Lexikon der Informationssicherheit

Sachziele: siehe hier.

Schlüssel (Key): In der Kryptographie Bezeichnung für eine Information zur Steuerung eines Verschlüsselungsverfahrens. Unterscheidung nach der grundsätzlichen Funktion in Konzelationsschlüssel und Signaturschlüssel.

Schlüsselhinterlegung (Key Escrowing): Die Speicherung eines benutzen Konzelationsschlüssels bzw. einer Kopie dessen oder von Teilen des Schlüssels außerhalb des eigentlichen Verschlüsselungsprozesses, also beispielsweise auf einem Server oder zusammen mit den verschlüsselten Daten.

Schlüsselmanagement (Key Management): Die Verwaltung von Schlüsseln; vor allem in komplexen Systemen erforderlich.

Schlüsselverteilung (Key Distribution): Manuelle oder automatisierte Verteilung von Schlüsseln an Kommunikationspartner, die verschlüsselte Informationen austauschen; erfolgt meist durch eine zentrale Instanz (Key Distribution Center).

Schutzbedarf (Need of Protection): Benötigter Grad an Schutz bei Anwesenheit bestimmter Bedrohungen und in Abhängigkeit der zu schützenden Werte. Feststellung des Bedarfs z. B. durch eine Risikoanalyse möglich.

Schutzklassen: Klassifizierung von Schutzbedarf. Bei einem Schutzklassen-Konzept die Hierarchie der Einstufungen und Ermächtigungen.

Schutzklassen-Konzept: Eine Form der globalen Zugriffskontrolle. Die Zugriffsrechte werden anhand der Einstufung von Objekten und der Ermächtigung von Subjekten vergeben.

Schwachstelle (Vulnerability): Eine Schwäche eines System oder ein Punkt, an dem ein System anfällig für eine Umgehung, Täuschung oder Modifikation der Sicherheitsfunktionen ist. Siehe auch hier.

Secret Key: (engl.) Geheimer Schlüssel.

Separation: siehe Abgrenzung.

Sicherheit (Security): Abwesenheit oder ausreichende Minderung von Risiken oder Gefahren.

Sicherheitsfunktion (Security Function): Funktion eines informationsverarbeitenden Systems, die einer Bedrohung entgegenwirkt.

Sicherheitskriterien (Security Criteria): Sammelbegriff für Kriterien im Kontext der Informationssicherheit, die in unterschiedlicher Ausprägung Vorgaben für die Entwicklung, Evaluierung und Anwendung von Systemen und Produkten machen.

Sicherheitsmodell (Security Model): Formulierung bestimmter Regeln für die Zugriffskontrolle oder allgemein einer umfassenden Sicherheitspolitik.

Sicherheitspolitik (Security Policy): Nach der Definition des Orange Books: Eine Sammlung von Gesetzen, Regeln und Praktiken, welche regeln, wie eine Organisation sensitive Informationen verwaltet, schützt und verteilt. Siehe Literaturverzeichnis.

Sicherheitsstufe Ein Maß für die Sicherheit bzw. die Vertrauenswürdigkeit eines Produkts oder Systems. Im Orange Book beispielsweise implizit in den Klassen C1-A1 enthalten.

Sicherheitsvorgaben (Security Requirements): Beschreibung der Anforderungen an ein Produkt oder ein System in Bezug auf die Sicherheit.

Signaturschlüssel (Signature Key): Bezeichnung für den privaten Schlüssel eines asymmetrischen Verschlüsselungsverfahrens, der dazu dient, eine Nachricht digital zu signieren. Vgl. Konzelationsschlüssel.

Sitzungsschlüssel (Session Key): Bezeichnung für Konzelationsschlüssel, die nur ein Mal (während einer Sitzung) zur Verschlüsselung verwendet werden. Sitzungsschlüssel kommen beispielsweise bei hybriden Verschlüsselungsverfahren zum Einsatz.

Spezifikation (Specification): Beschreibung der Anforderungen.

Spoofing: (engl. "Spoof" = "Parodie") Spezielle Form der Maskerade. Täuschung eines Subjekts (z. B. eines Benutzers) oder einer System-Instanz durch einen Angreifer, welche eine Verletzung der Systemsicherheit oder die Herausgabe von Informationen an den Angreifer zur Folge hat.

Stärke eines kryptographischen Systems (Strength): Die Fähigkeit eines kryptographischen Systems, einem Angriff zu widerstehen. Die "Gesamtstärke" eines kryptographischen Systems mißt sich an dem minimalen Aufwand, der benötigt wird, um es mit irgendeinem der möglichen Angriffe zu brechen.

Steganographie (Steganography): (griech. etwa "verborgenes Schreiben") Die Wissenschaft vom Verstecken von Informationen. Im Gegensatz zur Kryptographie, bei der es einem Angreifer "erlaubt" ist, eine verschlüsselte Nachricht zu erkennen und abzufangen (ohne diese jedoch entschlüsseln zu können), ist das Ziel der Steganographie das Verstecken von geheimen Nachrichten in "öffentlichen" Nachrichten derart, daß ein potentieller Angreifer nicht einmal erkennen kann, daß die öffentliche Nachricht eine weitere Nachricht enthält (Anwendung z. B. für "digitale Wasserzeichen" in Bilddateien zur Urheberkennzeichnung).

Subjekt: Handelnde Instanz in einem informationsverarbeitenden System, welche einen Informationsfluß zwischen Objekten auslöst oder den Systemstatus verändert. Aus der Definition des Orange Books: "An active entity, generally in the form of a person, process, or device that causes information to flow among objects or changes the system state."

Symmetrische Verschlüsselung (Symmetric Encryption, Single-Key Encryption): Ein Verschlüsselungsverfahren, welches einen einzelnen Schlüssel zur Verschlüsselung und Entschlüsselung von Informationen benutzt. Der Schlüssel muß daher geheimgehalten werden (Geheimer Schlüssel, Secret Key). Gegensatz zur asymmetrischen Verschlüsselung.

Systemintegrität (System Integrity): siehe Integrität.