Zum Inhalt springen

Glossar

Die Attribution ist ein Prozess, in dessen Verlauf ein (autorisierter) Akteur einem anderen Akteur die Verantwortlichkeit für einen Cybervorfall zuschreibt. Durchschnittliche Attributionsdauer: Gibt die durchschnittliche Zeitspanne zwischen dem Startjahr eines Cybervorfalls und dessen Attribution an. Technische Attribution: Die technische Attribution ermittelt anhand IT-forensischer Beweise und technischer Spuren, wer den jeweiligen Cybervorfall ausgeführt hat. Somit kann sich technische Attribution auf die reine Art und Weise der Ausführung des Vorfalls beschränken, ohne notwendigerweise auch die tatsächlich ausführende oder verantwortliche Partei zu benennen, z.B. im Falle von Auftrags-Hacks. Politische Attribution: Die politische Attribution bezeichnet die öffentliche Benennung eines Akteurs, der von politischen Entscheidungsträgern (oder autorisierten Personal) für einen Cybervorfall verantwortlich gemacht wird. Die politischen Entscheidungsträger berücksichtigen hierbei regelmäßig, in welchem Verhältnis die Schwere des Cybervorfalls zu den potentiellen Konsequenzen der öffentlichen Zuschreibung von politischer und/oder rechtlichen Verantwortung steht. Rechtliche Attribution: Die rechtliche Attribution bezeichnet die Zuschreibung rechtlicher Verantwortung gegenüber einem Akteur für die Verletzung internationaler und/oder nationaler Rechtsnormen, insbesondere durch einen strafrechtliche Verfolgung oder Anklage. Die rechtliche Attribution kann dabei insbesondere die folgenden Ziele verfolgen: die öffentliche Zuschreibung rechtlicher Verantwortung, die Abschreckung ähnlicher Angriffe, in der Zukunft, die Etablierung von grundlegenden rechtlichen Regeln für akzeptables Staatenverhalten im Cyberraum und die Entwicklung von Standards zur rechtlichen Attribution.
Die CIA-Triade ist ein heuristisches Modell, mit dem Organisationen die Sicherheit ihrer Information evaluieren und in der Folge gewährleisten. Das Akronym steht dabei für Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability) von (vertraulicher) Information. Anhand dieser zentralen Kategorien sollen Entscheidungen in Organisationen überprüft werden, die eine Bedeutung für deren Informationssicherheit aufweisen. Die Vertraulichkeit (Confidentiality) bestimmt die Grenzen der Zugriffsrechte von Nutzer:innen auf bestimmte Information. Letztlich sollen nur autorisierte Nutzer:innen das Recht haben und ausüben, auf die entsprechenden Information zuzugreifen, diese zu bewahren (wissen) und diese gegebenenfalls zu ändern. Wenn ein:e nicht berechtigte:r Nutzer:in Zugriff ohne die entsprechenden Rechte erlangt, ist die Vertraulichkeit der Information verletzt. Die Integrität (Integrity) bezieht sich auf die Unversehrtheit von Information durch unautorisierte Veränderungen. Integritätsmaßnahmen zielen daher darauf, dass Information, auf die ein:e Nutzer:in zugreift, vertrauenswürdig sind. Wenn eine Information von einem:r unberechtigten Nutzer:in verändert wird, dann ist die Integrität dieser Information verletzt. Die Verfügbarkeit (Availability) bezieht sich auf die Zugänglichkeit von Information. Es muss sichergestellt sein, dass eine Information von einem:r berechtigten Nutzer:in rechtzeitig und ununterbrochen zugänglich ist. Wenn eine Information für eine:n berechtigten Nutzer:in nicht zugänglich ist, dann ist deren Verfügbarkeit verletzt.
Das Common Vulnerability Scoring System (CVSS) ist ein öffentlich zugänglicher Industriestandard, um den Schweregrad von Sicherheitslücken entlang dreier Kategorien zu ermitteln. Die grundlegende Basis-Kategorie bewertet eine Sicherheitslücke anhand über Zeit gleichbleibender Kriterien. Die Temporal-Kategorie bewertet eine Sicherheitslücke anhand sich über Zeit verändernder Kriterien. Die Umgebungs-Kategorie bewertet eine Sicherheitslücke anhand von Kriterien, die für ein bestimmtes Computersystem relevant sind. In den jeweiligen Kategorien wird sodann eine numerische Punktzahl von 0 bis 10 vergeben. Abhängig von der ermittelten Endpunktzahl wird der Schweregrad der jeweiligen Sicherheitslücke als Niedrig, Mittel, Hoch oder Kritisch eingestuft. Das Ziel des CVSS ist es, ein vergleichbares Messsystem zwischen Organisationen zu etablieren und insbesondere schwerwiegende Sicherheitslücken in ihrer Beseitigung effektiver priorisieren zu können. Nutzer:inneninteraktion Die Nutzer:inneninteraktion ist ein Kriterium in der grundlegenden Basis-Kategorie des CVSS. Die Nutzer:inneninteraktion erfasst, ob die Handlung eines:r Nutzers:in, außer der des Angreifers, notwendig ist, um eine Schwachstelle erfolgreich auszunutzen. Der Schweregrad einer Schwachstelle ist höher, wenn die Einwirkung eines:r Nutzers:in nicht notwendig ist und die Ausnutzung der Schwachstelle nur vom Handeln des Angreifers abhängt. Der Schweregrad einer Schwachstelle ist niedriger, wenn die Einwirkung eines:r Nutzers:in notwendig ist und die Ausnutzung der Schwachstelle nicht nur vom Angreifer abhängt.
Ein Cyberangriff bezeichnet die Verwendung von Computertechnologie im Cyberspace für störende oder zerstörerische Zwecke. Sie werden auch "Cyber Network Attacks" (CNA) genannt, im Gegensatz zu "Cyber Network Exploitations" (CNE), die keine zerstörende Wirkung entfalten. Verbreitete Ziele von Cyberangriffen sind die Störung von Informationsverfügbarkeit oder sogar das Verursachen physischer Zerstörungen, falls etwa die angegriffenen IT-Systeme mit kritischen Infrastrukturen verbunden sind.
Eine Cyberkampagne umfasst eine Reihe von zusammenhängenden Cyberoperationen über Zeit. Dadurch entwickelt eine Cyberkampagne einen kumulativen Vorteil des Angreifers gegenüber anderen Cyberakteuren. Die zusammenhängenden Cyberoperationen können sich in ihrer technischen und operativen Ausführung unterscheiden, jedoch verfolgen sie alle ein übergeordnetes strategisches Ziel.
Eine Cyberoperation bezeichnet den einmaligen oder mehrmaligen Einsatz von informationstechnischen Mitteln gegen ein Computersystem zur Erreichung von operativen Zielen, etwa im militärischen Kontext. Diese Ziele können dabei durch Cyberangriffe und Cyberspionage verfolgt werden. Demnach können Cyberoperationen sowohl CNAs, als auch CNEs sein.

Ein Cyber-Stellvertreter ist ein Akteur, der im Auftrag eines Sponsors Cybervorfälle auslöst. Sowohl der Cyber-Stellvertreter als auch sein Sponsor können sowohl staatliche als auch nicht-staatliche Akteure sein, wobei der Sponsor zumeist staatlich ist. Das Abhängigkeitsverhältnis zwischen Cyber-Stellvertreter und Sponsor variiert, und kann von staatlich integrierten bis zu vom Staat lediglich geduldeten Akteuren. Der Sponsor setzt Cyber-Stellvertreter dazu ein, um die Urheberschaft für einen Cybervorfall zu verschleiern, beziehungsweise glaubhaft bestreiten, oder um fehlende staatliche Ressourcen im Cyberspace kompensieren zu können. 

Ein Cybervorfall (cyber incident) bezieht sich auf die einmalige, erfolgreiche technische Verletzung der Informationssicherheit zum Nachteil des betroffenen Computersystems, seines Informationssystems, des Netzwerkes und/oder der darin enthaltenen Information. Theoretisch können Cybervorfälle auch durch technisches oder menschliches Versagen ausgelöst werden.

Datendiebstahl ist eine Art von Cybervorfall mit dem Ziel Information von einem Computer oder Computersystem auf ein unautorisiertes System zu transferieren. Die Daten oder Information sind für das Ziel zwar nicht "verloren", sondern noch immer in seinem Besitz; jedoch sind diese nicht mehr vertraulich. Datendiebstahl kann auf politischen, finanziellen, wirtschaftlichen und persönlichen Motiven beruhen. Wenn staatliche Akteure beteiligt sind, spricht man in der Regel von "Cyberspionage".

Datenexfiltration bezeichnet die unberechtigte Übertragung von Information aus einem Computer oder Computersystem heraus. Datenexfiltration ist eine Verletzung der Vertraulichkeit in der Informationssicherheit. Die häufigste Ursache sind Cybervorfälle durch böswillige Cyberakteure, jedoch kann sie auch auf rein analogem Weg, etwa durch den Diebstahl von USB-Sticks, erfolgen.

Datenkorruption bezeichnet den Integritätsverlust von Information. Dabei befinden sich die betroffenen Information nicht in dem zu erwarteten Zustand, was auch die Funktionalität der betroffenen Programme und Systeme beeinträchtigen kann. Datenkorruption kann unbeabsichtigt, etwa durch Programmfehler ausgelöst werden, oder im Rahmen von Cybervorfällen durch böswillige Cyberakteure beabsichtigt sein.

Denial-of-Service (DoS) ist ein störender Cyberangriff und bezeichnet die gezielte Überlastung des Datenverkehrs um einen Webserver außer Betrieb zu setzen. Ein DoS ereignet sich zwischen einem Computersystem und einem angegriffenen Computersystem.

 

Distributed Denial of Service-Angriff: Ein Distributed Denial of Service (DDoS) ereignet sich zwischen einer Vielzahl von infizierten Computersystemen, einem sogenanntes Botnetz, und einem angegriffenen Computersystem. DDoS beeinträchtigen somit in erster Linie die Verfügbarkeit von Informationssystemen.

Doxxing bezeichnet die Offenlegung von Information ohne die Erlaubnis des Urhebers. Der Begriff Doxxing bezog sich ursprünglich auf personenbezogene Information. Im Rahmen von Cybervorfällen werden üblicherweise die anschließend veröffentlichten Information vorher im Rahmen von Hacks gestohlen. Diese Kombination wird auch oft als „Hack-and-Leak“ bezeichnet.

Ein Exploit ist ein Programm, das Schwachstellen in Software und/oder Hardware ausnutzt. Ein Exploit kann dazu verwendet werden eine Schwachstelle erst zu finden, um anschließend die Abfolge des ursprünglichen Codes so zu verändern, dass ab diesem Zeitpunkt der manipulierte Code aktiviert ist. Im Rahmen von Cybervorfällen haben Exploits die Funktion, den unberechtigten Zugriff auf ein Computer oder -system zu ermöglichen. 

Hijacking ist eine Art von Cybervorfall, das die Kontrolle über einen Computer oder -system zum Ziel hat. Hijacking umfasst das Eindringen und die Rechteausweitung in den kontrollierten Netzwerken. Technische Merkmale sind dabei unter anderem die Verwendung von Command-and-Control-Servern sowie invasiver Malware , beispielsweise Wiper-Malware. Hijacking ermöglicht es dem Angreifer potenziell zerstörerische Schäden nicht nur in den betroffenen Netzwerken, sondern auch in angegliederten physischen Systemen zu verursachen.

 

Hijacking ohne Missbrauch: Hijacking ohne Missbrauch bezeichnet einen Cybervorfall, indem ein Cyberakteur erfolgreich in einen Computer oder -system eingedrungen ist und seine Rechte erweitert hat, ohne hierdurch schädliche Handlungen auszuführen. Cyberakteure dringen in Computer oder -systeme ein, ohne die erweiterten Rechte zu missbrauchen, wenn sie den strategischen Zugang für potentielle zukünftige Cybervorfälle erhalten wollen, durch die Errichtung sogenannter "Beachheads".

Hijacking mit Missbrauch: Hijacking mit Missbrauch bezeichnet einen Cybervorfall, indem ein Cyberakteur erfolgreich in einen Computer oder -system eingedrungen ist, seine Rechte erweitert hat und sodann schädliche Handlungen ausführt. Hijacking ist im Kontext vieler Cybervorfälle die Voraussetzung für Datendiebstahl und Störungen. Es gibt jedoch auch weitere Formen des Missbrauchs, wie etwa die nicht-autorisierte Weiterleitung von Banküberweisungen, die durch Hacking ermöglicht wird.

MITRE ATT&CK ist eine öffentlich zugängliche Richtlinie zur technischen Beschreibung und Einordnung von Cybervorfällen. Die Richtlinie besteht aus 14 Kategorien, in denen weitere Techniken und Subtechniken enthalten sind.

 

Erstzugriff (Initial Access): Der Erstzugriff ist eine Kategorie im Rahmen der MITRE ATT&CK Schemas und umfasst neun Techniken, die unterschiedliche Angriffsvektoren nutzen, um sich erstmaligen Zugang in einen Computer oder ein -system zu verschaffen.

Impact: Impact ist eine Kategorie im Rahmen der MITRE ATT&CK Richtlinie und erfasst 13 Techniken zur Verletzung der Verfügbarkeit oder Unversehrtheit von Information.

Die Nutzdatei (Payload) bezeichnet den Teil einer Information, der die zu sendende Nachricht erhält. Im Rahmen von Cybervorfällen bezeichnet die Nutzdatei den Teil einer Information, indem ein Cyberakteur die Schadsoftware als harmlose Nachricht verbirgt.

Phishing ist eine Technik zur Informationsbeschaffung, bei der sich ein böswilliger Cyberakteur als vertrauenswürdige Person ausgibt. Im Rahmen von Cybervorfällen nutzen Cyberakteure Phishing üblicherweise, um sich erstmaligen Zugriff auf einen Computer oder ein -system zu verschaffen, indem sie im Namen einer vertrauenswürdigen Person eine schädliche Information, meist via E-Mail, an die jeweilige Zielperson senden (Spear-Phishing). Die schädliche E-Mail kann entweder einen Anhang oder einen Link enthalten, der dazu führt, dass der jeweilige Computer mit Schadsoftware infiziert wird. 

Schadsoftware (Malware) ist ein Sammelbegriff für alle Arten von schädlichen Softwareprogrammen. Das Ziel einer Schadsoftware ist es, unerwünschte, beziehungsweise schädliche Funktionen in einem Computer oder -system auszuführen. Aus technischer Perspektive kann nahezu jede Software durch Missbrauch in Schadsoftware umgewandelt werden.

Sinkholing beschreibt eine Technik um böswillige Angriffe zu neutralisieren, indem Internet-Aktivität auf einen anderen Teil eines Netzwerks oder Servers umgeleitet wird, sodass der anvisierte Teil geschützt bleibt.

Die Störung ist eine Art von Cybervorfall, das zum Ziel hat einen informationstechnischen Dienst außer Betrieb zu setzen. Eine Störung verletzt die Verfügbarkeit der Informationssicherheit. Die Störung kann eine kurzfristige oder langfristige Wirkung verursachen. Typische Beispiele für Störungen sind (verteilte) Dienstverweigerungen, Webseitenverunstaltungen oder Wiper.

Eine Vorfallstyp kategorisiert kodierte Cybervorfälle im Hinblick auf die beobachteten Auswirkungen, z.B. wenn Daten gestohlen wurden (Datendiebstahl) oder eine Website gestört wurde (Störung). Hijacking mit oder ohne Missbrauch ist eine eher technisch orientierte Substitutionskategorie, die angibt, ob die Angreifer tieferen Zugang zu den angegriffenen Netzen erlangt haben, was anspruchsvollere Angriffe ermöglicht. Darüber hinaus unterscheidet EuRepoC auch zwischen Datendiebstahl und Datendiebstahl und Doxxing. Seit 2022 kodiert Eurepoc auch den Vorfallstyp "Ransomware".

Eine Webseitenverunstaltung ist ein störender Cyberangriff und bezeichnet die unberechtigte Veränderung von Webseiteninhalten, oftmals mit DDoS kombiniert. Häufig werden zumeist keine schwerwiegenden und andauernden Schäden an den betroffenen Systemen verursacht.

Welcome to our Cyber Incident Dashboard!

For best results, please view on a desktop device.