Zeigt auf, wer innerhalb einer Organisation zuständig oder verantwortlich ist, bzw. wer konsultiert oder informiert wird

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes (englisch "ransom") wieder freigeben. Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung.

Die vorhandene Beschreibung des grundlegenden Designs, auf dem die Komponenten des Ge- schäftssystems basieren, und das dem Zyklus der Überprüfung und des Redesigns der Architektur vorausgeht.

Angriff auf ein kryptographisches Verfahren, in dem der Angreifer Verschlüsselungen und gegebenenfalls Entschlüsselungen nicht nur unter dem eigentlich verwendeten Schlüssel K, sondern außerdem unter einer Anzahl anderer dem Angreifer nicht bekannter Schlüssel abfragen darf, die mit K in einer dem Angreifer bekannten Beziehung stehen. Dieses Modell ist für den Angreifer sehr günstig. In manchen Situationen können Related-Key-Attacken dennoch praktisch relevant sein, zum Beispiel im Zusammenhang der Konstruktion einer kryptographischen Hashfunktion aus einer Blockchire.

Replay-Angriffe beschreiben allgemein Angriffe, bei denen ein Informationsaustausch zuerst aufgezeichnet wird und die gewonnenen Informationen im Anschluss daran missbräuchlich wiederverwendet werden. Anhand eines aufgezeichneten Login-Vorgangs kann ein Angreifer beispielsweise versuchen, sich selbst unberechtigt Zugang zu dem jeweiligen System zu verschaffen.

Resilienz ist die Fähigkeit eines Systems, mit Veränderungen umgehen zu können. Resilienz bedeutet Widerstandsfähigkeit gegen Störungen jeder Art, Anpassungsfähigkeit an neue Bedingungen und eine flexible Reaktion auf Veränderungen mit dem Ziel, das System – z. B. einen Betrieb oder einen Prozess – aufrecht zu erhalten.

Beliebige Betriebsmittel des Unternehmens, die geeignet sind, die Organisation bei der Erreichung ihrer Ziele zu unterstützen.

Die Ressource Public Key Infrastructure ist eine Zertifikatsinfrastruktur, die speziell der Absicherung des Internetroutings dient.

Eine der Governance-Zielvorgaben. Geht mit der effektiven, effizienten und verantwortungsvollen Nutzung sämtlicher Ressourcen einher, z. B. personeller und finanzieller Ressourcen, Ausrüstung, Einrichtungen usw.

Mittels Reverse Engineering wird versucht, die Funktionsweise einer kompilierten Software zu analysieren, ohne dabei auf den Quelltext oder die Spezifikation der Software zugreifen zu müssen. Als Vorbereitung eines Cyber-Angriffs können z. B. Sicherheits-Updates mittels Reverse Engineering untersucht werden, um Erkenntnisse über Sicherheitslücken zu sammeln, die durch das Update geschlossen werden. Mittels dieser Informationen kann ein Angreifer Rückschlüsse ziehen, wie man diese Schwachstelle auf Systemen ausnutzen kann, die das Update nicht installiert haben.

Revision ist die systematische Überprüfung der Eignung und Einhaltung vorgegebener (Sicherheits-)Richtlinien. Die Revision sollte unabhängig und neutral sein.

Formelle Erklärung des Managements in Bezug auf die allgemeine Absicht und Ausrichtung.

Risiko wird häufig definiert als die Kombination (also dem Produkt) aus der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens. Der Schaden wird häufig als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt. Risiko ist eine spezielle Form der Unsicherheit oder besser Unwägbarkeit.
In der ISO wird Risiko auch als das Ergebnis von Unwägbarkeiten auf Zielobjekte definiert. In diesem Sinne wird daher auch von Konsequenzen statt von Schaden gesprochen, wenn Ereignisse anders eintreten als erwartet. Hierbei kann eine Konsequenz negativ (Schaden) oder positiv (Chance) sein. Die obige Definition hat sich allerdings als gängiger in der Praxis durchgesetzt.
Im Unterschied zu "Gefährdung" umfasst der Begriff "Risiko" bereits eine Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist.

Als Risikoanalyse wird der komplette Prozess bezeichnet, um Risiken zu beurteilen (identifizieren, einschätzen und bewerten) sowie zu behandeln. Risikoanalyse bezeichnet nach den einschlägigen ISO-Normen ISO 31000 und ISO 27005 nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht:
-Identifikation von Risiken (Risk Identification)
- Analyse von Risiken (Risk Analysis)
- Evaluation oder Bewertung von Risiken (Risk Evaluation)
Im deutschen Sprachgebrauch hat sich allerdings der Begriff Risikoanalyse für den kompletten Prozess der Risikobeurteilung und Risikobehandlung etabliert. Daher wird auch in diesem Dokument weiter der Begriff Risikoanalyse für den umfassenden Prozess benutzt.

Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken bewertet und mit ihnen umgeht.

Die vollständige Erfüllung der im IT-Grundschutz geforderten Basis- und Standard-Anforderungen und gegebenenfalls die Anforderungen bei erhöhtem Schutzbedarf ist ein hoher Anspruch an jede Institution. In der Praxis lassen sich nicht alle Anforderungen erfüllen, sei es, dass Umstände vorliegen, die eine Erfüllung nicht sinnvoll erscheinen lassen (Neubeschaffung von Informationstechnik, Umzugspläne oder Ähnliches) oder dass eine Anforderung aus organisatorischen oder technischen Rahmenbedingungen nicht möglich ist (IT-System oder Anwendung werden nicht eingesetzt oder Ähnliches). Bestehende Defizite bei der Umsetzung von Sicherheitsmaßnahmen, die aus den Sicherheitsanforderungen resultieren und die damit verbundenen Risiken müssen in Form eines Managementberichtes dokumentiert werden, einschließlich einer Umsetzungsplanung für die weitere Behandlung der bestehenden Risiken. Der Risikobehandlungsplan sollte eine Beschreibung der geplanten Ressourcen und zeitliche Vorgaben enthalten. Er wird durch Unterschrift der Institutionsleitung genehmigt.
Die einzelnen Anforderungen aus dem Risikobehandlungsplan sollten mindestens einmal pro Jahr überprüft werden. Eine dauerhafte und unbefristete Übernahme von Risiken durch die Institutionsleitung muss vermieden werden, da sich im Bereich der Informationssicherheit die Risiken in kurzer Zeit verändern können. Eine unbefristete Übernahme von Risiken birgt die Gefahr, dass diese Risiken nur zu einem Stichtag geprüft und bewertet werden und eine erneute Betrachtung ausgeschlossen bleibt.

Als Risikomanagement werden alle Aktivitäten mit Bezug auf die strategische und operative Behandlung von Risiken bezeichnet, also alle Tätigkeiten, um Risiken für eine Institution zu identifizieren, zu steuern und zu kontrollieren.
Das strategische Risikomanagement beschreibt die wesentlichen Rahmenbedingungen, wie die Behandlung von Risiken innerhalb einer Institution, die Kultur zum Umgang mit Risiken und die Methodik ausgestaltet sind. Diese Grundsätze für die Behandlung von Risiken innerhalb eines ISMS müssen mit den Rahmenbedingungen des organisationsweiten Risikomanagements übereinstimmen bzw. aufeinander abgestimmt sein.
Die Rahmenbedingungen des operativen Risikomanagements umfassen den Regelprozess aus

• Identifikation von Risiken,
• Einschätzung und Bewertung von Risiken,
• Behandlung von Risiken,
• Überwachung von Risiken und
• Risikokommunikation.

Die Root Zone ist die oberste Zone des hierarchisch aufgebauten Domain Name Systems (DNS):
. Root Zone
.de Top-Level Domain "de"
.bund.de Domain der Bundesverwaltung

Ein Rootkit ist ein Schadprogramm, das manipulierte Versionen von Systemprogrammen enthält. Unter Unix sind dies typischerweise Programme wie login, ps, who, netstat, etc. Die manipulierten Systemprogramme sollen es einem Angreifer ermöglichen, zu verbergen, dass er sich erfolgreich einen Zugriff mit Administratorenrechten verschafft hat, so dass er diesen Zugang später erneut benutzen kann.

Ein Gerät, das zwei Netzwerke verbindet und den Zugang zu einem WAN (und zum Internet über ein Modem) für die lokalen Benutzervorrichtungen im privaten Netzwerk über ein LAN und/oder WiFi ermöglicht (dies gilt für integrierte Geräte d.h. solche, die verschiedene Komponenten wie Modem, Switch und Access Point in einer einzigen physikalischen Einheit kapseln).

Der nach seinen Erfindern (Rivest, Shamir und Adleman) benannte RSA-Algorithmus [RSA78] ist ein asymmetrischer Kryptoalgorithmus, der zur Verschlüsselung und zur Realisierung digitaler Signaturen verwendet werden kann. Die Sicherheit dieses Verfahrens basiert auf der kryptographischen Annahme, dass das Faktorisierungsproblem für große Zahlen nicht effizient gelöst werden kann.

Ein Rechenzentrum ist unbestritten eine IT-Struktur, die einerseits ganz speziellen Gefahren ausgesetzt ist und andererseits auch sehr hohen Anforderungen genügen muss. Es ist daher unerlässlich, Rechenzentren einer individuellen Sicherheitsbetrachtung zu unterziehen.