Ein Administrator verwaltet und betreut Rechner sowie Computernetze. Er installiert Betriebssysteme und Anwendungsprogramme, richtet neue Benutzerkennungen ein und verteilt die für die Arbeit notwendigen Rechte. Dabei hat er im Allgemeinen weitreichende oder sogar uneingeschränkte Zugriffsrechte auf die betreuten Rechner oder Netze.

Bei Advanced Persistent Threats (APT) handelt es sich um zielgerichtete Cyber-Angriffe auf ausgewählte Institutionen und Einrichtungen, bei denen sich ein Angreifer dauerhaften Zugriff zu einem Netz verschafft und diesen in der Folge auf weitere Systeme ausweitet. Die Angriffe zeichnen sich durch einen sehr hohen Ressourceneinsatz und erhebliche technische Fähigkeiten aufseiten der Angreifer aus und sind in der Regel schwierig zu detektieren.

Als Adware werden Programme bezeichnet, die sich über Werbung finanzieren. Auch Schadprogramme, die Werbung für den Autor des Schadprogramms generieren, gehören zu dieser Kategorie.

Von NIST in FIPS 197 standardisierte Blockchiffre mit einer Blockgröße von 128 Bit. Entsprechend der Länge der verwendeten Schlüssel werden AES-128, AES-192 sowie AES-256 unterschieden. Abgesehen von related-Key-Angriffen gegen AES-192 und AES-256 sind keine Angriffe gegen AES bekannt, die einen wesentlichen Vorteil gegenüber generischen Angriffen auf Blockchiffren erzeugen.

Als Aktiva oder Aktivposten werden Bestände von Objekten bezeichnet, die für einen bestimmten Zweck, besonders zur Erreichung von Geschäftszielen benötigt werden.

Die Grundeinstellung eines Browsers im Auslieferungszustand erlaubt meist die Ausführung von unbekannten Programmen, die in die Informationsangebote der Server-Betreiber eingebunden sind. Derartige Programme werden als aktive Inhalte bezeichnet und werden meist mit den Programmiersprachen Java, JavaScript oder ActiveX erstellt. Der Betreiber der Internetseite könnte die Inhalte damit so programmieren, dass Daten auf Ihrem Rechner gelesen oder sogar beschädigt werden.

Nach COBIT, die wesentliche Maßnahme zur Durchführung eines Prozesses. Sie ist die Vorgabe
zur Erreichung von Managementpraktiken für eine erfolgreiche Governance und ein erfolgreiches
Management der Unternehmens-IT. Aktivitäten:
– Sie beschreiben einen Satz erforderlicher und ausreichender, auf Maßnahmen orientierter
Implementierungsschritte zur Erreichung einer Governance- oder Managementpraktik.
• Sie berücksichtigen die Inputs und Outputs des Prozesses.
• Sie basieren auf allgemein anerkannten Standards und bewährten Verfahren.
• Sie unterstützen die Festlegung klarer Rollen und Zuständigkeiten.
• Sie werden nicht auferlegt, sondern müssen angepasst und in für das Unternehmen geeignete,
spezifische Verfahren umgewandelt werden.

Ziel der Alarmierung ist es, verantwortliche Entscheider und Akteure möglichst schnell nach Eintritt eines Schadensereignisses zu informieren und damit die Bewältigung des Notfalls oder der Krise einzuleiten.

Die ANSI ist ein privatwirtschaftliches Standardisierungsorgan der Vereinigten Staaten von Amerika und der Vertreter der USA in der ISO.

Siehe Sicherheitsanforderung.

Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Ein Angriff ist eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberechtigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einen Dritten zu schädigen. Angreifer können auch im Auftrag von Dritten handeln, die sich Vorteile verschaffen wollen.

Als Angriffsvektor wird die Kombination von Angriffsweg und -technik bezeichnet, mit der sich ein Angreifer Zugang zu IT- Systemen verschafft.

Anlagen im Sinne der BSI-KritisV sind
a) Betriebsstätten und sonstige ortsfeste Einrichtungen, die für die Erbringung einer kritischen Dienstleistung notwendig sind.
b) Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen, die für die Erbringung einer kritischen Dienstleistung notwendig sind.

Einer Anlage sind alle vorgesehenen Anlagenteile und Verfahrensschritte zuzurechnen, die zum Betrieb notwendig sind, sowie Nebeneinrichtungen, die mit den Anlagenteilen und Verfahrensschritten in einem betriebstechnischen Zusammenhang stehen und die für die Erbringung einer kritischen Dienstleistung notwendig sind.
Die Anlagen werden in der BSI-KritisV über die Anlagekategorien präzisiert. Siehe auch https://www.gesetze-im-internet.de/bsi-kritisv/

Anonymisierungsdienste versuchen, bestimmte Informationen, die auf die Identität eines Internet-Nutzers hindeuten könnten, zu verschleiern.

Jeder, der Verantwortung für das Unternehmen hat, Erwartungen an das Unternehmen stellt, oder ein sonstiges Interesse am Unternehmen hat, z. B. Anteilseigner, Anwender, Regierung, Lieferanten, Kunden und die Öffentlichkeit

Beschreibung der logischen Gruppierung von Befähigungen, durch die die Objekte gemanagt werden, die für die Verarbeitung von Informationen und die Unterstützung der Unternehmensziel- vorgaben erforderlich sind.

Ein Anwendungssystem ist eine Software für ein konkretes betriebliches Anwendungsgebiet

Ein Application Programming Interface ist eine dokumentierte Software-Schnittstelle, mit deren Hilfe ein Software-System bestimmte Funktionen eines anderen Software-Systems nutzen kann.

Die Funktionen eines Sicherheitsgateways auf Anwendungsebene werden von den so genannten Application-Level-Gateways (ALG) übernommen. Implizit nehmen ALGs auch Funktionen auf den ISO-/OSI-Schichten 1 bis 3 wahr. ALGs, auch Sicherheitsproxies genannt, unterbrechen den direkten Datenstrom zwischen Quelle und Ziel. Bei einer Kommunikationsbeziehung zwischen Client und Server über einen Proxy hinweg nimmt der Proxy die Anfragen des Clients entgegen und leitet sie an den Server weiter. Bei einem Verbindungsaufbau in umgekehrter Richtung, also vom Server zum Client, verfährt der Proxy analog. Sämtliche Kommunikationsbeziehungen zwischen den beiden Rechnern verlaufen in diesem Fall also mittelbar über den Proxy. Diese Kommunikationsform ermöglicht es einem Proxy beispielsweise bestimmte Protokollbefehle zu filtern.

"Eine Applikation, kurz App, ist eine Anwendungssoftware. Der Begriff App wird oft im Zusammenhang mit Anwendungen für Smartphones oder Tablets verwendet.
Ein Computerprogramm, das für einen bestimmten Zweck oder eine bestimmte Aufgabe entwickelt wurde."

Eine Gruppe aus Anspruchsgruppen und Experten, die für die Orientierung bei Angelegenheiten und Entscheidungen im Zusammenhang mit der Unternehmensarchitektur sowie für die Festlegung architektonischer Richtlinien und Standards verantwortlich sind.

Der englische Begriff "asset" wird häufig mit "Wert" übersetzt. Wert ist allerdings im Deutschen ein mit vielen Bedeutungen belegter Begriff, von gesellschaftlicher Bedeutung, die einer Sache zukommt bis hin zur inneren Qualität eines Objekts. Daher wird im IT-Grundschutz "assets" im Allgemeinen mit Aktiva oder Aktivposten übersetzt.

Als Assets werden Bestände von Objekten bezeichnet, die für einen bestimmten Zweck, besonders zur Erreichung von Geschäftszielen, benötigt werden. Der englische Begriff "asset" wird häufig mit "Wert" übersetzt. "Wert" ist allerdings im Deutschen ein mit vielen Bedeutungen belegter Begriff – von der gesellschaftlichen Bedeutung, die einer Sache zukommt, bis hin zur inneren Qualität eines Objekts. Im IT-Grundschutz wird der Begriff "Assets" in der Bedeutung von "werthaltigen bzw. wertvollen Zielobjekten" verwendet.

Hierbei existiert ein komplementäres Schlüsselpaar (privater Schlüssel und öffentlicher Schlüssel), das zur Realisierung digitaler Signaturen, zur Vereinbarung geheimer Schlüssel oder zur asymmetrischen Verschlüsselung verwendet werden kann. Das Konzept asymmetrischer Kryptoalgorithmen geht zurück auf Whitfield Diffie und Martin Hellman [DiHe76]. Der heute gebräuchlichste asymmetrische Kryptoalgorithmus ist der RSA-Algorithmus.

Auch Public-Key-Verschlüsselung genannt. Verschlüsselung, bei der Informationen mit dem öffentlichen Schlüssel in ein nicht lesbares sogenanntes Chiffrat überführt werden und nur mit dem geheimen (privaten) Schlüssel wieder in ihre ursprüngliche Form zurückgeführt werden können. Vgl. auch symmetrische Verschlüsselung.

Von einem Trusted Platform Modul erzeugtes Schlüsselpaar, das zur Beglaubigung der Vertrauenswürdigkeit gegenüber Dritten genutzt und dessen öffentlicher Teil an diese weitergegeben wird, jedoch keine Rückschlüsse auf den Endorsement Key zulässt, aus dem es erzeugt wurde.

Attribution bezeichnet den Analyse-Vorgang, den Urheber eines Angriffs zu benennen. In der Regel werden Attributions-Aussagen durch Einschätzungen der Belastbarkeit ergänzt.

Auftragsdatenverarbeitung (kurz: ADV), im Sinne des BDSG, ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der  verantwortlichen Stelle. § 11 BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind.

Zustand, in dem die Enabler für die Governance und das Management der Unternehmens-IT die Ziele und Strategien des Unternehmens unterstützen.

Die Überprüfung der Identität eines Benutzers und der Berechtigung des Benutzers, auf computer- gestützte Informationen zuzugreifen.

Hinweis zur Bedeutung: Externe Prüfung/Bestätigung: Die Authentifizierung ist darauf ausgelegt, Schutz vor betrügerischen Anmeldeaktivitäten zu bieten.
Der Begriff kann sich auch auf die Überprüfung der Richtigkeit von Daten beziehen.

Authentisierung bezeichnet den Nachweis oder die Überprüfung der Authentizität. Die Authentisierung einer Identität kann u.a. durch Passwort-Eingabe, Chipkarte oder Biometrie erfolgen, die Authentisierung von Daten z. B. durch kryptographische Signaturen.

Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen.

Die durch einen Autoresponder automatisch erstellte Antwort, die an den Versender einer E-Mail verschickt wird. Richten Sie einen Autoresponder nur ein, wenn unbedingt nötig. Seien Sie sparsam mit der Angabe persönlicher Daten wie Ihrer Telefonnummer oder Anschrift. So erschweren Sie Spammern und Adresshändlern ihre Arbeit.

Sobald Sie eine E-Mail erhalten haben, verschickt ein eingeschalteter Autoresponder automatisch eine E-Mail mit vorbestimmten Inhalt. Diese E-Mail wird auch Autoreply genannt. Typische Anwendungsbeispiele sind eine Eingangsbestätigung oder eine Abwesenheitsnachricht. Autoresponder unterscheiden dabei nicht zwischen Post von Geschäftspartnern und Spam. Erhalten Spam-Versender eine Antwort, wissen sie, dass Sie Ihr Postfach verwenden. Sie erhalten dann noch mehr Spam. Wenn Sie die Einrichtung eines Autoresponders nicht vermeiden können, überlegen Sie sich, ob die Nennung Ihrer Telefonnummer oder Anschrift im Text der automatisch erstellten Antwort unbedingt nötig ist. Denn auch diese Angaben lassen sich verkaufen und missbrauchen.

Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist.