Im Folgenden finden Sie ein kurzes Glossar mit Terminologie für den Bereich IT-Sicherheit.

Ein ‚Asset‘ ist ein materieller oder immaterieller Vermögenswert, der durch die Sicherheitspolitik eines Informationssystems geschützt werden muss, der durch eine Gegenmassnahme geschützt werden soll oder der für die Aufgabe eines Systems erforderlich ist.

Ein 'Information System' ist eine organisierte Zusammenstellung von Rechen- und Kommunikationsressourcen sowie von Rechen- und Kommunikationsverfahren.

Das sind Ausrüstung und Dienste, zusammen mit der sie unterstützenden Infrastruktur, den Einrichtungen und dem Personal, die Informationen erstellen, sammeln, aufzeichnen, verarbeiten, speichern, transportieren, abrufen, anzeigen, verbreiten, kontrollieren oder entsorgen, um eine bestimmte Reihe von Funktionen zu erfüllen.

Eine 'Vulnerability' ist ein Fehler oder ein Mangel im Design, in der Implementierung oder im Betrieb und im Management eines Systems, der ausgenutzt werden könnte, um die Sicherheit des Systems zu verletzen.

Die 'Exposure' definiert, wie leicht ein Angreifer auf das System zugreifen kann, um bösartige Aktionen auszuführen. In der Regel ist die Anfälligkeit hoch, wenn ein System mit dem Internet verbunden ist und somit von aussen erreicht werden kann.

Ein 'Thread' ist ein Potenzial für die Verletzung der Sicherheit, das besteht, wenn eine Einheit, ein Umstand, eine Fähigkeit, eine Aktion oder ein Ereignis vorliegt, das Schaden verursachen könnte.

Die 'Common Criteria' charakterisieren eine Bedrohung in Bezug auf die folgenden Punkte:

  • Bedrohungsfaktor
  • Vermutete Angriffsmethode
  • Schwachstellen, die eine Grundlage für den Angriff bilden
  • Angegriffene Systemressource.

Der 'Impact' beschreibt das Ausmass des Schadens, den die Systeme im Falle eines IT-Sicherheitsvorfalls erleiden. In einigen Fällen kann das Schadensausmass anhand des Geldwertes bewertet werden, beispielsweise der Kosten für den Austausch der Geräte. Häufig bezieht sich 'Impact' jedoch auf Schäden an der Reputation und anderen immateriellen Werten, die schwer zu berechnen sind.

Ein 'Risk' ist eine Schadenserwartung, die als Wahrscheinlichkeit ausgedrückt wird, dass eine bestimmte Bedrohung eine bestimmte Verwundbarkeit ausnutzt, mit einem bestimmten schädlichen Ergebnis.

Das Restrisiko ist der Anteil eines ursprünglichen Risikos oder einer Reihe von Risiken, der nach der Anwendung von Gegenmassnahmen verbleibt.

Eine 'Measure', auch als 'Countermeasure' oder 'Control' bezeichnet, wird durchgeführt, um das Risiko zu verringern. Dazu können Hardware- oder Software-Methoden gehören, um die Wahrscheinlichkeit zu minimieren, dass ein Angreifer auf das System zugreift, wie beispielsweise die Isolierung eines Systems vom Rest des Systems mit Hilfe von Standardpasswörtern.

Bedrohungs- und Risikoterminologie