Glossar für Sicherheit und Verschlüsselung
Erklärungen der Sicherheitskonzepte hinter Vaulted in einfacher Sprache.
AES-256-GCM
AES-256-GCM ist ein symmetrischer Verschlüsselungsalgorithmus, der den Advanced Encryption Standard mit einem 256-Bit-Schlüssel und dem Galois/Counter Mode kombiniert und damit Datenschutz sowie integrierte Integritätsprüfung in einem einzigen Vorgang bietet.
Asymmetrische Verschlüsselung
Asymmetrische Verschlüsselung ist ein kryptografisches System, das ein Paar mathematisch zusammenhängender Schlüssel verwendet – einen öffentlichen Schlüssel, den jeder zur Datenverschlüsselung nutzen kann, und einen privaten Schlüssel, den nur der Eigentümer zur Entschlüsselung besitzt –, sodass kein vorheriges Teilen eines geheimen Schlüssels erforderlich ist.
Audit-Log
Ein Audit-Log ist eine chronologische, manipulationssichere Aufzeichnung von Systemereignissen und -aktivitäten – einschließlich Benutzeraktionen, Zugriffsversuchen, Konfigurationsänderungen und Sicherheitsereignissen –, die zu Zwecken der Rechenschaftspflicht, regulatorischer Compliance und forensischer Analyse geführt wird.
bcrypt
bcrypt ist eine Passwort-Hashing-Funktion auf Basis der Blowfish-Blockchiffre, die ein eingebautes Salt und einen konfigurierbaren Kostenfaktor beinhaltet. Sie ist darauf ausgelegt, rechenintensiv zu sein – auf eine Art, die speziell der Beschleunigung durch GPUs und spezialisierte Hardware widersteht.
Brute-Force-Angriff
Ein Brute-Force-Angriff ist eine kryptoanalytische Methode, die versucht, ein Passwort, einen Verschlüsselungsschlüssel oder ein anderes Geheimnis zu ermitteln, indem systematisch alle möglichen Kombinationen getestet werden, bis der korrekte Wert gefunden wird.
Clientseitige Verschlüsselung
Clientseitige Verschlüsselung ist die Praxis, Daten auf dem Gerät des Nutzers – typischerweise in einem Browser oder einer nativen App – zu verschlüsseln, bevor sie an einen Server übertragen werden. Dadurch empfängt und speichert der Server ausschließlich verschlüsselte Daten.
Credential-Management
Credential-Management ist die Gesamtheit der Richtlinien, Prozesse und Tools, mit denen der vollständige Lebenszyklus von Zugangsdaten sicher verwaltet wird – einschließlich Erstellung, sicherer Speicherung, kontrolliertem Teilen, regelmäßiger Rotation und zeitnahem Widerruf.
Data-Loss-Prevention
Data-Loss-Prevention (DLP) ist ein Ensemble aus Strategien, Tools und Prozessen, das entwickelt wurde, um die unbefugte Übertragung, den Verlust oder die Exfiltration sensibler Daten aus einer Organisation zu erkennen und zu verhindern – ob absichtlich oder versehentlich.
Datenexfiltration
Datenexfiltration ist die unbefugte Übertragung von Daten aus den Systemen einer Organisation an einen externen, von einem Angreifer kontrollierten Standort – durch netzwerkbasierte Techniken, physische Medien oder kompromittierte Konten.
Datenpanne
Eine Datenpanne ist ein Sicherheitsvorfall, bei dem sensible, geschützte oder vertrauliche Daten von einer unberechtigten Partei abgerufen, offengelegt oder gestohlen werden – sei es durch einen Angriff, eine Insider-Bedrohung, eine Fehlkonfiguration oder eine versehentliche Offenlegung.
Digitale Signatur
Eine digitale Signatur ist ein kryptografisches Verfahren, das einen privaten Schlüssel verwendet, um eine Signatur über eine Nachricht oder ein Dokument zu generieren. Jeder mit dem entsprechenden öffentlichen Schlüssel kann die Signatur prüfen, um Authentizität und Integrität der Daten zu bestätigen.
Ende-zu-Ende-Verschlüsselung
Ende-zu-Ende-Verschlüsselung (E2EE) ist eine Kommunikationsmethode, bei der Daten auf dem Gerät des Senders verschlüsselt werden und nur auf dem Gerät des Empfängers entschlüsselt werden können. Kein Mittler – einschließlich des Dienstanbieters – kann auf den Klartextinhalt zugreifen.
Ephemere Geheimnisse
Ephemere Geheimnisse sind sensible Datenelement – wie Passwörter, Tokens oder Schlüssel –, die absichtlich so konzipiert sind, dass sie nur für einen begrenzten Zeitraum oder eine begrenzte Anzahl von Zugriffen existieren, bevor sie dauerhaft und unwiderruflich vernichtet werden.
GDPR
Die DSGVO (Datenschutz-Grundverordnung, englisch GDPR) ist ein umfassendes Datenschutzgesetz der Europäischen Union, das regelt, wie Organisationen personenbezogene Daten von Personen innerhalb der EU und des Europäischen Wirtschaftsraums erheben, verarbeiten, speichern und teilen.
Geheimtext
Geheimtext ist die verschlüsselte Ausgabe eines kryptografischen Algorithmus – eine durchgemischte Darstellung der Originaldaten, die ohne den entsprechenden Entschlüsselungsschlüssel nicht lesbar ist.
HIPAA
HIPAA (Health Insurance Portability and Accountability Act) ist ein US-Bundesgesetz, das nationale Standards zum Schutz der Privatsphäre und Sicherheit individuell identifizierbarer Gesundheitsinformationen festlegt, bekannt als Protected Health Information (PHI).
HMAC
HMAC (Hash-Based Message Authentication Code) ist ein kryptografischer Mechanismus, der eine kryptografische Hash-Funktion mit einem geheimen Schlüssel kombiniert, um einen Authentifizierungscode fixer Länge zu erzeugen. Damit kann der Empfänger sowohl Integrität als auch Authentizität einer Nachricht prüfen.
Initialisierungsvektor
Ein Initialisierungsvektor (IV) ist ein zufälliger oder pseudozufälliger Wert, der als zusätzliche Eingabe neben dem Schlüssel in einen Verschlüsselungsalgorithmus eingeht. Er stellt sicher, dass identischer Klartext, der mit demselben Schlüssel verschlüsselt wird, über Operationen hinweg unterschiedlichen Geheimtext erzeugt.
JSON Web Token
Ein JSON Web Token (JWT) ist ein kompaktes, URL-sicheres Token-Format, definiert in RFC 7519, das Claims zwischen zwei Parteien als digital signiertes JSON-Objekt darstellt und so zustandslose Authentifizierung und Informationsaustausch ermöglicht.
Key Wrapping
Key Wrapping ist eine kryptografische Operation, die einen Schlüssel (den Nutzlastschlüssel) mit einem anderen Schlüssel (dem Wrapping-Schlüssel oder Schlüsselverschlüsselungsschlüssel) verschlüsselt und so dem Schlüsselmaterial bei der Speicherung oder beim Transport Vertraulichkeit und Integrität bietet.
Klartext
Klartext sind Daten in ihrer ursprünglichen, unverschlüsselten und für Menschen lesbaren Form. In der Kryptografie bezeichnet er die Eingabe eines Verschlüsselungsalgorithmus oder die Ausgabe eines Entschlüsselungsalgorithmus.
Man-in-the-Middle-Angriff
Ein Man-in-the-Middle-Angriff (MITM) ist ein Cyberangriff, bei dem ein Angreifer heimlich die Kommunikation zwischen zwei Parteien abfängt – und potenziell verändert –, die glauben, direkt miteinander zu kommunizieren.
Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung (MFA) ist eine Authentifizierungsmethode, die von einem Benutzer verlangt, zwei oder mehr unabhängige Zugangsdaten aus verschiedenen Kategorien vorzulegen – etwas, das man weiß; etwas, das man hat; oder etwas, das man ist –, bevor Zugriff gewährt wird.
Nonce
Ein Nonce (Number Used Once) ist ein eindeutiger, typischerweise zufälliger oder sequenzieller Wert, der in einer kryptografischen Operation exakt einmal verwendet wird, um sicherzustellen, dass identische Eingaben unterschiedliche Ausgaben erzeugen. Das verhindert Replay-Angriffe und Musteranalysen.
OAuth
OAuth 2.0 ist ein offenes Autorisierungsframework, das es einer Drittanwendung ermöglicht, begrenzten Zugriff auf Ressourcen eines Benutzers bei einem anderen Dienst – wie sein Profil oder seine Daten – zu erlangen, ohne dass der Benutzer sein Passwort mit dem Dritten teilen muss.
Passwort-Hashing
Passwort-Hashing ist die Praxis, eine rechenintensive, einwegige kryptografische Funktion auf ein Passwort anzuwenden – kombiniert mit einem einzigartigen Salt –, um einen Digest fester Länge zu erzeugen, der das Passwort verifizieren kann, ohne es in einer wiederherstellbaren Form zu speichern.
PBKDF2
PBKDF2 (Password-Based Key Derivation Function 2) ist ein Schlüsselableitungsalgorithmus gemäß RFC 8018, der eine pseudozufällige Funktion – typischerweise HMAC-SHA-256 – iterativ auf ein Passwort und einen Salt anwendet, um einen abgeleiteten Schlüssel zu erzeugen, der per Brute-Force rechnerisch aufwendig zu knacken ist.
PCI-DSS
PCI-DSS (Payment Card Industry Data Security Standard) ist ein Satz von Sicherheitsanforderungen, der vom PCI Security Standards Council festgelegt wurde, um Karteninhaberdaten zu schützen und sicherzustellen, dass alle Organisationen, die Kreditkarteninformationen verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten.
Phishing
Phishing ist ein Social-Engineering-Angriff, bei dem ein Angreifer betrügerische Kommunikation sendet – typischerweise E-Mails, SMS oder Sofortnachrichten –, die sich als vertrauenswürdige Einheit ausgeben, um Empfänger dazu zu bringen, sensible Informationen preiszugeben, auf bösartige Links zu klicken oder Malware zu installieren.
Prinzip der minimalen Rechtevergabe
Das Prinzip der minimalen Rechtevergabe ist ein Sicherheitskonzept, das besagt, jedem Nutzer, Prozess oder System nur das minimale Zugangsniveau zu gewähren – und für die minimale Zeit –, das für die Ausübung seiner autorisierten Funktion erforderlich ist.
Public-Key-Infrastruktur
Die Public-Key-Infrastruktur (PKI) ist ein umfassendes Rahmenwerk aus Rollen, Richtlinien, Hardware, Software und Verfahren zur Erstellung, Verwaltung, Verteilung, Speicherung und zum Widerruf digitaler Zertifikate und der zugehörigen öffentlich-privaten Schlüsselpaare.
Ransomware
Ransomware ist Schadsoftware, die die Dateien eines Opfers verschlüsselt oder es aus seinen Systemen aussperrt und dann eine Zahlung – typischerweise in Kryptowährung – im Austausch gegen den Entschlüsselungsschlüssel oder die Wiederherstellung des Zugriffs verlangt.
Rechteausweitung
Rechteausweitung ist eine Angriffstechnik, bei der ein Angreifer eine Schwachstelle, eine Fehlkonfiguration oder gestohlene Zugangsdaten ausnutzt, um höhere Berechtigungen zu erlangen als ursprünglich autorisiert – typischerweise vom normalen Benutzer zum Administrator- oder Root-Konto.
Rollenbasierte Zugriffskontrolle
Rollenbasierte Zugriffskontrolle (RBAC) ist ein Zugriffskontrollmodell, bei dem Berechtigungen Rollen zugewiesen werden – etwa Administrator, Editor oder Leser – und Benutzer Berechtigungen durch die Zuweisung zu diesen Rollen erhalten, statt sie direkt auf einzelnen Konten zu verwalten.
RSA
RSA (Rivest-Shamir-Adleman) ist ein asymmetrischer kryptografischer Algorithmus, dessen Sicherheit auf der rechnerischen Schwierigkeit beruht, das Produkt zweier großer Primzahlen zu faktorieren. Er wird für Verschlüsselung, digitale Signaturen und sicheren Schlüsselaustausch verwendet.
Salt (Kryptografie)
Ein kryptografischer Salt ist ein zufälliger Wert, der mit einem Passwort oder einer anderen Eingabe kombiniert wird, bevor diese von einer Hash-Funktion oder Schlüsselableitungsfunktion verarbeitet wird. Er stellt sicher, dass identische Eingaben unterschiedliche Ausgaben erzeugen, und macht vorberechnete Angriffstabellen wirkungslos.
Schlüsselableitung
Schlüsselableitung ist der Prozess, einen Quellwert – typischerweise ein Passwort, eine Passphrase oder ein gemeinsames Geheimnis – mittels eines deterministischen Algorithmus in einen oder mehrere kryptografische Schlüssel mit hoher Entropie umzuwandeln.
Schlüsselrotation
Schlüsselrotation ist die Sicherheitspraxis, aktive kryptografische Schlüssel oder Zugangsdaten regelmäßig durch neu generierte zu ersetzen und die alten Schlüssel außer Betrieb zu nehmen oder zu widerrufen, um das Expositionsfenster bei einem Kompromiss zu begrenzen.
Secrets-Management
Secrets-Management ist die Disziplin des sicheren Speicherns, Verteilens, Rotierens und Auditierens sensibler Zugangsdaten – wie API-Schlüssel, Passwörter, Tokens, Zertifikate und Verschlüsselungsschlüssel – über Anwendungen, Infrastruktur und Teams hinweg.
Selbstzerstörende Nachrichten
Selbstzerstörende Nachrichten sind Nachrichten oder geteilte Daten, die so konzipiert sind, dass sie nach einer bestimmten Anzahl von Zugriffen oder nach Ablauf eines definierten Zeitraums automatisch und dauerhaft gelöscht werden.
SHA-256
SHA-256 (Secure Hash Algorithm, 256 Bit) ist eine kryptografische Hash-Funktion aus der SHA-2-Familie, die eine Eingabe beliebiger Länge nimmt und einen fixen 256-Bit-(32-Byte-)Digest erzeugt. Sie ist als Einwegfunktion konzipiert, bei der die Ausgabe nichts über die Eingabe verrät.
Single Sign-On
Single Sign-On (SSO) ist ein Authentifizierungsschema, das einem Benutzer erlaubt, sich einmal bei einem zentralen Identitätsanbieter zu authentifizieren und danach auf mehrere unabhängige Anwendungen und Dienste zuzugreifen, ohne erneut nach Zugangsdaten gefragt zu werden.
SOC 2
SOC 2 (System and Organization Controls 2) ist ein von der AICPA entwickeltes Audit-Framework, das die Kontrollen einer Serviceorganisation in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bewertet – die sogenannten Trust Services Criteria.
Social Engineering
Social Engineering ist eine Klasse von Angriffstechniken, die menschliche Psychologie – Vertrauen, Angst, Dringlichkeit oder Hilfsbereitschaft – manipulieren, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben, unbefugten Zugriff zu gewähren oder Handlungen durchzuführen, die die Sicherheit kompromittieren.
Symmetrische Verschlüsselung
Symmetrische Verschlüsselung ist eine kryptografische Methode, bei der derselbe geheime Schlüssel sowohl für die Verschlüsselung als auch die Entschlüsselung verwendet wird. Sowohl Sender als auch Empfänger müssen den identischen Schlüssel besitzen, um Daten zu ver- und entschlüsseln.
Teilen von Geheimnissen
Das Teilen von Geheimnissen bezeichnet im Kontext des Credential-Managements die Praxis, sensible Informationen – wie Passwörter, API-Schlüssel oder private Schlüssel – über einen Kanal zwischen Parteien zu übertragen, der Offenlegung minimiert, Persistenz begrenzt und unbefugten Zugriff verhindert.
TLS/SSL
TLS (Transport Layer Security) ist ein kryptografisches Protokoll, das Privatsphäre, Datenintegrität und Authentifizierung für die Kommunikation zwischen zwei Parteien über ein Netzwerk bietet. SSL (Secure Sockets Layer) ist sein veralteter Vorgänger; moderne Verweise auf „SSL" meinen fast immer TLS.
URL-Fragment
Ein URL-Fragment ist der Teil einer URL, der nach dem Raute-Symbol (#) erscheint. Gemäß RFC 3986 verarbeiten Browser Fragmente ausschließlich clientseitig und schließen sie nie in HTTP-Anfragen an den Server ein.
Verschlüsselung bei der Übertragung
Verschlüsselung bei der Übertragung ist die Praxis, Daten während ihrer Übertragung zwischen zwei Systemen über ein Netzwerk zu verschlüsseln, typischerweise implementiert über TLS (Transport Layer Security) oder dessen Vorgänger SSL, um Abhören und Manipulation zu verhindern.
Verschlüsselung im Ruhezustand
Verschlüsselung im Ruhezustand ist die Praxis, Daten verschlüsselt auf persistentem Speicher – wie Festplatten, Datenbanken oder Backup-Medien – abzulegen, sodass die Daten auch dann geschützt bleiben, wenn das Speichermedium kompromittiert wird.
Web Crypto API
Die Web Crypto API ist ein W3C-Standard, der eine JavaScript-Schnittstelle zu einer Sammlung kryptografischer Primitive bereitstellt – darunter Verschlüsselung, Entschlüsselung, Schlüsselgenerierung, Hashing und Signierung – die nativ im Browser implementiert sind.
Zero Trust
Zero Trust ist eine Sicherheitsarchitektur, die implizites Vertrauen basierend auf dem Netzwerkstandort eliminiert und stattdessen für jede Zugriffsanfrage auf jede Ressource eine kontinuierliche Verifizierung von Identität, Gerätestatus und Autorisierung fordert.
Zero-Knowledge-Architektur
Zero-Knowledge-Architektur ist ein Systemdesign, bei dem der Dienstanbieter keinerlei Möglichkeit hat, die im Namen der Nutzer gespeicherten Daten zu lesen oder zu entschlüsseln, weil alle Verschlüsselungs- und Entschlüsselungsoperationen clientseitig stattfinden.
Zertifizierungsstelle
Eine Zertifizierungsstelle (CA) ist eine extern vertrauenswürdige Organisation, die digitale Zertifikate ausstellt, signiert und verwaltet, um die Identität von Einheiten – wie Websites, Organisationen oder Geräten – innerhalb einer Public-Key-Infrastruktur zu verifizieren.
Zugriffskontrolle
Zugriffskontrolle ist das Ensemble von Sicherheitsmechanismen und -richtlinien, die regeln, welche Benutzer, Systeme oder Prozesse auf bestimmte Ressourcen zugreifen und welche Aktionen sie an diesen Ressourcen durchführen dürfen.