Padding (englisch to pad "auffüllen") wird in der Kryptographie bei Verschlüsselungsverfahren verwendet, um Datenbereiche aufzufüllen. Bei einer Block-Chiffre werden z.B. die zu verschlüsselnden Daten in Blöcken fester Größe gespeichert. Damit auch der letzte Block "voll" wird, kann Padding zum Auffüllen der letzten Bytes benutzt werden.

Zwei Bluetooth-fähige Geräte wie Handys oder PDAs benötigen einen gemeinsamen Verbindungsschlüssel, um miteinander kommunizieren zu können. Dieser wird berechnet, nachdem auf beiden Geräten eine gleichlautende PIN eingegeben wurde. Die "besondere Vertrauensbeziehung" zwischen den beiden Geräten bezeichnet man als "Pairing".

Paketfilter sind IT-Systeme mit spezieller Software, die den ein- und ausgehenden Datenverkehr in einem Netz anhand spezieller Regeln filtern. Aufgabe eines Paketfilters ist es, Datenpakete anhand der Informationen in den Header-Daten der UDP/IP- bzw. TCP/IP-Schicht (z. B. IP-Adresse und Portnummer) weiterzuleiten oder zu verwerfen. Diese Entscheidung treffen Paketfilter anhand der vom Anwender vorgegebenen Filterregeln. Vielfach bieten die Paketfilter auch eine Möglichkeit zur "Network Address Translation" (NAT), bei der die Absender-Adressen von IP-Paketen durch eine IP-Adresse des Paketfilters ersetzt wird. Dadurch wird die Netzstruktur des zu schützenden Netzes verdeckt.

Partitionsverschlüsselung bezeichnet die vollständige Verschlüsselung einer Partition eines Datenträgers. Die eingesetzten Verfahren ähneln denen zur Festplattenverschlüsselung.

Mit der Eingabe eines Passwortes weist der Benutzer nach, dass er zu dem geschlossenen System eine Zugangsberechtigung hat. (Beispiel: Eingabe der Geheimzahl am Geldautomaten) Im Internet werden Passwörter bei bestimmten Diensten benötigt, zum Beispiel bei der Einwahl ins Internet über einen Internetprovider. Passwörter sollten Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten und in regelmäßigen Abständen geändert werden.

Ein Patch (vom englischen "patch", auf deutsch: Flicken) ist ein kleines Programm, das Softwarefehler wie z. B. Sicherheitslücken oder andere Verbesserungen in Anwendungsprogrammen oder Betriebssystemen integrieren (Update).

Die Einspielung dieser Updates (siehe Patch) erleichtern viele Programme durch automatische Update-Funktionen. Als Patch-Management bezeichnet man Prozesse und Verfahren, die helfen, verfügbare Patches für die IT-Umgebung möglichst rasch erhalten, verwalten und einspielen zu können.

Ein Penetrationstest ist ein gezielter, in der Regel simulierter, Angriffsversuch auf ein IT-System. Er wird als Wirksamkeitsprüfung vorhandener Sicherheitsmaßnahmen eingesetzt.

Durch eine PIN, eine in der Regel vier- bis achtstellige persönliche Geheimzahl, kann eine Signaturerstellungseinheit vor unberechtigtem Zugriff geschützt werden. Eine sechsstellige PIN bietet ausreichend Sicherheit, um die im Signaturgesetz definierten Anforderungen an Identifikationsdaten zu erfüllen.

Ein PSE ist ein Aufbewahrungsmedium für private Schlüssel und vertrauenswürdige Zertifikate. Ein PSE kann entweder als Software-Lösung, z. B. als mittels Passwort geschützte Datei im PKCS #12-Format, oder als Hardware-Lösung, beispielsweise in Form einer Smart Card, realisiert sein. In diesem Fall kann das PSE gleichzeitig als Signaturerstellungseinheit dienen.

Wie beim Phishing sind auch beim Pharming meist Zugangsdaten das Ziel eines Angriffs. Der Unterschied zum Phishing besteht darin, dass beim Pharming die Infrastruktur so manipuliert wird, dass das Opfer auch dann auf einer gefälschten Webseite landet, wenn er die korrekte Adresse des Dienstes eingeben hat. Technisch geschieht das in der Regel durch eine Manipulation der DNS-Einträge in der lokalen Hosts-Datei, an einem Zwischenspeicher oder an der zentralen DNS-Infrastruktur.

Das Wort setzt sich aus "Password" und "Fishing" zusammen, zu Deutsch "nach Passwörtern angeln". Beim Phishing wird z. B. mittels gefälschter E-Mails und/oder Webseiten versucht, Zugangsdaten für einen Dienst oder eine Webseite zu erlangen. Wird diese Manipulation vom Opfer nicht erkannt und die Authentizität einer Nachricht oder Webseite nicht hinterfragt, gibt das Opfer seine Zugangsdaten u. U. selbst unwissentlich in unberechtigte Hände. Bekannte Beispiele sind Phishing-Angriffe gegen Bankkunden, die in einer E-Mail aufgefordert werden, ihre Zugangsdaten auf der Webseite der Bank einzugeben und validieren zu lassen. Mit dem gleichen Verfahren werden aber auch Nutzer von E-Commerce-Anwendung angegriffen, z. B. Online-Shops oder Online-Dienstleister. Angreifer setzen zunehmend Schadprogramme statt klassischem Phishing als Mittel zum Identitätsdiebstahl ein. Andere Varianten des Phishings setzen auf gefälschte Near Field Communication (NFC)-Tags oder Barcodes, die vom Opfer eingelesen werden und auf eine Phishing-Seite weiterleiten.

Ein Plug-in ist eine Zusatzsoftware oder ein Softwaremodul, das in ein Computerprogramm eingebunden werden kann, um dessen Funktionalität zu erweitern.

Unter "Poisoning" versteht man das Einschleusen von manipulierten Daten in einen Zwischenspeicher (Cache), der dann von anderen Anwendungen oder Diensten genutzt wird. Beispiele sind Angriffe mittels Poisoning auf DNS-, BGP-, oder ARP-Caches. Ein Angreifer kann so z. B. allgemein die Routen von Datenpaketen ändern oder gezielt Anfragen für Webseiten einer Bank auf eine gefälschte Seite umleiten.

Eine Nummer, die immer mit einer IP-Adresse und der Protokollart der Kommunikation verbunden ist, um an Endpunkte zu kommunizieren.

Bei einem Port-Scan versucht ein Angreifer herauszufinden, welche Dienste ein Rechner nach außen anbietet, in dem er alle nacheinander "anspricht". Ein Port-Scan dient in der Regel dazu einen Angriff vorzubereiten.

"Enabler für Governance und Management. Prinzipien umfassen die Werte und fundamentalen An- nahmen des Unternehmens, die Überzeugungen, die die Entscheidungsfindung des Unternehmens leiten und definieren, die Kommunikation innerhalb und außerhalb des Unternehmens sowie die Verantwortung für die Betriebsmittel anderer.
Beispiel: Ethikcharta, Charta für soziale Verantwortung"

Ein Netzwerk, das nur privat zugänglich ist (im Gegensatz zu öffentlich).

Ein WiFi, das vom Endbenutzer und anderen mit ausdrücklicher Genehmigung des Endbenutzers verwendet wird.

Der private Schlüssel ist der Teil eines kryptographischen Schlüsselpaares, auf den nur der Inhaber des Schlüsselpaares zugreifen kann. Er wird in einem Personal Security Environment aufbewahrt und verwendet, um digitale Signaturen zu erstellen oder Daten zu entschlüsseln.

Privilegierte oder administrative Berechtigungen umfassen weitergehende Zugriffsmöglichkeiten auf IT-Systeme oder Software-Komponenten, als für normale Benutzer erforderlich sind. In der Regel werden privilegierte Berechtigungen nur solchen Rollen, Gruppen oder Personen zugewiesen, die überwiegend mit der Administration von Informationstechnik betraut sind. Dazu gehört unter anderem die betriebliche und/ oder sicherheitstechnische Konfiguration.

Funktion, die für die Unterstützung der Programm- und Projektmanager verantwortlich ist, sowie für die Einholung, Bewertung und Dokumentation von Informationen in Hinblick auf die Durchführung der einzelnen Programme und Projekte.

Beschreibung (Spezifikation) des Datenformats für die Kommunikation zwischen elektronischen Geräten.

Dienstanbieter mit verschiedenen Schwerpunkten, z. B. Netzwerk-Provider, der als Mobilfunkprovider, Internet-Service-Provider oder Carrier die Infrastruktur für den Daten- und Sprachtransport bereitstellt, oder Service Provider, der über die Netzwerk-Bereitstellung hinausgehende Dienstleistungen erbringt, beispielsweise den Netzbetrieb einer Organisation oder die Bereitstellung von Sozialen Medien.

Ein Proxy ist eine Art Stellvertreter in Netzen. Er nimmt Daten von einer Seite an und leitet sie an eine andere Stelle im Netz weiter. Mittels eines Proxys lassen sich Datenströme filtern und gezielt weiterleiten

In der Regel, eine Ansammlung aus Praktiken, die von den Richtlinien und Verfahren des Unter- nehmens geprägt sind, und in die Inputs verschiedener Quellen (einschließlich anderer Prozesse) einfließen, verarbeitet und anschließend in Form von Outputs (z. B. Produkte oder Services) wieder ausgegeben werden.
Hinweis zur Bedeutung: Prozesse verfügen über eindeutige geschäftliche Gründe, die ihr Vorhan- densein rechtfertigen, über Verantwortliche, über klare Rollen und Zuständigkeiten in Bezug auf die Ausführung des Prozesses sowie über Mittel, mit denen ihre Leistung gemessen werden kann.

ISO/IEC 15504: Messbare Eigenschaft der Prozessbefähigung, die für jeden Prozess anwendbar ist

ISO/IEC 15504: Charakterisierung der Befähigung eines Prozesses, aktuellen oder projizierten Geschäftszielen zu entsprechen

Erklärung, die das gewünschte Ergebnis eines Prozesses beschreibt. Das Ergebnis kann ein Produkt, eine deutliche Veränderung eines Zustands oder eine erhebliche Befähigungsverbesserung anderer Prozesse sein.

In Bezug auf § 8a (3) BSIG ist ein Prüfbericht das Dokument der prüfenden Stelle, das die gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse enthält. Er bildet die Grundlage für die Nachweisdokumente.

In Bezug auf § 8a (3) BSIG ist die prüfende Stelle die Institution, die den Nachweis erbringt, dass der Betreiber die Maßnahmen gemäß § 8a (1) BSIG umgesetzt hat. Die prüfende Stelle stellt das Prüfteam zusammen, führt die Prüfung (durch das Prüfteam) durch und erstellt den Prüfbericht.

Der Prüfgegenstand in Bezug auf § 8a (3) BSIG umfasst die zu prüfenden informationstechnischen Systeme, Komponenten und Prozesse, Rollen bzw. Personen, die für die Funktionsfähigkeit der von Betreibern nach BSI-KritisV betriebenen Kritischen Infrastrukturen maßgeblich sind bzw. auf diese Einfluss haben.

Der Prüfplan ist ein Dokument, in dem ein Prüfer vor Prüfungsbeginn die Rahmenbedingungen für die Prüfung festlegt. Inhalt sind z. B. das Prüfverfahren bzw. die Prüfmethoden und eine festgelegte Stichprobe.

Das Prüfverfahren ist die Methode, nach der die prüfende Stelle einen Nachweis erbringt.

Eine PKI ist eine technische und organisatorische Infrastruktur, die es ermöglicht, kryptographische Schlüsselpaare (private Schlüssel in Form von PSEs und öffentliche Schlüssel in Form von Zertifikaten) auszurollen und zu verwalten. Zu den wesentlichen Kernkomponenten einer PKI zählt die Registrierungsinstanz, die Zertifizierungsinstanz und der Verzeichnisdienst. Unter Umständen umfasst eine PKI auch einen Zeitstempeldienst und Attributbestätigungsinstanzen.

Ein Netzwerk, das öffentlich zugänglich ist (im Gegensatz zu privat).