten Tunnel über ein öffentliches Netz aufbaut, sodass der Verkehr scheinbar über ein privates Netz läuft.
VPN-Kill-SwitchSchutzmechanismus, der den gesamten Netzwerkverkehr des Hosts blockiert, sobald der VPN-Tunnel abbricht, um unverschlusselte Leaks zu verhindern.
VPN-Split-TunnelingVPN-Konfiguration, die nur ausgewahlten Datenverkehr (z. B. Unternehmens-Subnetze) durch den verschlusselten Tunnel leitet und den Rest direkt ins Internet schickt.
WAAPWAAP (Web Application and API Protection) ist die moderne Weiterentwicklung des WAF und kombiniert API-Sicherheit, Bot-Management und DDoS-Schutz in einem einheitlichen Cloud-Service.
Web Application Firewall (WAF)Ein Reverse-Proxy-Filter, der HTTP/HTTPS-Verkehr inspiziert, um Web-Angriffe wie SQL-Injection, XSS und Bot-Missbrauch zu blockieren, bevor sie die Anwendung erreichen.
WEP (Wired Equivalent Privacy)Ursprüngliches WLAN-Vertraulichkeitsprotokoll von 1997, das heute als gebrochen gilt und für keinen Produktivbetrieb mehr taugt.
Wi-Fi 6EErweiterung von Wi-Fi 6 (802.11ax) auf das 6-GHz-Band; die Wi-Fi Alliance verlangt fuer zertifizierte Geraete und Netze ausschliesslich WPA3.
Wi-Fi 7Marketingname fuer IEEE 802.11be: 320-MHz-Kanaele, 4K-QAM und Multi-Link Operation; WPA3 ist die verpflichtende Sicherheitsbasis.
Wi-Fi-Deauthentication-AngriffEin Wi-Fi-Deauth-Angriff missbraucht ungeschuetzte 802.11-Management-Frames, um Clients zwangsweise vom Accesspoint zu trennen, fuer Denial-of-Service oder weiterfuehrende Angriffe.
Wildcard-ZertifikatEin X.509-Zertifikat, dessen Subjektname mit einem Sternchen jede einzelne Subdomain einer bestimmten Domain abdeckt, etwa *.example.com.
WireGuardEin modernes, minimalistisches VPN-Protokoll mit fest definierten zeitgemäßen Krypto-Primitiven, das als Teil des Linux-Kernels läuft.
WPA2Zweite Generation von Wi-Fi Protected Access, basierend auf AES-CCMP und IEEE 802.11i, seit 2004 De-facto-Standard für WLAN-Sicherheit.
WPA3Dritte Generation von Wi-Fi Protected Access mit SAE-Authentifizierung, Forward Secrecy und stärkerem Schutz für privates und unternehmensweites WLAN.
X.509-ZertifikatStandardstruktur eines digitalen Zertifikats, das einen öffentlichen Schlüssel über die Signatur einer vertrauenswürdigen CA mit einer Identität verbindet.
Zero Trust NetworkEine Netzwerkarchitektur, die Nutzer, Geräte oder Dienste niemals automatisch vertraut und jede Verbindung kontinuierlich identitätsbasiert prüft.
Zertifikats-PinningEine Technik, bei der eine Anwendung ein erwartetes Zertifikat oder einen öffentlichen Schlüssel fest hinterlegt und TLS-Verbindungen ablehnt, die nicht passen — auch wenn eine kompromittierte CA beteiligt ist.
Zertifikatsperrliste (CRL)Eine von einer CA signierte, regelmäßig veröffentlichte Liste von Zertifikaten, die vor Ablauf widerrufen wurden; Relying Parties prüfen damit, ob ein Zertifikat noch gültig ist.
Zertifizierungsstelle (CA)Vertrauenswürdige Instanz, die digitale Zertifikate ausstellt und signiert und damit kryptografische öffentliche Schlüssel mit geprüften Identitäten wie Domains oder Organisationen verknüpft.
ZTNAZTNA gewaehrt Nutzern Zugriff auf einzelne private Anwendungen nur nach kontinuierlicher Pruefung von Identitaet, Geraet und Kontext – nie standardmaessig Netzwerkebene.
Zustandslose FirewallEine Firewall, die jedes Paket einzeln gegen statische Regeln prüft, ohne den Zustand von Verbindungen zu verfolgen.