IT-Lexikon

Begriffe
verständlich erklärt

Von PAM bis RAG, von Zero Trust bis EU AI Act — die wichtigsten Begriffe aus Cybersecurity, Künstlicher Intelligenz und IT-Compliance kompakt und praxisnah erklärt.

ADCybersecurity

Active Directory

Microsofts zentraler Verzeichnisdienst für die Verwaltung von Identitäten, Berechtigungen und Gruppenrichtlinien in Windows-Netzwerken.

AD CSCybersecurity

Active Directory Certificate Services

Microsofts PKI-Rolle für Active Directory, die digitale Zertifikate für Authentifizierung, Verschlüsselung und Codesignierung ausstellt und verwaltet.

ADFSCybersecurity

Active Directory Federation Services

Microsofts On-Premise-Dienst für Single Sign-On (SSO) und föderierte Authentifizierung über SAML 2.0 und WS-Federation — ein häufiges Angriffsziel in Unternehmensumgebungen.

Cybersecurity

Active Directory Tiering-Modell

Sicherheitsarchitektur, die Active Directory in drei strikt getrennte Verwaltungsebenen (Tier 0, 1, 2) aufteilt, um laterale Bewegung von Angreifern zu verhindern.

Cybersecurity

AdminSDHolder

Spezieller Active-Directory-Container, der als ACL-Vorlage für alle privilegierten Gruppen dient — ein häufig übersehener Persistenzmechanismus bei Domänenkompromittierungen.

AESCybersecurity

Advanced Encryption Standard

Symmetrische Blockchiffre nach NIST FIPS 197, seit 2001 weltweiter Standard für die Verschlüsselung sensibler Daten in TLS, Festplatten, WLAN und VPNs.

Künstliche Intelligenz

AI Agent

Autonomes KI-System, das eigenständig Aufgaben plant, Werkzeuge nutzt und mehrstufige Prozesse ausführt — weit über einfache Chat-Antworten hinaus.

Künstliche Intelligenz

AI Gateway

Zentrale Vermittlungsschicht zwischen Unternehmensanwendungen und KI-Modellen — steuert Zugriff, Kosten, Datenschutz und Logging für alle KI-Anfragen an einem Punkt.

AnycastCybersecurity

Routing-Verfahren, bei dem dieselbe IP-Adresse von vielen geografisch verteilten Servern beworben wird; das Routing leitet Anfragen automatisch zur topologisch nächsten Instanz und ist die Grundlage für die Skalierung kritischer Internet-Infrastruktur wie DNS-Roots, TLD-Nameserver und CDNs.

Cybersecurity

API Security

Sicherheitsdisziplin für REST-, GraphQL- und gRPC-APIs — umfasst Authentifizierung, Autorisierung, Schema-Validierung, Rate Limiting und zentrale Policy-Durchsetzung.

Cybersecurity

AppLocker

Windows-Funktion zur Anwendungssteuerung (Application Control), die über Regeln festlegt, welche Programme, Skripte und Installer auf einem System ausgeführt werden dürfen.

Cybersecurity

AS-REP Roasting

Angriffstechnik gegen Active Directory, bei der Kerberos-Antworten (AS-REP) für Konten ohne Vorauthentifizierung angefordert und offline geknackt werden — ohne gültige Credentials zu benötigen.

AVVCompliance & Standards

Auftragsverarbeitungsvertrag

Schriftlicher Vertrag nach Art. 28 DSGVO zwischen Verantwortlichem und Auftragsverarbeiter — Voraussetzung für jede zulässige Auftragsverarbeiter.

ASNCybersecurity

Autonomes System (ASN)

Weltweit eindeutig nummeriertes Netzwerk unter einheitlicher Routing-Policy, das über BGP mit anderen Netzwerken kommuniziert.

Cybersecurity

Backdoor

Ein versteckter, persistenter Zugangsmechanismus, der normale Authentifizierung umgeht und Angreifern dauerhaften Zugriff auf ein kompromittiertes System ermöglicht.

BIMICybersecurity

BIMI (Brand Indicators for Message Identification)

Offener E-Mail-Standard, der authentifizierten Absendern ermöglicht, ihr Markenlogo im Posteingang des Empfängers anzuzeigen — setzt eine strikte DMARC-Policy voraus.

Cybersecurity

BitLocker

In Windows integrierte Festplattenverschlüsselung, die Daten auf System- und Datenlaufwerken mittels AES-Verschlüsselung und TPM-Integration vor unautorisiertem Zugriff schützt.

Cybersecurity

Bootkit

Schadsoftware, die sich vor dem Betriebssystem in Bootloader, EFI System Partition oder Firmware einnistet und dadurch klassische Antiviren- und EDR-Lösungen umgeht.

Cybersecurity

Botnet

Netzwerk kompromittierter Geräte, das von Angreifern ferngesteuert für DDoS-Angriffe, Spam oder Datendiebstahl missbraucht wird.

BYOVDCybersecurity

Bring Your Own Vulnerable Driver

Angriffstechnik, bei der Angreifer einen legitim signierten, aber verwundbaren Kernel-Treiber auf das Zielsystem laden, um über die ausnutzbare Schwachstelle Kernel-Rechte zu erlangen und Sicherheitsmechanismen wie EDR oder Treibersignatur-Prüfung auszuhebeln.

Cybersecurity

Brute-Force

Angriffsmethode, bei der systematisch alle möglichen Kombinationen von Passwörtern oder Schlüsseln durchprobiert werden, bis der richtige Wert gefunden ist.

Compliance & Standards

BSI IT-Grundschutz

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Framework für die Umsetzung von Informationssicherheit in Organisationen.

Cybersecurity

Bug Bounty

Programm, bei dem Unternehmen externe Sicherheitsforscher für das Auffinden und verantwortungsvolle Melden von Schwachstellen belohnen.

BCPCompliance & Standards

Business Continuity Plan

Strategisches Rahmenwerk, das die Aufrechterhaltung geschäftskritischer Prozesse während und nach einer Störung sicherstellt — über IT hinaus inklusive Personal, Lieferketten und Standorten.

Compliance & Standards

CIS Benchmarks

International anerkannte Best-Practice-Konfigurationsrichtlinien des Center for Internet Security für die Härtung von IT-Systemen.

CASBCybersecurity

Cloud Access Security Broker

Policy-Durchsetzungspunkt zwischen Nutzern und SaaS-Diensten — mit Sichtbarkeit, Compliance, Datenschutz und Bedrohungsabwehr in vier Säulen.

CSPMCybersecurity

Cloud Security Posture Management

Automatisierte Überwachung und Korrektur von Fehlkonfigurationen in Cloud-Umgebungen (AWS, Azure, GCP).

Cybersecurity

Conditional Access

Richtlinienbasierte Zugriffssteuerung, die Anmeldungen anhand von Bedingungen wie Gerätetyp, Standort und Risikostufe automatisch erlaubt, einschränkt oder blockiert.

CDNCybersecurity

Content Delivery Network

Geografisch verteiltes Netz von Edge-Servern (PoPs), das Inhalte näher am Nutzer ausliefert. In der Cybersecurity dient ein CDN zugleich als vorgelagerte Schutzschicht für DDoS-Mitigation, WAF-Filterung, TLS-Terminierung und das Verbergen der Origin-IP.

Künstliche Intelligenz

Context Window

Die maximale Anzahl an Tokens, die ein Large Language Model in einer einzelnen Anfrage verarbeiten kann — bestehend aus Eingabe und Ausgabe zusammen.

Cybersecurity

Copilot+ PC

Geräteklasse mit dedizierter NPU (≥ 40 TOPS), die bestimmte Windows-KI-Funktionen lokal ausführt — von Microsoft 2024 eingeführt.

CSRFCybersecurity

Cross-Site Request Forgery

Angriffstechnik, bei der der Browser eines eingeloggten Nutzers ohne dessen Wissen eine authentifizierte Anfrage an eine Webanwendung sendet — ausgelöst durch eine vom Angreifer kontrollierte Seite.

CVSSCybersecurity

CVSS (Common Vulnerability Scoring System)

Standardisiertes Bewertungssystem zur Einschätzung des Schweregrads von IT-Sicherheitslücken auf einer Skala von 0,0 bis 10,0.

DANECybersecurity

DANE (DNS-based Authentication of Named Entities)

Verfahren zur Verankerung von TLS-Zertifikaten im DNS mittels TLSA-Records — setzt DNSSEC voraus und sichert den E-Mail-Transport kryptografisch ab.

DLPCybersecurity

Data Loss Prevention

Sicherheitsstrategie und Technologien zur Erkennung und Verhinderung des unautorisierten Abflusses sensibler Daten.

DSFACompliance & Standards

Datenschutz-Folgenabschätzung

Strukturierte Risikoanalyse nach Art. 35 DSGVO, die vor Verarbeitungen mit voraussichtlich hohem Risiko für Betroffene durchgeführt werden muss.

DSGVOCompliance & Standards

Datenschutz-Grundverordnung

Europäische Verordnung zum Schutz personenbezogener Daten, die seit Mai 2018 einheitliche Datenschutzregeln in der gesamten EU vorschreibt.

Cybersecurity

DCSync

Angriffstechnik, bei der das Active-Directory-Replikationsprotokoll missbraucht wird, um Passwort-Hashes direkt vom Domain Controller zu extrahieren.

DDoSCybersecurity

DDoS

Distributed Denial of Service — ein Angriff, bei dem massenhaft Anfragen von verteilten Quellen einen Dienst gezielt überlasten und lahmlegen.

Cybersecurity

Defense in Depth

Mehrschichtiges Sicherheitskonzept, bei dem gestaffelte Schutzmaßnahmen auf verschiedenen Ebenen — Netzwerk, Host, Anwendung, Daten — dafür sorgen, dass der Ausfall einer einzelnen Schicht nicht zur Kompromittierung des gesamten Systems führt.

dMSACybersecurity

Delegated Managed Service Account

Neuer Kontotyp in Windows Server 2025, der bestehende Service Accounts ohne Unterbrechung ablösen kann — mit automatischer Credential-Rotation und maschinengebundener Authentifizierung.

DRPCybersecurity

Disaster Recovery Plan

Technisch detaillierter Plan zur Wiederherstellung von IT-Systemen, Anwendungen und Daten nach einem Ausfall oder Sicherheitsvorfall — innerhalb definierter RTO- und RPO-Vorgaben.

DKIMCybersecurity

DKIM (DomainKeys Identified Mail)

Kryptografisches Verfahren zur E-Mail-Authentifizierung, das ausgehende Nachrichten digital signiert und so Manipulation auf dem Transportweg verhindert.

DMARCCybersecurity

DMARC

DNS-basiertes Protokoll zur E-Mail-Authentifizierung, das auf SPF und DKIM aufbaut und Empfänger-Servern Anweisungen zum Umgang mit nicht authentifizierten E-Mails gibt.

DNSCybersecurity

DNS (Domain Name System)

Hierarchisches Verzeichnissystem des Internets, das Domainnamen wie `beispiel.de` in IP-Adressen übersetzt und damit die Grundlage für nahezu alle internetbasierten Dienste bildet.

Cache PoisoningCybersecurity

DNS Cache Poisoning

Angriffstechnik, bei der ein Angreifer gefälschte DNS-Antworten in den Cache eines Resolvers einschleust, sodass anschließende Nutzer für eine legitime Domain auf eine vom Angreifer kontrollierte IP-Adresse umgeleitet werden.

CAACybersecurity

DNS Certification Authority Authorization

DNS-Record nach RFC 8659, der festlegt, welche Zertifizierungsstellen TLS-Zertifikate für eine Domain ausstellen dürfen — als Schutz vor unautorisierter Ausstellung durch fremde CAs.

DNSBLCybersecurity

DNSBL (DNS-based Blackhole List)

DNS-basierte Sperrliste, die IP-Adressen und Domains erfasst, von denen Spam oder schädliche Aktivitäten ausgegangen sind — genutzt von Mailservern zur Filterung eingehender E-Mails.

DNSSECCybersecurity

DNSSEC (DNS Security Extensions)

Kryptografische Erweiterung des DNS-Protokolls, die DNS-Antworten digital signiert und so Manipulationen wie DNS-Spoofing und Cache Poisoning verhindert.

DoHCybersecurity

DoH (DNS over HTTPS)

Protokoll nach RFC 8484, das DNS-Abfragen über verschlüsselte HTTPS-Verbindungen auf Port 443 überträgt und so verhindert, dass Internetprovider, Netzwerkbetreiber oder Angreifer auf dem Übertragungsweg den DNS-Verkehr mitlesen oder manipulieren können.

DoTCybersecurity

DoT (DNS over TLS)

Protokoll nach RFC 7858, das DNS-Abfragen über eine verschlüsselte TLS-Verbindung auf Port 853 überträgt und so das Mitlesen und Manipulieren von DNS-Anfragen durch Dritte verhindert.

Cybersecurity

E-Mail-Authentifizierung

Sammelbegriff für DNS-basierte Verfahren (SPF, DKIM, DMARC) zur Verifizierung der Absenderidentität von E-Mails.

Cybersecurity

E-Mail-Header

Technischer Kopfbereich einer E-Mail mit Metadaten über Absender, Transportweg, Zeitstempel und Authentifizierungsergebnisse — unsichtbar für den Empfänger, aber essenziell für die Sicherheitsanalyse.

Künstliche Intelligenz

Embedding

Mathematische Darstellung von Text als hochdimensionaler Vektor, die es ermöglicht, semantische Ähnlichkeiten zwischen Texten zu berechnen.

EDRCybersecurity

Endpoint Detection and Response

Sicherheitslösung zur kontinuierlichen Überwachung, Erkennung und Reaktion auf Bedrohungen direkt auf Endgeräten wie Laptops, Servern und Workstations.

ESAECybersecurity

Enhanced Security Admin Environment

Von Microsoft entwickeltes Architekturmodell zur Absicherung privilegierter Verwaltungszugänge in Active Directory durch strikte Trennung der Verwaltungsebenen.

Cybersecurity

Enterprise Access Model

Microsofts Weiterentwicklung des klassischen AD-Tiering-Modells für hybride und Cloud-Umgebungen — strukturiert privilegierten Zugriff in Control Plane, Management Plane und Data/Workload Plane statt starrer Tier-Grenzen.

Compliance & Standards

EU AI Act

EU-Verordnung zur Regulierung von Künstlicher Intelligenz — das weltweit erste umfassende KI-Gesetz mit risikobasierten Anforderungen.

EUDBCompliance & Standards

EU Data Boundary

Microsofts Datenresidenz-Zusicherung — Verarbeitung und Speicherung von Customer Data und Teilen der Service Generated Data ausschließlich innerhalb der EU/EFTA.

Cybersecurity

Exploit

Code oder Technik, die eine Sicherheitslücke gezielt ausnutzt, um unbeabsichtigtes Verhalten in einem System auszulösen — etwa Remote Code Execution oder Privilege Escalation.

Cybersecurity

FIDO2 / Passkeys

Offener Standard der FIDO Alliance für passwortlose, phishing-resistente Authentifizierung auf Basis asymmetrischer Kryptografie — Passkeys sind die nutzerfreundliche Umsetzung dieses Standards.

Künstliche Intelligenz

Fine-Tuning

Verfahren zur Anpassung vortrainierter KI-Modelle an spezifische Aufgaben oder Domänen — durch gezieltes Nachtraining auf eigenen Daten.

Cybersecurity

Firewall

Sicherheitssystem, das den Netzwerkverkehr anhand definierter Regeln filtert und unbefugte Zugriffe blockiert.

FWaaSCybersecurity

Firewall as a Service

Cloud-bereitgestellte Firewall-Funktionalität, die als Service konsumiert wird — mit NGFW-Fähigkeiten, aber ohne lokale Firewall-Hardware.

GoBDCompliance & Standards

GoBD

Verwaltungsvorschrift des BMF zur ordnungsgemäßen elektronischen Buchführung, Belegarchivierung und zum Datenzugriff durch die Finanzverwaltung.

Cybersecurity

Golden Ticket (Kerberos)

Angriffstechnik, bei der ein gefälschtes Kerberos-TGT mithilfe des KRBTGT-Passwort-Hashes erstellt wird, um sich als beliebiger Benutzer — einschließlich Domain Admin — auszugeben.

gMSACybersecurity

Group Managed Service Account

Von Active Directory automatisch verwalteter Service Account mit 120-Zeichen-Passwort und automatischer Rotation — macht Kerberoasting praktisch unmöglich.

GPOCybersecurity

Gruppenrichtlinie

Zentrales Konfigurationswerkzeug in Active Directory, mit dem Sicherheitseinstellungen, Softwarerichtlinien und Systemkonfigurationen auf alle Domänencomputer verteilt werden.

Künstliche Intelligenz

Guardrails

Sicherheitsmechanismen, die das Verhalten von KI-Systemen und AI Agents begrenzen — von Inhaltsfiltern über Berechtigungsgrenzen bis zur Ausgabekontrolle.

Künstliche Intelligenz

Halluzination

Sachlich falsche, aber überzeugend formulierte Ausgaben von KI-Sprachmodellen — ein zentrales Risiko beim Unternehmenseinsatz von LLMs.

HSMCybersecurity

Hardware Security Module

Dediziertes, manipulationsgeschütztes Hardware-Gerät, das kryptografische Schlüssel erzeugt, sicher speichert und Kryptooperationen ausführt, ohne dass das Schlüsselmaterial die Gerätegrenzen verlässt.

Cybersecurity

Honeypot

Gezielt platziertes Scheinsystem oder Scheinressource, das Angreifer anlockt, ihre Aktivitäten aufzeichnet und so Sicherheitsteams frühzeitig vor Eindringlingen warnt.

Cybersecurity

Hot-Patching

Technologie zur Installation von Sicherheitsupdates im laufenden Betrieb, ohne dass ein Neustart des Betriebssystems erforderlich ist — verfügbar für Windows Server 2025 über Azure Arc.

Cybersecurity

HTTP-Cookies

Kleine Textdateien, die Webserver im Browser ablegen, um Sitzungsinformationen zu speichern — mit erheblichen Auswirkungen auf Sicherheit und Datenschutz, wenn Sicherheitsflags fehlen.

HITLKünstliche Intelligenz

Human-in-the-Loop

Kontrollmechanismus, bei dem menschliche Freigabe in KI-Workflows eingebaut wird — unverzichtbar für autonome Agenten und geschäftskritische Prozesse.

IAMCybersecurity

Identity and Access Management

Rahmenwerk für die zentrale Verwaltung digitaler Identitäten und deren Zugriffsrechte auf IT-Ressourcen.

IRCybersecurity

Incident Response

Strukturierter Prozess zur Erkennung, Eindämmung, Beseitigung und Nachbereitung von Sicherheitsvorfällen in der IT-Infrastruktur.

IDS/IPSCybersecurity

Intrusion Detection & Prevention Systems

Sicherheitstechnologien zur Erkennung (IDS) und aktiven Blockierung (IPS) verdächtiger Aktivitäten im Netzwerk oder auf Endgeräten.

Compliance & Standards

ISO 27001

Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS) mit Anforderungen an Aufbau, Betrieb und kontinuierliche Verbesserung.

Cybersecurity

IT-Notfallplan

Dokumentierte Handlungsanweisungen, mit denen ein Unternehmen den IT-Betrieb nach einem Ausfall oder Sicherheitsvorfall geordnet aufrechterhält und wiederherstellt.

JIT AccessCybersecurity

Just-in-Time Access

Sicherheitsprinzip, bei dem privilegierte Zugriffsrechte nur bei Bedarf und zeitlich begrenzt vergeben werden — statt dauerhafter Admin-Berechtigungen.

Cybersecurity

Kerberoasting

Angriffstechnik gegen Active Directory, bei der Kerberos-Service-Tickets angefordert und offline geknackt werden, um Passwörter von Service Accounts zu erlangen.

Cybersecurity

Kerberos

Standard-Authentifizierungsprotokoll in Active Directory, das Identitäten über ein Ticket-basiertes System verifiziert, ohne Passwörter über das Netzwerk zu übertragen.

Cybersecurity

Keylogger

Software oder Hardware, die Tastatureingaben eines Nutzers heimlich aufzeichnet und an den Angreifer übermittelt — häufig zum Abgreifen von Passwörtern und sensiblen Daten.

Cybersecurity

Kryptographische Hashfunktion

Mathematisches Einwegverfahren, das beliebige Eingabedaten in einen Hashwert fester Länge umwandelt — Grundlage für Passwortspeicherung, digitale Signaturen und Integritätsprüfung.

LLMKünstliche Intelligenz

Large Language Model

Großes Sprachmodell, das auf massiven Textdaten trainiert wurde und natürliche Sprache verstehen und generieren kann — die Basis für ChatGPT, Claude und Co.

Cybersecurity

Lateral Movement

Technik, bei der sich Angreifer nach dem initialen Zugriff innerhalb eines Netzwerks von System zu System bewegen.

LDAPCybersecurity

LDAP

Standardprotokoll für den Zugriff auf Verzeichnisdienste wie Active Directory, das Identitäten, Gruppen und Ressourcen in einer hierarchischen Struktur organisiert und abfragt.

Cybersecurity

Least Privilege (Prinzip der minimalen Rechtevergabe)

Sicherheitsprinzip, bei dem Benutzer, Anwendungen und Systeme nur die minimal notwendigen Berechtigungen erhalten, die sie für ihre jeweilige Aufgabe benötigen.

Cybersecurity

Lieferkettenangriffe (Supply Chain Attacks)

Angriffe, die über kompromittierte Zulieferer, Software-Komponenten oder Dienstleister in das Zielnetzwerk eindringen.

LUKSCybersecurity

Linux Unified Key Setup

Standardverfahren für Festplattenverschlüsselung unter Linux, das mit AES und einem Header mit mehreren Key-Slots Pre-Boot-Authentifizierung, TPM-Bindung und unterschiedliche Passphrasen pro Nutzer ermöglicht.

Cybersecurity

Load Balancer

Komponente, die eingehenden Netzwerk- oder Anwendungsverkehr nach definierten Algorithmen auf mehrere Backend-Server verteilt — Grundlage für Hochverfügbarkeit, Skalierung und Ausfallsicherheit von Web- und API-Diensten.

LAPSCybersecurity

Local Administrator Password Solution

Microsoft-Lösung zur automatischen Verwaltung und Rotation lokaler Administratorpasswörter auf allen Domänencomputern.

LTSCCybersecurity

Long-Term Servicing Channel

Veröffentlichungs-Kanal von Windows-Editionen ohne Funktionsupdates über mehrere Jahre — gedacht für Geräte mit fester Aufgabe, bei denen Stabilität wichtiger ist als neue Features.

Cybersecurity

LSASS-Schutz

Schutzmechanismen für den LSASS-Prozess unter Windows, insbesondere RunAsPPL (Protected Process Light), die das Auslesen von Zugangsdaten aus dem Arbeitsspeicher verhindern.

Cybersecurity

Malware

Oberbegriff für Schadsoftware, die Systeme infiltriert, Daten stiehlt oder IT-Infrastruktur sabotiert.

MDMCybersecurity

MDM (Mobile Device Management)

Zentralisierte Verwaltungsplattform für Smartphones, Tablets und Laptops, die Sicherheitsrichtlinien, App-Verteilung, Geräteverschlüsselung und Remote-Wipe über eine einzige Konsole durchsetzt.

Cybersecurity

Measured Boot

Windows-Sicherheitsmechanismus, der jeden Schritt des Startvorgangs kryptografisch misst und in den PCR-Registern des TPM ablegt — als manipulationssichere Grundlage für lokale und entfernte Integritätsprüfungen.

Künstliche Intelligenz

Microsoft Copilot

Microsofts KI-Assistent — vorhanden als Copilot in Windows, Microsoft 365 Copilot in Office-Anwendungen und Copilot Web — auf Basis von OpenAI- und Microsoft-LLMs.

Cybersecurity

Microsoft Entra ID

Microsofts cloudbasierter Identitäts- und Zugriffsverwaltungsdienst (ehemals Azure Active Directory), der Authentifizierung und Autorisierung für Cloud-Anwendungen, SaaS-Dienste und hybride Umgebungen bereitstellt.

Cybersecurity

Mikrosegmentierung

Netzwerksicherheitstechnik, die Workloads granular isoliert, um laterale Bewegung von Angreifern innerhalb des Netzwerks zu verhindern.

Cybersecurity

MITRE ATT&CK

Öffentlich zugängliche Wissensdatenbank realer Angriffstechniken, die als standardisierte Sprache für Bedrohungsanalyse, Detection Engineering und Sicherheitsbewertungen dient.

MCPKünstliche Intelligenz

Model Context Protocol

Offener Standard von Anthropic, der KI-Agenten über eine einheitliche Schnittstelle mit Datenquellen, Werkzeugen und externen Systemen verbindet.

MTA-STSCybersecurity

MTA-STS (Mail Transfer Agent Strict Transport Security)

HTTPS-basiertes Verfahren zur Erzwingung von TLS-Verschlüsselung zwischen Mailservern — verhindert Downgrade-Angriffe auf den E-Mail-Transport ohne DNSSEC-Abhängigkeit.

MFACybersecurity

Multi-Faktor-Authentifizierung

Authentifizierungsverfahren, das mindestens zwei unabhängige Faktoren kombiniert, um die Identität eines Nutzers zu verifizieren.

NACCybersecurity

Network Access Control

Sicherheitsarchitektur, die Geräte vor der Netzwerkzulassung authentifiziert und auf Richtlinienkonformität prüft, um nicht vertrauenswürdige Endpunkte automatisch in Quarantäne zu isolieren.

NPUCybersecurity

Neural Processing Unit

Spezialisierter Coprozessor zur effizienten Ausführung neuronaler Netzwerk-Inferenz direkt auf dem Endgerät — Grundlage für lokale KI-Funktionen unter Windows 11.

Compliance & Standards

NIS2-Richtlinie

EU-Richtlinie 2022/2555 zur Stärkung der Cybersicherheit kritischer und wichtiger Einrichtungen in 18 Sektoren.

NTLMCybersecurity

NTLM

Veraltetes Windows-Authentifizierungsprotokoll, das aufgrund seiner Anfälligkeit für Pass-the-Hash- und Relay-Angriffe schrittweise durch Kerberos ersetzt wird.

Cybersecurity

OAuth 2.0 / OpenID Connect

Offene Standards für delegierte Autorisierung (OAuth 2.0) und föderierte Authentifizierung (OpenID Connect) per Token-Austausch zwischen Anwendungen, Identity Provider und APIs.

OTPCybersecurity

One-Time Password

Einmalig gültiger Code als zweiter Authentifizierungsfaktor, der nach einmaliger Verwendung oder nach kurzer Zeit verfällt — meist als TOTP per Authenticator-App oder als SMS-Code umgesetzt.

OSICybersecurity

OSI-Modell

Sieben-Schichten-Referenzmodell (ISO/IEC 7498) für die Kommunikation in offenen Systemen — bildet die konzeptionelle Grundlage für Netzwerkprotokolle, Firewalls und die schichtweise Absicherung von IT-Infrastrukturen.

OWASPCybersecurity

OWASP (Open Worldwide Application Security Project)

Gemeinnützige Organisation, die frei verfügbare Standards, Tools und Wissensressourcen für die Sicherheit von Webanwendungen und Software bereitstellt.

Cybersecurity

Pass-the-Hash

Angriffstechnik, bei der NTLM-Passwort-Hashes direkt zur Authentifizierung missbraucht werden, ohne das Klartextpasswort zu kennen.

Cybersecurity

Patch-Management

Systematischer Prozess zur Identifikation, Bewertung, Verteilung und Verifizierung von Sicherheitsupdates und Fehlerbehebungen für Software, Betriebssysteme und Firmware.

Cybersecurity

Payload

Der schädliche Code, der nach Ausnutzung einer Sicherheitslücke auf dem Zielsystem ausgeführt wird — die eigentliche Schadfunktion eines Angriffs.

Cybersecurity

Penetrationstest

Kontrollierter, simulierter Angriff auf IT-Systeme, um Sicherheitslücken zu identifizieren, bevor echte Angreifer sie ausnutzen.

Cybersecurity

Phishing

Social-Engineering-Angriff, bei dem Opfer durch gefälschte Nachrichten zur Preisgabe von Zugangsdaten oder zur Ausführung schädlicher Aktionen verleitet werden.

PBACybersecurity

Pre-Boot-Authentifizierung

Authentifizierungsschritt vor dem Start des Betriebssystems, bei dem ein zweiter Faktor — meist PIN, Passwort oder Startschlüssel — benötigt wird, damit das TPM den Schlüssel zur Festplattenverschlüsselung freigibt.

PAMCybersecurity

Privileged Access Management

Sicherheitskonzept zur Verwaltung, Überwachung und Absicherung privilegierter Zugänge und Konten in IT-Infrastrukturen.

PAWCybersecurity

Privileged Access Workstation

Gehärteter Arbeitsplatz, der ausschließlich für die Verwaltung kritischer IT-Systeme genutzt wird und physisch von der normalen Arbeitsumgebung getrennt ist.

Künstliche Intelligenz

Prompt Engineering

Die systematische Gestaltung von Eingabeanweisungen (Prompts) an KI-Sprachmodelle, um präzise, zuverlässige und aufgabengerechte Ergebnisse zu erzielen.

Künstliche Intelligenz

Prompt Injection

Angriffstechnik gegen KI-Sprachmodelle, bei der manipulierte Eingaben das Modell dazu bringen, Sicherheitsvorgaben zu umgehen oder unbeabsichtigte Aktionen auszuführen.

Cybersecurity

Protected Users

Integrierte Active-Directory-Sicherheitsgruppe, die für ihre Mitglieder NTLM deaktiviert, Kerberos-AES erzwingt und die TGT-Lebensdauer auf vier Stunden begrenzt.

PKICybersecurity

Public Key Infrastructure

System aus Zertifizierungsstellen, Richtlinien und Verfahren, das digitale Zertifikate ausstellt und verwaltet — die Vertrauensbasis für Verschlüsselung, Signaturen und zertifikatsbasierte Authentifizierung.

Cybersecurity

Ransomware

Schadsoftware, die Daten verschlüsselt und Lösegeld für deren Freigabe erpresst.

RC4Cybersecurity

RC4

Veraltete Stromchiffre, die in Kerberos, TLS und WLAN eingesetzt wurde und aufgrund kryptografischer Schwächen seit 2015 (TLS) und 2026 (Kerberos) schrittweise abgeschaltet wird.

RTOCybersecurity

Recovery Time Objective

Maximal tolerierbare Ausfallzeit eines Systems oder Geschäftsprozesses nach einem Sicherheitsvorfall, bevor der Schaden geschäftskritisch wird.

RDPCybersecurity

Remote Desktop Protocol

Von Microsoft entwickeltes Netzwerkprotokoll für den grafischen Fernzugriff auf Windows-Systeme — und einer der meistgenutzten Angriffsvektoren in Unternehmensnetzwerken.

RAGKünstliche Intelligenz

Retrieval Augmented Generation

KI-Architektur, die große Sprachmodelle mit externen Wissensquellen verbindet, um präzise Antworten auf Basis aktueller Unternehmensdaten zu liefern.

Cybersecurity

Reverse Proxy

Server, der vor Backend-Servern steht und Client-Anfragen an diese weiterleitet — als zentraler Punkt für TLS-Terminierung, Lastverteilung, Caching und Sicherheitsfilterung.

RBACCybersecurity

Role-Based Access Control

Modell der Zugriffssteuerung, bei dem Berechtigungen nicht einzelnen Nutzern, sondern Rollen zugewiesen werden — Nutzer erhalten Rechte ausschließlich über ihre Rollenmitgliedschaft.

Cybersecurity

Rootkit

Schadsoftware, die sich tief im System verankert, um Angreifern dauerhaften, verborgenen Zugriff zu ermöglichen.

Cybersecurity

Sandbox

Isolierte Ausführungsumgebung, die den Zugriff eines Prozesses auf Systemressourcen begrenzt — eine Kerntechnik zur sicheren Ausführung nicht vertrauenswürdigen Codes.

Compliance & Standards

Schrems II

EuGH-Urteil vom 16. Juli 2020 (C-311/18), das das EU-U.S. Privacy Shield kippte und Standardvertragsklauseln um eine Einzelfallprüfung des Drittlandes ergänzte.

SASECybersecurity

Secure Access Service Edge

Cloud-basiertes Architekturmodell, das Netzwerk- und Sicherheitsfunktionen in einem einheitlichen Service konvergiert.

Cybersecurity

Secure Boot

UEFI-Sicherheitsfunktion, die jede Bootkomponente kryptografisch auf eine in der Firmware hinterlegte Signaturdatenbank prüft und unsignierten oder gesperrten Code blockiert, bevor das Betriebssystem startet.

SSHCybersecurity

Secure Shell

Verschlüsseltes Protokoll für Fernzugriff und Dateitransfer auf Server — und seit Jahrzehnten der De-facto-Standard für die Administration von Linux-, Unix- und Netzwerksystemen.

SWGCybersecurity

Secure Web Gateway

Proxy-basierte Sicherheitskomponente, die ausgehenden Web- und HTTP(S)-Verkehr zwischen Nutzern und Internet inspiziert, filtert und gegen Richtlinien durchsetzt.

Cybersecurity

Secured-Core PC

Microsoft-Zertifizierungsprogramm für Geräte, die ab Werk hardwaregestützte Sicherheitsfunktionen wie TPM 2.0, VBS, HVCI, System Guard und DMA-Schutz aktiviert haben — ergänzt durch den in die CPU integrierten Pluton-Sicherheitsprozessor.

SAMLCybersecurity

Security Assertion Markup Language

XML-basierter Föderationsstandard für Single Sign-On, der Identitätsinformationen zwischen Identity Provider und Service Provider in signierten Assertions austauscht.

SIEMCybersecurity

Security Information and Event Management

Zentrale Plattform zur Sammlung, Korrelation und Analyse sicherheitsrelevanter Ereignisse aus der gesamten IT-Infrastruktur.

SOCCybersecurity

Security Operations Center

Zentrale Leitstelle, die IT-Systeme rund um die Uhr überwacht, Sicherheitsvorfälle erkennt und darauf reagiert.

SOARCybersecurity

Security Orchestration, Automation and Response

Plattform zur automatisierten Orchestrierung und Reaktion auf Sicherheitsvorfälle durch vordefinierte Playbooks.

SSECybersecurity

Security Service Edge

Cloud-basierte Bündelung der Sicherheitsdienste von SASE — Secure Web Gateway, CASB, ZTNA und zunehmend FWaaS und DLP — ohne den Netzwerkteil (SD-WAN).

Künstliche Intelligenz

Shadow AI

Unkontrollierte Nutzung von KI-Tools durch Mitarbeiter ohne Wissen oder Genehmigung der IT-Abteilung — ein wachsendes Datenschutz- und Sicherheitsrisiko.

Cybersecurity

Silver Ticket (Kerberos-Angriff)

Angriffstechnik, bei der ein gefälschtes Kerberos-Service-Ticket (TGS) mithilfe des NTLM-Hashes eines Service Accounts erstellt wird, um ohne KDC-Kommunikation direkt auf einen bestimmten Dienst zuzugreifen.

SSOCybersecurity

Single Sign-On

Authentifizierungsverfahren, das nach einer einmaligen Anmeldung am zentralen Identity Provider den Zugriff auf mehrere Anwendungen ohne erneute Passworteingabe ermöglicht.

SACCybersecurity

Smart App Control

Windows-11-Sicherheitsfunktion, die mithilfe von Microsofts Intelligent Security Graph (Cloud-KI) vorhersagt, ob eine Anwendung vertrauenswürdig ist, und unsichere oder unbekannte Programme automatisch blockiert — ohne manuelle Regelerstellung.

Cybersecurity

SMB over QUIC

Transportmechanismus, der das SMB-Protokoll über QUIC (UDP 443, TLS 1.3) tunnelt — ermöglicht sicheren Dateizugriff auf Unternehmensfreigaben ohne VPN.

Cybersecurity

Social Engineering

Manipulationstechniken, bei denen Angreifer menschliche Verhaltensweisen wie Vertrauen, Hilfsbereitschaft oder Zeitdruck ausnutzen, um an vertrauliche Informationen zu gelangen oder schädliche Aktionen auszulösen.

SBOMCybersecurity

Software Bill of Materials

Maschinenlesbare Inventarliste aller Software-Komponenten, Bibliotheken und Abhängigkeiten eines Produkts — vergleichbar mit einer Zutatenliste für Software.

SD-WANCybersecurity

Software-Defined Wide Area Network

Software-definiertes Overlay über mehrere WAN-Verbindungen (MPLS, Breitband, LTE/5G), das Routing-Entscheidungen anwendungsbasiert und zentral gesteuert von der Hardware entkoppelt — die Netzwerk-Hälfte einer SASE-Architektur.

SPFCybersecurity

SPF (Sender Policy Framework)

DNS-basierter Mechanismus, der festlegt, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden.

Cybersecurity

Spoofing

Angriffstechnik, bei der ein Angreifer eine falsche Identität vortäuscht — etwa durch gefälschte Absenderadressen, IP-Adressen oder DNS-Einträge.

Cybersecurity

Spyware

Schadsoftware, die heimlich Informationen wie Tastatureingaben, Zugangsdaten und Nutzerverhalten ausspioniert.

SQLiCybersecurity

SQL-Injection

Angriffstechnik, bei der manipulierte SQL-Befehle über Benutzereingaben in eine Datenbank eingeschleust werden, um Daten auszulesen, zu verändern oder zu löschen.

SSVCCybersecurity

SSVC (Stakeholder-Specific Vulnerability Categorization)

Entscheidungsframework zur kontextbasierten Priorisierung von Schwachstellen, das im Gegensatz zu rein numerischen Scores wie CVSS den organisationsspezifischen Kontext einbezieht.

SCCCompliance & Standards

Standardvertragsklauseln

Von der EU-Kommission genehmigte Mustervertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO zur Absicherung von Datentransfers in Drittstaaten ohne Angemessenheitsbeschluss.

Cybersecurity

Subnetting

Aufteilung eines IP-Netzwerks in kleinere, logisch getrennte Teilnetze (Subnetze) zur besseren Organisation, Performance und Sicherheit.

Künstliche Intelligenz

System Prompt

Vorab definierte Anweisung an ein KI-Sprachmodell, die Rolle, Verhalten, Einschränkungen und Ausgabeformat festlegt — noch bevor der Nutzer seine erste Eingabe macht.

Cybersecurity

Threat Intelligence

Systematische Sammlung, Aufbereitung und Analyse von Bedrohungsinformationen zur proaktiven Abwehr von Cyberangriffen.

Compliance & Standards

TISAX

Trusted Information Security Assessment Exchange — branchenspezifischer Sicherheitsstandard der deutschen Automobilindustrie, basierend auf ISO 27001.

TLSCybersecurity

TLS (Transport Layer Security)

Kryptografisches Protokoll zur verschlüsselten Datenübertragung im Internet — Nachfolger von SSL und Grundlage jeder HTTPS-Verbindung.

Künstliche Intelligenz

Token (KI)

Grundlegende Verarbeitungseinheit von Large Language Models — Textfragmente unterhalb der Wortebene, die Pricing, Kontextlimits und Antwortqualität bestimmen.

Cybersecurity

Trojaner

Schadsoftware, die sich als nützliches Programm tarnt, um unbemerkt schädliche Funktionen auszuführen.

TPMCybersecurity

Trusted Platform Module

Dedizierter Sicherheitschip (oder Firmware-Modul) auf dem Mainboard, der kryptografische Schlüssel hardwaregebunden erzeugt, speichert und die Integrität der Plattform beim Systemstart überprüft.

DBXCybersecurity

UEFI Forbidden Signature Database

Sperrliste in der UEFI-Firmware, die kompromittierte oder widerrufene Bootloader-Signaturen und Hashes enthält und damit das Gegenstück zur erlaubten Signaturdatenbank (db) bildet.

UEFICybersecurity

Unified Extensible Firmware Interface

Moderne Firmware-Schnittstelle zwischen Hardware und Betriebssystem, die das klassische BIOS ersetzt und mit Secure Boot, kryptografischer Signaturprüfung und CA-Zertifikaten die Integrität der Bootkette absichert.

Künstliche Intelligenz

Vector Database

Spezialisierte Datenbank zur Speicherung und effizienten Suche von Embedding-Vektoren — die zentrale Komponente in RAG-Systemen.

VVTCompliance & Standards

Verzeichnis der Verarbeitungstätigkeiten

Strukturierte Dokumentation aller Verarbeitungen personenbezogener Daten nach Art. 30 DSGVO — Rückgrat der Rechenschaftspflicht.

VLANCybersecurity

Virtual Local Area Network

Logische Segmentierung eines physischen Netzwerks auf Schicht 2 des OSI-Modells. VLANs trennen Broadcast-Domänen und Geräte voneinander, ohne dass dafür separate Switches oder Verkabelung nötig sind.

VPNCybersecurity

Virtual Private Network

Verschlüsselter Netzwerktunnel, der Standorte oder Endgeräte über öffentliche Netze sicher verbindet — zentrale Technologie für Remote-Zugriff und Standortvernetzung.

VBSCybersecurity

Virtualization-Based Security

Windows-Sicherheitsarchitektur, die den Hypervisor nutzt, um einen isolierten Speicherbereich (Virtual Trust Level 1) zu schaffen, der sicherheitskritische Prozesse selbst vor Kernel-Angriffen schützt.

WAFCybersecurity

Web Application Firewall

Sicherheitslösung, die HTTP-Verkehr zu Webanwendungen analysiert und Angriffe wie SQL-Injection, XSS und Bot-Zugriffe filtert.

WHOISCybersecurity

WHOIS / RDAP

Abfrageprotokolle zur Ermittlung von Registrierungsdaten einer Domain — Inhaber, Registrar, Registrierungsdatum, Ablaufdatum und Nameserver.

WDACCybersecurity

Windows Defender Application Control

Kernel-basierte Application-Control-Technologie in Windows, die über Code-Integrity-Richtlinien festlegt, welche Anwendungen, Treiber und Skripte auf einem System ausgeführt werden dürfen — auch durch lokale Administratoren nicht umgehbar.

Credential GuardCybersecurity

Windows Defender Credential Guard

Windows-Sicherheitsfunktion, die NTLM-Hashes und Kerberos-Tickets mittels Virtualization-Based Security (VBS) in einem isolierten Prozess schützt und damit Credential-Dumping aus LSASS verhindert.

Cybersecurity

Windows Hello for Business

Microsofts unternehmenstaugliche, passwortlose Authentifizierung, die ein asymmetrisches Schlüsselpaar im TPM des Geräts erzeugt und damit Anmeldungen ohne geteiltes Geheimnis ermöglicht.

Cybersecurity

Windows Recall

Windows-Funktion auf Copilot+ PCs, die kontinuierlich verschlüsselte Snapshots des Bildschirms erstellt und sie per natürlicher Sprache durchsuchbar macht.

WinRECybersecurity

Windows Recovery Environment

Minimal-Windows-Umgebung auf einer eigenen Partition, die für Systemreparatur, Wiederherstellung und Diagnose bei nicht startfähigen Geräten genutzt wird — und gleichzeitig eine sensible Angriffsfläche darstellt, wenn sie nicht abgesichert ist.

Compliance & Standards

Windows Telemetrie

Diagnostische und Nutzungsdaten, die Windows automatisch an Microsoft übermittelt — Geräte-Identifikation, App-Aktivität, Fehlerberichte und Sicherheits-Signale.

XSSCybersecurity

XSS (Cross-Site Scripting)

Angriffstechnik, bei der Schadcode in Webseiten eingeschleust wird, der im Browser anderer Nutzer ausgeführt wird — etwa um Sessions zu stehlen oder Eingaben mitzulesen.

Cybersecurity

Zero Trust

Sicherheitsstrategie nach dem Prinzip 'Never trust, always verify' — jeder Zugriff wird unabhängig vom Standort authentifiziert und autorisiert.

ZTNACybersecurity

Zero Trust Network Access

Identitätsbasiertes Zugriffsmodell, das Anwendungen einzeln absichert und den klassischen VPN-basierten Netzwerkzugang durch granulare, kontextabhängige Zugriffskontrolle ersetzt.

Cybersecurity

Zero-Day-Schwachstelle

Sicherheitslücke, die dem Hersteller unbekannt ist und für die kein Patch existiert.

Begriffeverständlich erklärt

Active Directory

Active Directory Certificate Services

Active Directory Federation Services

Active Directory Tiering-Modell

AdminSDHolder

Advanced Encryption Standard

AI Agent

AI Gateway

Anycast

API Security

AppLocker

AS-REP Roasting

Auftragsverarbeitungsvertrag

Autonomes System (ASN)

Backdoor

BIMI (Brand Indicators for Message Identification)

BitLocker

Bootkit

Botnet

Bring Your Own Vulnerable Driver

Brute-Force

BSI IT-Grundschutz

Bug Bounty

Business Continuity Plan

CIS Benchmarks

Cloud Access Security Broker

Cloud Security Posture Management

Conditional Access

Content Delivery Network

Context Window

Copilot+ PC

Cross-Site Request Forgery

CVSS (Common Vulnerability Scoring System)

DANE (DNS-based Authentication of Named Entities)

Data Loss Prevention

Datenschutz-Folgenabschätzung

Datenschutz-Grundverordnung

DCSync

DDoS

Defense in Depth

Delegated Managed Service Account

Disaster Recovery Plan

DKIM (DomainKeys Identified Mail)

DMARC

DNS (Domain Name System)

DNS Cache Poisoning

DNS Certification Authority Authorization

DNSBL (DNS-based Blackhole List)

DNSSEC (DNS Security Extensions)

DoH (DNS over HTTPS)

DoT (DNS over TLS)

E-Mail-Authentifizierung

E-Mail-Header

Embedding

Endpoint Detection and Response

Enhanced Security Admin Environment

Enterprise Access Model

EU AI Act

EU Data Boundary

Exploit

FIDO2 / Passkeys

Fine-Tuning

Firewall

Firewall as a Service

GoBD

Golden Ticket (Kerberos)

Group Managed Service Account

Gruppenrichtlinie

Guardrails

Halluzination

Hardware Security Module

Honeypot

Hot-Patching

HTTP-Cookies

Human-in-the-Loop

Identity and Access Management

Incident Response

Intrusion Detection & Prevention Systems

ISO 27001

Begriffe
verständlich erklärt