IT-Security-Glossar
Die wichtigsten Abkürzungen aus Schwachstellen-Management und EU-Cybersicherheitsregulierung - klar definiert, mit Quellen und Querverweisen.
Themenbereichs-Übersicht
Wissen ist verzahnt. Hier sind verwandte Begriffe in thematischen Clustern organisiert.
Schwachstellen identifizieren
Wie Sicherheitslücken benannt, katalogisiert und klassifiziert werden.
Schwachstellen bewerten
Standards zur Bewertung der Schwere und des Risikos einer Sicherheitslücke.
Schwachstellen managen
Prozesse und Formate für Patch-Management, Advisories und sichere Lieferketten.
Compliance & Regulierung
EU-Standards und Richtlinien für IT-Sicherheit und sichere Produktentwicklung.
Schwachstellen & Kennungen
Wie Sicherheitslücken benannt und klassifiziert werden.
- CVECommon Vulnerabilities and Exposures
CVE-IDs sind der globale Standard zur Identifizierung von Sicherheitslücken. Jede bekannte Sicherheitslücke erhält eine eindeutige Nummer (z.B. CVE-2024-3094). Erfahren Sie, wie CVE-IDs in Security Advisories, Patch-Management und Compliance verwendet werden.
- CWECommon Weakness Enumeration
CWE ist eine standardisierte Liste von Schwachstellentypen wie SQL-Injection oder Pufferüberlauf. Während CVE einzelne Schwachstellen benennt, beschreibt CWE deren Ursache.
- ExploitExploit / Exploit Code
Ein Exploit ist Code oder eine Technik, die eine konkrete Sicherheitslücke aktiv ausnutzt. Ob ein Exploit öffentlich bekannt ist, bestimmt maßgeblich die Dringlichkeit eines Patches.
Bewertung & Priorisierung
Wie die Schwere und Dringlichkeit einer Schwachstelle eingeschätzt wird.
- CVSSCommon Vulnerability Scoring System
CVSS-Score (0-10) ist der Branchenstandard zur Bewertung von Sicherheitslücken. Der CVSS-Score bewertet Angriffsweg, Komplexität und Schadenpotenzial. Verstehen Sie, wie High, Critical und andere Schweregrade berechnet werden. Für KMUs: Ein CVSS 7.5 mit aktuellem Exploit ist oft kritischer als ein CVSS 9 ohne Exploit.
- KEVKnown Exploited Vulnerabilities
Der KEV-Katalog der US-Behörde CISA listet Schwachstellen, die nachweislich aktiv ausgenutzt werden. Der wichtigste Signal für sofortige Patch-Priorität: Eine CVSS 7 im KEV ist oft kritischer als CVSS 9 ohne aktive Ausnutzung.
- TARAThreat Analysis and Risk Assessment
TARA ist eine strukturierte Methode zur Identifikation von Bedrohungen und Bewertung der damit verbundenen Risiken. Sie ist Pflichtbestandteil der IEC 62443, des EU Cyber Resilience Act und der ISO/SAE 21434.
- STRIDESpoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege
STRIDE ist ein von Microsoft entwickeltes Framework zur Klassifikation von Sicherheitsbedrohungen in sechs Kategorien. Es ist die verbreitetste Methode im Threat Modeling und zentraler Bestandteil von TARA-Prozessen.
- RisikoregisterRisk Register
Ein Risikoregister listet alle identifizierten Informationssicherheitsrisiken mit Bewertung, Behandlung und Verantwortlichkeit auf. Es ist nach ISO/IEC 27001:2022 Kap. 6.1.2/6.1.3 verpflichtender Bestandteil jedes ISMS und das dokumentierte Ergebnis einer TARA.
- RisikomatrixRisk Matrix
Eine Risikomatrix stuft Risiken anhand von Eintrittswahrscheinlichkeit und Schadenshöhe in Kategorien wie niedrig, mittel, hoch und kritisch ein. Sie ist die gängigste Methode zur Priorisierung im Risikoregister nach ISO/IEC 27001.
Transparenz & Lieferkette
Formate, die Schwachstellen-Informationen maschinenlesbar machen.
- SBOMSoftware Bill of Materials
Eine SBOM ist eine maschinenlesbare Stückliste aller Komponenten und Bibliotheken einer Software. Pflicht im EU Cyber Resilience Act (CRA). Ermöglicht schnelle Beurteilung bei neuen Schwachstellen wie Log4Shell.
- CSAFCommon Security Advisory Framework
CSAF ist ein OASIS-Standard für maschinenlesbare Sicherheits-Advisories im JSON-Format. Er ist die zentrale Grundlage für automatisiertes Schwachstellen-Management nach BSI TR-03183.
Organisation & Prozesse
Wer beim Hersteller für Schwachstellen verantwortlich ist.
- PSIRTProduct Security Incident Response Team
Ein PSIRT ist die Stelle beim Hersteller, die Schwachstellenmeldungen für die eigenen Produkte entgegennimmt, koordiniert und Advisories veröffentlicht.
- NIS-2Network and Information Security Directive 2
NIS-2 ist eine EU-Richtlinie, die Cybersicherheitspflichten für Betreiber kritischer und wichtiger Einrichtungen festlegt. Sie ist seit Oktober 2024 in nationales Recht umzusetzen und betrifft deutlich mehr Unternehmen als ihre Vorgängerin.
- IEC 62443Industrial Automation and Control Systems Security
IEC 62443 ist die internationale Normenreihe für Cybersicherheit in industriellen Automatisierungs- und Steuerungssystemen (IACS). Sie definiert Security Levels und ist Pflichtbezug im EU Cyber Resilience Act für OT-Hersteller.
- SoAStatement of Applicability
Das Statement of Applicability (SoA) dokumentiert für jeden der 93 Controls aus ISO/IEC 27001:2022 Anhang A, ob er angewendet wird, warum, und wie weit die Umsetzung fortgeschritten ist. Es ist nach Kap. 6.1.3 d) eines von zwei zwingend vorgeschriebenen ISMS-Dokumenten.
- Annex AAnnex A (ISO/IEC 27001:2022)
Anhang A der ISO/IEC 27001:2022 listet 93 Referenz-Sicherheitsmaßnahmen (Controls) in vier Themen. Er ist die Grundlage für das Statement of Applicability; die ausführliche Umsetzungsanleitung zu jedem Control liefert die begleitende Norm ISO/IEC 27002:2022.