Unter "Cache Poisoning" versteht man das Einschleusen von manipulierten Daten in einen Zwischenspeicher (Cache), der dann von anderen Anwendungen oder Diensten genutzt wird. Beispiele sind Angriffe mittels Poisoning auf DNS-, BGP-, oder ARP-Caches. Ein Angreifer kann so z. B. allgemein die Routen von Datenpaketen ändern oder gezielt Anfragen für Webseiten einer Bank auf eine gefälschte Seite umleiten.

Computer-Notfallteam, das aus IT-Spezialisten besteht. In vielen Unternehmen und Institutionen sind mittlerweile CERTs etabliert, die sich um die Abwehr von Cyber-Angriffen, die Reaktion auf IT-Sicherheitsvorfälle sowie um die Umsetzung präventiver Maßnahmen kümmern.

Das CERT-Bund (Computer Emergency Response Team der Bundesverwaltung) ist im BSI angesiedelt und fungiert als zentrale Anlaufstelle für Bundesbehörden zu präventiven und reaktiven Maßnahmen bei sicherheitsrelevanten Vorfällen in Computersystemen.

Eine Certificate Policy besteht aus einer Menge von Regeln, die bei der Ausstellung des Zertifikates berücksichtigt wurden. Auf Basis der Certificate Policy kann entschieden werden, ob ein Zertifikat für einen bestimmten Einsatzzweck ausreichende Sicherheit bietet.

Eine Chipkarte ist eine meist aus Kunststoff bestehende Karte, die ein oder mehrere Halbleiterchips enthält. Man unterscheidet zwischen Speicherkarten, auf denen lediglich Daten abgelegt werden können, und Mikroprozessorkarten, in die ein Prozessor integriert ist, der auch Daten verarbeiten kann. Eine Mikroprozessorkarte nennt man auch Smart Card.

Ein Chipkartenterminal ist ein Gerät, das die elektrische Versorgung und den Datenaustausch mit einer Chipkarte ermöglicht. Zusätzlich kann dieses Gerät mit einer Tastatur und einem Display ausgestattet sein, um eine sichere PIN-Eingabe zu ermöglichen. Im Kontext der qualifizierten elektronischen Signatur treten Chipkartenterminals insbesondere als Teil von Signaturanwendungskomponenten auf.

Kryptographischer Angriff, in dem der Angreifer Zugriff auf Klartexte zu von ihm gewählten Chiraten erhalten kann. Das Ziel des Angreifers ist es in der Regel, ein gegebenes Chiffrat zu dechiffrieren, das zu keinem dieser Klar-Geheim-Kompromisse gehört. Abhängig davon, ob der Angreifer dieses Chiffrat vor oder nach dem Ende des Angriffs kennt, unterscheidet man zwischen adaptiven und nicht-adaptiven Chosen-Ciphertext-Attacken.

Kryptographischer Angriff, in dem der Angreifer Zugriff auf Chiffrate zu von ihm gewählten Klartexten erhalten kann.

Als Client wird Soft- oder Hardware bezeichnet, die bestimmte Dienste von einem Server in Anspruch nehmen kann. Häufig steht der Begriff Client für einen Arbeitsplatzrechner, der in einem Netz auf Daten und Programme von Servern zugreift.

Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die im Rahmen von Cloud Computing angebotenen Dienstleistungen umfassen das komplette Spektrum der Informationstechnik und beinhalten Infrastrukturen (Rechenleistung, Speicherplatz), Plattformen und Software.

1. COBIT 5: Früher bekannt als Control Objectives for Information and related Technology (COBIT),   also Kontrollziele für Informationen und zugehörige Technologien; in der fünften Ausgabe wird nur noch das Akronym verwendet. Ein vollständiges und international anerkanntes Rahmenwerk für  die Governance und das Management der Informationstechnologie (IT) von Unternehmen, das die Führungskräfte des Unternehmens und das Management dabei unterstützt, Geschäftsziele und zugehörige IT-Ziele zu definieren und zu erreichen. In COBIT werden fünf Prinzipien und sieben Enabler beschrieben, die Unternehmen bei der Entwicklung, Implementierung, kontinuierlichen Verbesserung und Überwachung bewährter IT-bezogener Governance- und Managementpraktiken unterstützen.

2. COBIT 4.1 und frühere Versionen: Ehemals bekannt unter der Bezeichnung Control Objectives for Information and related Technology (COBIT), also Kontrollziele für Informationen und zugehörige Technologien. Ein vollständiges und international anerkanntes IT-Prozessrahmenwerk, das Füh- rungskräfte aus Business und IT sowie das Management unterstützt, Geschäftsziele und zugehö- rige IT-Ziele zu definieren und zu erreichen, indem es ein umfassendes Modell für IT-Governance, Management, Steuerung und Prüfung bereitstellt. In COBIT werden IT-Prozesse und zugehörige Kontrollziele, Management Guidelines (Aktivitäten, Verantwortlichkeiten, Zuständigkeiten und Leis- tungsmetriken) und Reifegradmodelle beschrieben. COBIT unterstützt das Unternehmensmanage- ment bei der Entwicklung, Implementierung, kontinuierlichen Verbesserung und Überwachung bewährter IT-bezogener Verfahren.

Hinweis zur Bedeutung: Übernahme und Verwendung des COBIT-Rahmenwerks werden durch Leitlinien für Führungskräfte und Management (Board Briefing on IT Governance, 2. Ausgabe), Implementierungshilfen für IT-Governance (COBIT Quickstart, 2. Ausgabe; IT Governance Imple- mentation Guide: Using COBIT and Val IT, 2. Ausgabe und COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance) und IT-Prüfexperten und Auditoren (IT Assurance Guide Using COBIT) unterstützt. Darüber hinaus existieren Leitlinien zur Unterstützung der Anwendbarkeit des Rahmenwerks auf bestimmte gesetzliche und behördliche Anforderun- gen (z. B. IT-Kontrollziele für Sarbanes-Oxley, IT-Kontrollziele für Basel II) und seiner Relevanz für Informationssicherheit (COBIT Security Baseline). Durch Bezugnahme auf andere Rahmenwerke und Standards deckt COBIT den gesamten IT-Management-Lebenszyklus ab und kann auch in Unternehmen verwendet werden, in denen mehrere IT-bezogene Rahmenwerke und Standards zur Anwendung kommen.

Die meisten Schadprogramme nehmen nach der Infektion eines Systems Kontakt zu einem Kontrollserver (C&C-Server) der Angreifer im Internet auf, um von dort weiteren Schadcode nachzuladen, Instruktionen zu empfangen oder auf dem infizierten System ausgespähte Informationen (wie Benutzernamen und Passwörter) an diesen Server zu übermitteln. Die Kontaktaufnahme erfolgt häufig unter Verwendung von Domainnamen, welche von den Tätern speziell für diesen Zweck registriert wurden.
Bei Botnetzen verteilen Command & Control-Server die Kommandos an die einzelnen Bots. Es existieren jedoch auch Botnetze, die Kommandos mittels Peer-to-Peer-Kommunikation weitergeben und somit auf einen zentralen Server verzichten können.

Mit den Common Criteria for Information Technology Security Evaluation (kurz: Common Criteria) [CC] wurde ein internationaler Standard (ISO 15408) für die Bewertung und Zertifizierung der Sicherheit von Computersystemen geschaffen, so dass Komponenten oder Systeme nicht in verschiedenen Ländern mehrfach zertifiziert werden müssen. Die Common Criteria, in deren Entwicklung unter anderem die europäischen IT-Sicherheitskritierien (ITSEC) eingeflossen sind, sehen verschiedene Vertrauenswürdigkeitsstufen (Evaluation Assurance Level) vor. Hierbei existieren die Stufen ""EAL1"" (funktionell getestet) bis ""EAL7"" (formal verifizierter Entwurf und getestet), durch die bestimmte Anforderungen im Hinblick auf folgende Aspekte definiert werden:
- Konfigurationsmanagement,
- Auslieferung und Betrieb,
- Entwicklung,
- Handbücher,
- Lebenszyklus-Unterstützung,
- Testen,
- Schwachstellenbewertung.

Ein WiFi, das von einer größeren Benutzergruppe mit Teilnehmern verwendet wird, die dem Endbenutzer unbekannt und logisch vom privaten WiFi getrennt sind.

Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. (Zusätzlich können programmierte Schadensfunktionen des Virus vorhanden sein.)

Eine vom TPM getrennte Befehlssequenz, die gemeinsam mit dem BIOS einen vertrauenswürdigen Bootvorgang gewährleisten soll, indem die Systemkonfiguration gemessen wird (die dann später mit im TPM gespeicherten Werten verglichen werden kann)

Typische Beispiele für Credentials sind Passwörter, kryptografische Schlüssel und Zertifikate, sog. "Authentisierungs-Tickets" oder auch "Session-Cookies". Ein Diebstahl von Credentials kann z. B. Folge einer Attacke auf die Benutzerdatenbank von Webseiten oder Online-Diensten sein. Credentials können auch durch Schadsoftware-Infektionen auf Clients mitgeschnitten und so unbefugt an Dritte übermittelt werden. Es können aber auch gezielt Geräte wie Smartphones, Hardware-Tokens oder mobile Datenträger gestohlen werden, wenn ein Angreifer Zugangsdaten auf diesen Komponenten vermutet. Authentisierungs-Tickets oder Cookies können über unverschlüsselte Verbindungen mitgeschnitten werden.
Ein Cyber-Angriff auf eine Zertifizierungsstelle (Certificate Authority) kann z. B. als Vorbereitung weiterer Angriffe durchgeführt werden. Ein Angreifer ist dadurch unter Umständen in der Lage, gefälschte Zertifikate zu erstellen und sie weitestgehend unbemerkt einzusetzen.

Cross-Site-Scripting-Schwachstellen entstehen, wenn Benutzereingaben in einer Webanwendung ungefiltert durch den Server verarbeitet und an andere Clients zurückgegeben werden. Ein Angreifer hat damit unter Umständen die Möglichkeit, Programmcode wie JavaScript im Kontext des Benutzers einer Webseite auszuführen. Dies lässt sich unter anderem ausnutzen, um den Inhalt von Webseiten für einen Benutzer zu ändern oder auf Inhalte wie Cookies zugreifen zu können, um an Session-Informationen zu gelangen.

Cross-Site-Request-Forgery ist eine weitere Angriffsform, die sich gegen Benutzer von Webanwendungen richtet. Mit dieser Vorgehensweise lassen sich Funktionen einer Webanwendung von einem Angreifer im Namen des Opfers nutzen. Ein Beispiel ist die Versendung einer gefälschten Statusnachricht in einem Sozialen Netzwerk: Ein Angreifer formuliert die Nachricht und schiebt sie dem Opfer beim Abruf einer Webseite unter. Wenn der Angriff gelingt und das Opfer während des Angriffs parallel im betreffenden Sozialen Netzwerk angemeldet ist, wird die Nachricht des Angreifers im Namen des Opfers veröffentlicht.

Ein Cross-Zertifikat ist ein Public-Key-Zertifkat, das eine Zertifizierungsinstanz für eine andere Zertifizierungsinstanz ausstellt.

Die Cryptographic Message Syntax ist eine von der IETF getragene Weiterentwicklung des PKCS #7-Standards. In diesem Standard, der bereits heute von vielen Standardsoftware-Komponenten unterstützt wird, ist unter anderem ein sehr weit verbreitetes High-Level-Signaturformat spezifiziert. Außerdem bildet es die Basis für das S/MIME-Format zur Verschlüsselung und Signatur von E-Mail-Nachrichten sowie für spezifische Nachrichten zur Zertifikatsverwaltung.

Cyber-Abwehr umfasst alle Maßnahmen mit dem Ziel der Wahrung oder Erhöhung der Cyber-Sicherheit.

Angreifer, die durch einen Cyber-Angriff auf einen politischen, gesellschaftlichen, sozialen, wirtschaftlichen oder technischen Missstand aufmerksam machen oder eine diesbezügliche Forderung durchsetzen wollen ("Hacktivismus"). Die Motivation hinter dem Angriff ist Einflussnahme. Der durch einen Cyber-Angriff entstandene Schaden wird in Kauf genommen bzw. forciert, um eine höhere Aufmerksamkeit zu erlangen. Sogenannte "ethische Hacker" begründen ihr Handeln mit gesellschaftlichen oder sozialen Themen.

Ein Cyber-Angriff ist eine Einwirkung auf ein oder mehrere andere informationstechnische Systeme im oder durch den Cyber-Raum, die zum Ziel hat, deren IT-Sicherheit durch informationstechnische Mittel ganz oder teilweise zu beeinträchtigen.

Die Motivation von Cyber-Kriminellen ist es, mithilfe der Informationstechnik auf illegalen Wegen Geld zu verdienen. Die Bandbreite reicht von organisierter Cyber-Kriminalität bis hin zu einfacher Kriminalität mit geringen Schäden.
- Organisierte Cyber-Kriminalität reicht vom Identitätsdiebstahl mit Warenbetrug über den Diebstahl von Geld durch Missbrauch von Bankdaten bis hin zur Erpressung. Organisierte Cyber-Kriminelle nutzen die genannten Vorteile von Cyber-Angriffen bei ihren Aktivitäten mit hoher Professionalität aus.
- Im Gegensatz zur organisierten Kriminalität sind einfache Cyber-Kriminelle meist Einzelpersonen oder kleine Gruppen, die sich durch geringere Professionalität in ihrem Handeln auszeichnen. Dementsprechend ist auch die Auswahl der Angriffsziele eingeschränkt und der verursachte Schaden typischerweise geringer.

Der Cyber-Raum ist der virtuelle Raum aller weltweit auf Datenebene vernetzten bzw. vernetzbaren informationstechnischen Systeme. Dem Cyber-Raum liegt als öffentlich zugängliches Verbindungsnetz das Internet zugrunde, welches durch beliebige andere Datennetze erweitert werden kann.

Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der Informationssicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Häufig wird bei der Betrachtung von Cyber-Sicherheit auch ein spezieller Fokus auf Angriffe aus dem Cyber-Raum gelegt.

Terroristen können Cyber-Angriffe, wie staatliche Akteure und Kriminelle, nutzen, um unterschiedliche Ziele anzugreifen und somit ihre Ideologie zu verbreiten und ihren Einfluss auszuweiten.

Prüfsumme über die zu übertragenden Daten, die in der Nachricht mitgeschickt wird und es dem Empfänger gestattet, Bitfehler, die auf dem Kommunikationskanal entstanden sind, zu erkennen.