Glossar (Security)

Sicherheitsparadigma, das davon ausgeht, dass ein Angreifer bereits in das System eingedrungen sein könnte. Konsequenz: Investitionen in Detection und Response, nicht nur in Prävention. Verwandt mit: SP-7 – Assume Breach.

Notfallzugriffsverfahren für hochprivilegierte Aktionen, die im normalen Betrieb nicht erlaubt sind (z.B. Root-Account-Zugriff). Break-Glass-Zugriffe sind zeitlich begrenzt, vollständig geloggt, erfordern eine zweite Person und lösen automatisch einen Post-Incident-Review aus. Verwandt: Sovereign – Break-Glass BP.

„Cloud Computing Compliance Criteria Catalogue" des Deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI). Definiert Anforderungen für sichere Cloud-Dienste. Wird für den deutschen Behördenmarkt und KRITIS-Betreiber relevant. WAF-SEC Controls sind auf BSI C5 gemappt.

Vom Kunden verwalteter Verschlüsselungsschlüssel in AWS KMS (oder Azure Key Vault, GCP Cloud KMS). Im Gegensatz zu AWS Managed Keys kontrolliert der Kunde bei CMK: Schlüssel-Rotation, Schlüssel-Policy (wer darf nutzen?), Schlüssel-Löschung. Für PII, Finanzdaten und Gesundheitsdaten empfiehlt WAF++ zwingend CMK. Verwandt: WAF-SEC-030.

Tool-Kategorie für die kontinuierliche Bewertung der Security-Konfiguration von Cloud-Ressourcen. Beispiele: AWS Security Hub, Prisma Cloud, Wiz, Lacework. CSPM-Tools scannen Konfigurationen auf Abweichungen von Best Practices und erzeugen priorisierte Findings.

Öffentlich bekannte Sicherheitsschwachstellen in Software, identifiziert durch eine eindeutige CVE-ID (z.B. CVE-2021-44228 für Log4Shell). CVEs werden vom National Vulnerability Database (NVD) mit einem CVSS-Score bewertet.

Standardisiertes System zur Bewertung der Schwere von Sicherheitsschwachstellen auf einer Skala von 0 bis 10. WAF++ definiert Patch-SLAs basierend auf CVSS-Scores: Critical (9.0-10.0): < 24 Stunden; High (7.0-8.9): < 7 Tage; Medium (4.0-6.9): < 30 Tage.

Sicherheitskonzept, das mehrere unabhängige Schutzmechanismen übereinanderlegt. Wenn ein Layer versagt (z.B. eine Firewall), schützen weitere Schichten (Verschlüsselung, IAM, Monitoring). Verwandt: SP-3 – Defense in Depth.

Credentials, die dynamisch generiert und nach einer kurzen Nutzungsperiode automatisch widerrufen werden. HashiCorp Vault kann z.B. temporäre Datenbankpasswörter erzeugen, die nach 1 Stunde automatisch ungültig sind. Eliminiert das Risiko von langlebigen, stehenden Credentials.

System zur Verwaltung von Identitäten und deren Zugriffsberechtigungen auf Cloud-Ressourcen. Umfasst: User, Groups, Roles, Policies, Permissions. In AWS: AWS Identity and Access Management. Verwandt: WAF-SEC-010, WAF-SEC-020.

Architekturprinzip: Infrastrukturkomponenten werden nicht modifiziert, sondern durch neue Versionen ersetzt. Vorteile: Kein Config Drift, forensisch auswertbar, kein SSH-Zugriff notwendig. Verwandt: SP-6 – Immutability.

AWS-Mechanismus, der Kubernetes-Pods in EKS erlaubt, temporäre AWS-Credentials via IAM-Rollen zu beziehen, ohne statische Access Keys. Funktioniert über OIDC-Token-Austausch. Alternative zu Instance Profiles für Container-Workloads.

Zugriffsmodell, bei dem erhöhte Berechtigungen nur für den Zeitraum einer konkreten Aufgabe gewährt werden, nicht dauerhaft vorhanden sind. Nach Ablauf des Zeitraums werden die Berechtigungen automatisch widerrufen. Verwandt: Pattern 2 – JIT Privileged Access.

Verwalteter Schlüsselmanagedienst in Cloud-Umgebungen (AWS KMS, Azure Key Vault, GCP Cloud KMS). Ermöglicht die Erstellung, Verwaltung und Verwendung von Verschlüsselungsschlüsseln (CMK). Alle KMS-Operationen werden in CloudTrail geloggt.

Sicherheitsprinzip: Jede Identität erhält nur die minimalen Berechtigungen, die für ihre konkrete Aufgabe notwendig sind. Reduziert den Blast Radius bei Kompromittierung. Verwandt: SP-2 – Least Privilege, WAF-SEC-020.

Authentifizierungsverfahren, das mindestens zwei unabhängige Faktoren erfordert: „Wissen" (Passwort), „Besitz" (TOTP-App, Hardware-Token) oder „Biometrie" (Fingerabdruck). WAF++ erzwingt MFA für alle IAM-User mit Konsolen-Zugriff. Verwandt: WAF-SEC-010.

Gegenseitige TLS-Authentifizierung: Nicht nur der Server, sondern auch der Client präsentiert ein Zertifikat. Ermöglicht Zero-Trust-Service-to-Service-Kommunikation, da jeder Service seine Identität kryptographisch nachweist.

Open-Source-Policy-Engine, die Policy-as-Code ermöglicht. OPA-Policies werden in der Sprache Rego geschrieben und können in CI/CD-Pipelines, API-Gateways und Kubernetes-Admission-Controllern eingesetzt werden. Verwandt: WAF-SEC-090.

System zur Ausstellung, Verwaltung und Widerruf von digitalen Zertifikaten. In Cloud-Umgebungen relevant für TLS-Zertifikate (ACM, Let’s Encrypt), Client-Zertifikate (mTLS) und Code-Signing.

Ansatz, Sicherheits- und Compliance-Policies als maschinenlesbaren Code zu definieren, der automatisch geprüft werden kann. Verwandt: WAF-SEC-090, Pattern 6 – Policy-as-Code Gateway.

Zugriffskontrollmodell, bei dem Berechtigungen nicht direkt Nutzern zugewiesen werden, sondern Rollen, die Nutzer annehmen. Ermöglicht zentrale Berechtigungsverwaltung und einfachere Access Reviews. In AWS über IAM Roles implementiert.

Maschinenlesbare Liste aller Softwarekomponenten in einem Software-Artefakt (Container-Image, Bibliothek, Anwendung). Ermöglicht die Identifikation bekannter CVEs in allen abhängigen Paketen. Standardformate: SPDX, CycloneDX.

Regelmäßiger automatischer Austausch von Credentials und API-Keys, um das Risiko kompromittierter langlebiger Credentials zu minimieren. AWS Secrets Manager unterstützt automatische Rotation für RDS-Passwörter und andere Secrets via Lambda-Funktionen.

Sicherheitsprinzip, das Security-Anforderungen in der Entwurfsphase berücksichtigt statt nachträglich. Verwandt: SP-1 – Security by Design.

HashiCorp Sentinels Policy-as-Code-Framework für Terraform Cloud/Enterprise. Ermöglicht Policies, die Terraform-Runs vor dem Apply stoppen können (Hard Mandatory Policies). Alternative zu OPA für Terraform-spezifische Governance.

Verlagung von Security-Prüfungen an frühere Stellen im Entwicklungsprozess (von rechts nach links im SDLC-Diagramm). Pre-Commit-Hooks, CI-Gates und Entwickler-Schulungen sind Shift-Left-Maßnahmen. Verwandt: SP-5 – Shift Left.

Plattform für die Aggregation, Korrelation und Analyse von Security-Events aus verschiedenen Quellen. Ermöglicht die Erkennung komplexer Angriffsmuster, die aus einzelnen Events nicht erkennbar sind. Beispiele: Splunk, Elastic SIEM, Microsoft Sentinel, Datadog Security.

Framework des Open Source Security Foundation (OSSF) zur Sicherung der Software-Supply-Chain. Definiert vier Reifegradstufen (SLSA 1-4) mit zunehmenden Anforderungen an Build-Prozess, Herkunftsnachweis und Manipulationsschutz.

Organisationseinheit oder Funktion, die Security-Monitoring, Incident Detection und Response betreibt. Ein SOC ist 24/7 besetzt und nutzt SIEM, Threat Intelligence und automatisierte Playbooks für die Security-Überwachung.

Strukturierter Prozess zur Identifikation von Bedrohungen für ein System. Gängige Methoden: STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), PASTA, LINDDUN. Ergebnis: Bedrohungsliste mit priorisierten Gegemaßnahmen.

Kryptographisches Protokoll zur sicheren Übertragung von Daten über Netzwerke. WAF++ fordert TLS 1.2 als Minimum, TLS 1.3 als Ziel. Veraltete Protokolle (SSL, TLS 1.0, TLS 1.1) sind verboten. Verwandt: WAF-SEC-040.

Sicherheitsarchitektur, die kein implizites Vertrauen auf Basis des Netzwerkstandorts gewährt. Jede Anfrage wird explizit authentifiziert und autorisiert. Kernprinzip: „Never trust, always verify". Verwandt: SP-4 – Zero Trust, BP Zero Trust Architecture.