Keeper IAM-Glossar

Dabei handelt es sich um eine Liste mit Berechtigungen, in der festgelegt ist, welchen Benutzern oder Systemen der Zugriff auf ein bestimmtes Systemelement gewährt oder verweigert wird und welche Aktionen sie in diesen Systemelementen ausführen können.

Es ist der Prozess, mit dem IT-Administratoren Zugriffsberechtigungen für Benutzer auf bestimmte Systeme und Daten gewähren oder einschränken. Normalerweise wird das durch die Einrichtung von Gruppen für Jobrollen, Abteilungen und/oder Projektteams realisiert, denen dann entsprechend Benutzer zugeteilt werden. Wird häufig zusammen mit Identitätsverwaltungsmöglichkeiten genutzt.

Active Directory (AD) ist ein Verzeichnisdienst, das von Microsoft für Windows-Domainnetzwerke entwickelt wurde. Ursprünglich wurde AD nur für die zentralisierte Domainverwaltung genutzt, aber es hat sich zu einem Überbegriff für vielfältige verzeichnisbasierte Identitätsdienste entwickelt. Damit können Organisationen mehrere Infrastrukturkomponenten und Systeme an einem Ort mit einer einzigen Identität pro Benutzer verwalten. AD sollte nicht mit Azure Active Directory verwechselt werden, wobei es sich nur um ein Werkzeug handelt, das im Zusammenspiel mit AD verwendet wird.

Da das Active Directory einer Organisation sämtliche Systemzugriffsberechtigungen verwaltet, ist effektive AD-Sicherheit unerlässlich zur Sicherung der gesamten Datenumgebung.

Ein ergänzendes Werkzeug für Active Directory (AD), um vor Ort genutzte Identitäten auch in Cloud-Anwendungen zu übertragen. Funktioniert ähnlich wie SSO-Lösungen für Webanwendungen, wird aber vor Ort anstatt in der Cloud genutzt. Wie Azure AD ist auch AD-Verbunddienste kein Ersatz für Active Directory, sondern nur ein ergänzendes Werkzeug.

Wird auch als adaptive Authentifizierung oder risikobasierte Authentifizierung bezeichnet. Die Methode passt Zugangsparameter dynamisch entsprechend des Risikos eines bestimmten Zugriffsversuchs an. Versucht sich beispielsweise ein Benutzer von einem Gerät aus anzumelden, das dieser regelmäßig verwendet, dann ist zur Anmeldung nur ein Passwort nötig. Versucht sich dieser aber von einem neuen, unbekannten Gerät oder einem neuen Internetbrowser anzumelden, dann kann die Abfrage von Sicherheitsfragen oder die Eingabe von Einmal-Anmeldungscodes verlangt werden.

Das ist ein Set von Definitionen und Protokollen, durch die verschiedene Softwareanwendungen miteinander kommunizieren können. Zum Beispiel nutzen Wetter-Apps die bereitgestellten API von offiziellen Meteorologiediensten zur Anzeige von Wetterdaten. Die meisten modernen Webseiten und Anwendungen nutzen durchschnittlich drei Drittanbieter-API.

Es gibt vier API-Arten:

Öffentlich zugängliche API können von allen genutzt werden, wobei bestimmte API die vorherige Autorisierung und/oder Entrichtung von Gebühren erfordern.

Private API sind genau das: privat. Das können unternehmensinterne API sein, die nur innerhalb eines Unternehmens verwendet werden.

Partner-API ähneln privaten API. Sie können nur von autorisierten externen Unternehmenspartnern verwendet werden, um die Nutzung von Anwendungen und Transaktionen zwischen den Unternehmen zu ermöglichen.

Kombinierte API sind eine Kombination aus zwei oder mehr API-Arten.

Das ist ein einzigartiger Datenschlüssel, mit dem Benutzer, Entwickler oder Anwendungen bei einer API authentifiziert werden. Er enthält typischerweise die Zugriffsberechtigungen für die API.

Sie stellt sicher, dass Benutzer die sind, für die sie sich ausgeben. Siehe Identitätsverwaltung.

Sie stellt sicher, dass die Berechtigung für den Zugriff auf bestimmte Systeme und Daten besitzt. Siehe Zugriffsverwaltung.

Damit sind Programme und Methoden gemeint, um in einer IT-Umgebung sicher auf Infrastrukturgeheimnisse zuzugreifen, diese zu speichern und zu verwalten. Solche Daten sind API-Schlüssel, digitale Zertifikate oder Zugangsdaten für privilegierte Konten. Auch bekannt als Anwendung-zu-Anwendung-Passwortverwaltung (AAPM).

Eine Identität-als-Dienstleistung-Lösung (Identity as a Service, IDaaS) für Organisationen, die sie für alle ihre Anwendungen über sämtliche Datenumgebungen hinweg sowohl in der Cloud als auch vor Ort einsetzen können. Azure Active Directory (Azure AD) ist kein Ersatz für Active Directory. Es ist ein Werkzeug, das zusammen mit AD verwendet wird.

Das sind einzigartige physische Merkmale einer Person wie Fingerabdrücke, Irisscans oder Gesichtsscans. Sie werden zur Authentifizierung der Benutzer und zur Zugriffsverwaltung verwendet.

Das ist ein automatisierter Angriff, bei dem Angreifer ein Script nutzen, um große Mengen von Passwörtern und Anmeldedaten zu übermitteln und so systematisch sämtliche mögliche Kombinationen auszuprobieren, bis eine richtige Anmeldedatenkombination gefunden wird.

Mit Prozessautomatisierung in Unternehmen meint man Software, die sich wiederholende oder manuelle Aufgaben automatisiert, um die Unternehmenseffizienz zu erhöhen. Beispiele für eine solche Prozessautomatisierung sind automatisierte Antworten auf Kundenaktionen wie Bestellbestätigungen oder eigenständige Passwortrücksetzungen durch Kunden.

Damit ist ein veraltetes IAM-Rahmenwerk gemeint, bei dem alle Benutzer innerhalb eines spezifischen Netzwerkperimeters bedingungslos vertraut wird, externen Benutzern aber gar nicht. Cloud-Computing, immer mehr mobile Datennutzung und weit verbreitete Fernzugriffsnutzung führten dazu, dass das "Burg und Burggraben"-Sicherheitsmodell mit dem Zero-Trust-Sicherheitsmodell ersetzt wurde.

Das ist eine Schlüsselkomponente der FIDO2-Spezifikationen. Das Client-to-Authenticator-Protokoll (CTAP) ermöglicht es einer externen Authenticatoranwendung (z. B. einem Smartphone oder physischen Sicherheitsschlüssel), mit einem Browser zu funktionieren, der WebAuthn unterstützt, damit er als sicherer Authentifizierer für Webdienste und Desktop-Anwendungen fungieren kann.

Auch als Cloud-Sicherheit bekannt. Das ist ein Überbegriff für Richtlinien, Prozeduren, Kontrollen und Werkzeugen zum Schutz von Daten, Anwendungen und Diensten, die in der Cloud gespeichert und genutzt werden. Der Begriff umfasst auch die dazugehörige Cloud-Infrastruktur.

Typischerweise operieren öffentliche Cloud-Dienste unter dem Geteilte-Verantwortung-Modell, bei dem die Cloud-Anbieter verantwortlich sind *für* die Sicherheit der Cloud, und Organisationen, die Dienste darin kaufen, für die Sicherheit *in* der Cloud verantwortlich sind. Der Cloud-Anbieter sorgt für die Sicherheit der Cloud-Infrastruktur, also physische Datenzentren und alle Server und Ausrüstung darin. Organisationen, die die Cloud nutzen, sorgen dafür, dass ihre Daten und Arbeitsabläufe in der Cloud sicher sind.

Ein cloud-basierter Dienst, der IAM-Lösungen für andere cloud-basierte Dienste anbietet.

Damit ist ein Prozess gemeint, bei dem ein System das Benutzerverhalten während einer Sitzung überwacht und zu erwarteten Verhaltensmustern vergleicht. Es wird dabei nach Anomalien gesucht. Sollte unerwartetes Verhalten festgestellt werden, dann muss sich der Benutzer erneut authentifizieren.

Damit ist ein Angriff gemeint, der die Tatsache ausnutzt, dass viele Benutzer dieselben Zugangsdaten für mehrere Konten nutzen. Haben Angreifer einmal gültige Zugangsdaten von einer Webseite erlangt, setzen sie sie in einem Credential-Stuffing-Angriff auf so vielen anderen Seiten wie möglich ein.

Das ist ein Prozess, mit dem Organisationen Kundenidentitäten und deren Zugriffsberechtigungen verwalten. Es ist eine Unterkategorie der IAM und bezieht sich speziell auf Kunden und nicht auf organisationsinterne Benutzer oder Geschäftspartner.

Tiefenverteidigung (Defense-in-Depth, DiD) ist ein vielschichtiger Cybersicherheitsansatz, bei dem sich jede Sicherheitsebene auf einen anderen Sicherheitstyp konzentriert. So soll eine umfassende und robuste Verteidigung gegen Cybergefahren aufgebaut werden. Der Gedanke dahinter ist, dass beim Versagen einer Sicherheitsebene die nächste Ebene das Vorankommen von Angreifern blockiert. Zu den am häufigsten eingesetzten Elementen in einer DiD-Strategie zählen Antiviren-Software, Netzwerksicherheitswerkzeuge und -kontrollen, IAM-Lösungen und Lösungen zur Verhinderung von Datenverlust.

Damit wird der Prozess beschrieben, durch den Zugriffsberechtigungen von Benutzern für ganze Systeme oder individuelle Anwendungen entzogen werden. Verlässt ein Mitarbeitender zum Beispiel das Unternehmen, werden dessen gesamte Zugriffsberechtigungen entfernt. Wechselt ein Mitarbeitender nur von einem Unternehmensstandort oder zu einem anderen oder von einer Abteilung zu einer anderen, dann werden nur die Zugriffsberechtigungen am alten Standort oder der alten Abteilung entfernt.

DevOps-Sicherheit (auch DevSecOps genannt) ist ein Anwendungssicherheitsansatz, bei dem die Sicherheitsbelange im Softwareentwicklungszyklus so früh wie möglich angegangen werden sollen. Ziel davon ist es, sicherere Anwendungen zu entwickeln. Zudem bricht DevSecOps ähnlich wie bei DevOps organisatorische Abteilungstrennungen auf, um die Kommunikation und Zusammenarbeit zwischen Entwicklungs-, Betriebs- und Sicherheitsteams im ganzen Entwicklungszyklus zu verbessern.

Die Endpunkt-Bedrohungserkennung und -Isolierung (Endpoint Detection and Response, EDR) ist eine Lösung für integrierte Endpunktsicherheit, die die kontinuierliche Echtzeitüberwachung und Endpunktdatensammlung mit regelbasierten automatisierten Analysen und Reaktionen auf Vorkommnisse verbindet. Eine EDR-Lösung überwacht alle Endpunktaktivitäten, analysiert sie auf Bedrohungsszenarien, reagiert automatisch mit der Entfernung oder Eindämmung erkannter Bedrohungen und benachrichtigt das Sicherheitspersonal. Ziel von EDR-Systemen ist die Identifizierung von Bedrohungen in Echtzeit, sofern möglich deren automatisierte Behebung oder Eindämmung und die Ermöglichung einer schnellen Reaktion durch menschliche Fachkräfte.

Die Endpunkt-Privilegienverwaltung verbindet die Kontrolle über Anwendungen mit dem Least-Privilege-Zugriffsprinzip, um sicherzustellen, dass Benutzer nur vertrauenswürdige Anwendungen mit den geringstmöglichen Zugriffsprivilegien verwenden können.

In der Vergangenheit war der Netzwerkzugriff in einer Organisation grob in zwei Kategorien aufgeteilt: Standardbenutzer und Administratoren. Das war absolut unzureichend, um sich gegen die auf Zugangsdatenmissbrauch basierenden Cyberangriffe in der heutigen hochkomplexen, verteilten Datenumgebungslandschaft zu verteidigen. Mit der Endpunkt-Privilegienverwaltung werden Benutzerzugriffsberechtigungen gesteuert, damit administrative Privilegien nur der absolut notwendigen Zahl von Benutzern gegeben wird. Neben dem Schutz vor Bedrohungen von innerhalb der Organisation beschränkt diese Privilegienverwaltung auch die Möglichkeit externer Angreifer, sich horizontal in einem Netzwerk zu bewegen, sollten sie doch mal gültige Zugangsdaten erlangen.

Eine Endpunkt-Sicherheitsplattform ist eine integrierte Lösung, die Bedrohungsaktivitäten auf Endpunktgeräten erkennt und vor nicht autorisiertem Zugriff, Phishing und dateibasierten Schadsoftwareangriffen schützt. Moderne Endpunkt-Sicherheitsplattformen sind üblicherweise cloudbasiert und einige bieten auch persönliche Firewalls, Schutz von Daten vor Datenverlust, Gerätekontrolle und die Integration mit Verwaltungslösungen für Schwachstellen, Aktualisierungen und Konfiguration.

Ein Enterprise-Passwortmanager (EPM) ist eine Passwortverwaltungsplattform, die speziell auf die Anforderungen für den Einsatz in Unternehmen zugeschnitten ist. Eine EPM ist ein grundlegender Baustein in den Sicherheitsvorkehrungen und IAM-Verfahren einer Organisation.

EPM bieten dieselben Funktionen wie Passwortmanager für den Privatgebrauch, darunter automatische Erstellung sicherer Passwörter und Bereitstellung eines sicheren, digitalen Datentresors, in dem die Benutzer ihre Passwörter speichern und von mehreren Geräten aus darauf zugreifen können. EPM bieten darüber hinaus aber zahlreiche weitere Funktionen speziell für Unternehmen. Dazu zählen ein Administrationsmenü, mit dem IT- und Sicherheitspersonal Benutzerkonten bereitstellen oder entfernen können; die Überwachung und Regulierung von Passwörtern in der gesamten Organisation; Einrichtung von rollenbasierter Zugriffssteuerung (role-based access controlls, RBAC) und Zugriff nach dem Least-Privilege-Prinzip; Erstellung von Überprüfungsberichten; und die Verwaltung von Passwörtern, die durch mehrere Personen verwendet werden.

Einige EPM bieten zudem Funktionen speziell für Unternehmen, die andere Unternehmen betreuen (Managed Service Providers) (hierzu zählt KeeperMSP) oder für Regierungsbehörden der USA (hierzu zählt Keeper Security Government Cloud oder KSGC).

Die Verbundsidentitätsverwaltung (Federated Identity Management, FIM) ist eine Authentifizierungsmethode, mit der mehrere Softwaresysteme Identitätsdaten über ein übergreifendes zentralisiertes System verwalten. So können Benutzer mehrere Anwendungen und Systeme mit nur einem Zugangsdatenset nutzen. FIM wird zwar häufig synonym für SSO (Single-Sign-On) verwendet, aber anders als SSO, das Zugriffe nur für eine Domain ermöglicht, erlaubt FIM den Zugriff auf Systeme und Anwendungen über mehrere Domains hinweg (auch als Verbundsorganisationen bekannt).

Organisationen nutzen häufig SSO und FIM gleichzeitig.

Das ist eine offene Industrieallianz, die es sich zum Ziel gesetzt hat, die zu große Abhängigkeit der Welt von Passwörtern mit neuen Authentifizierungsstandards zu reduzieren.

Das ist eine gemeinsame Anstrengung der FIDO-Allianz und des World Wide Web Consortium (W3C), die zum Ziel hat, Benutzern die Verwendung üblicher Geräte wie Smartphones oder physischer Sicherheitsschlüssel für die Authentifizierung bei Onlinediensten auf dem Desktop und mobilen Umgebungen zu ermöglichen. FIDO2 basiert stark auf dem U2F-Authentifizierungsstandard und umfasst die WebAuthn-Standards und das FIDO Client-to-Authenticator-Protokoll (CTAP).

Die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist ein Überbegriff für Richtlinien, Prozeduren, Kontrollen und technologische Werkzeuge, mit denen Organisationen die digitalen Identitäten von Benutzern verwalten und Zugriffsberechtigungen auf Organisationsnetzwerke, Anwendungen und Daten regulieren können. IAM ist ein grundlegender Baustein von Cyber-Tiefenverteidigung (DiD).

Die Verwaltung privilegierter Zugriffsberechtigungen (PAM), Verwaltung privilegierter Sitzungen (Privileged Session Management, PSM), Identitätsregulierung und -bereitstellung (Identity Governance and Administration, IGA) und Kundenidentitäts- und Zugriffsberechtigungsverwaltung (Customer Identity and Access Management, CIAM) sind Unterkategorien im IAM-Themenkomplex.

Identität als Dienstleistung (Identity as a Service, IDaaS) ist eine cloudbasierte Authentifizierungslösung. Einige Organisationen bezeichnet das auch als SaaS-ermöglichte IAM (Gartner) oder IAM-als-Dienst (IAM-as-a-Service, IaaS). IDaaS ist ein Überbegriff für eine große Vielfalt an SaaS-Lösungen für IAM, darunter SSO-Plattformen, Passwortmanager und so weiter.

Mit Identitätsregulierung und -bereitstellung (Identity Governance and Administration, IGA) bezeichnet man eine IAM-Unterkategorie, die sich auf Richtlinien und technologische Werkzeuge bezieht, mit denen Organisationen gewährleisten können, dass ihre IAM-Richtlinien konsistent sind und ausnahmslos in ihrer gesamten Datenumgebung eingehalten werden. IGA-Werkzeuge ermöglichen es Organisationen, digitale Identitäten besser zu verwalten und identitätsbezogene Risiken beim Zugriff durch automatisierte Erstellung, Verwaltung und Zertifizierung von Benutzerkonten, Benutzerrollen und Zugriffsberechtigungen zu reduzieren.

IGA und IAM werden manchmal synonym verwendet, aber IGA unterscheidet sich laut Gartner insofern von IAM, als das IGA Organisationen nicht nur die Erstellung und Durchsetzung von IAM-Richtlinien ermöglicht, sondern auch alle IAM-Funktionen verbindet, um Überprüfungs- und Konformitätsanforderungen zu genügen.

Mit Identitätslebenszyklusverwaltung (Identity lifecycle management, ILM) bezeichnet man eine IAM-Unterkategorie, die sich auf Richtlinien und technologische Werkzeuge bezieht, mit denen digitale Identitäten und ihre damit verbunden Berechtigungen erstellt werden können und diese über ihren ganzen Nutzungszyklus hinweg verwaltet und aktualisiert werden und mit denen sie am Ende ihres Nutzungszykluses gelöscht werden können. Digitale Identitäten können einer Einzelperson zugeordnet sein, etwa Mitarbeitenden, oder externen Vertragspartnern, Geschäftspartner oder auch digitalen Anwendungen.

Benutzerprivilegien verändern sich im Laufe der Zeit. Wenn Mitarbeitende befördert werden oder neue Aufgabenbereiche übernehmen, dann müssen unter Umständen auch ihre Netzwerkprivilegien angepasst werden. Verlassen Mitarbeitende die Organisation, dann müssen ihre Zugriffsberechtigungen umgehend entfernt werden. In diesen und vielen weiteren Situationen kommt ILM zum Tragen.

Damit ist der Prozess gemeint, mit dem Systeme feststellen, ob ein Benutzer der ist, für den er sich ausgibt. Dazu zählen Nutzernamen und Passwörter, aber auch Mehr-Faktor-Authentifizierung. Diese Prozesse arbeiten mit der Zugriffsverwaltung zusammen.

Ein Identitätsanbieter (Identity Provider, IdP) ist ein Dienst, der Benutzeridentitäten speichert und verwaltet. Ein IdP kann Benutzer mit gespeicherten Name- und Passwortkombinationen abgleichen oder anderen Anbietern eine Idenzitätenliste zum Abgleich bereitstellen. SSO-Anbieter sind IdP.

JSON-Web-Token (JWT) ist ein offener Standard zur Weitergabe von Sicherheitsinformationen zwischen Clients und Servern. JWT werden entweder mit einem privaten Geheimnis oder einem öffentlichen/privaten Sicherheitsschlüssel signiert, damit die Angaben nach Ausstellung des Tokens nicht verändert werden können.

Just-in-Time-Zugriff (auch einfach JIT-Zugriff genannt) ist ein Verfahren in der Verwaltung privilegierter Zugriffsberechtigungen (PAM), bei dem menschliche und nicht-menschliche Benutzerprivilegien in Echtzeit überwacht werden und die Sitzungslänge auf eine bestimmte Zeit begrenzt ist. Damit wird sichergestellt, dass Benutzer oder Anwendungen nur dann auf privilegierte Anwendungen oder Systeme zugreifen können, wenn es erforderlich ist und der Zugriff zeitlich begrenzt ist.

Das ist ein quelloffenes Netzwerkauthentifizierungsprotokoll, das auf symmetrische Verschlüsselungsschemas setzt, um Authentifizierungsanfragen bei der Kommunikation zwischen vertrauenswürdigen Hosts und nicht vertrauenswürdigen Netzwerken zu ermöglichen. Kerberos ist das Standardauthentifizierungsprotokoll in Microsoft Windows und eine Kernkomponente von Windows Active Directory. Unterstützung für Kerberos ist in allen großen Betriebssystemen integriert. Es wird umfassend in großen SSO-Systemen verwendet, die mehrere Authentifizierungsmethoden unterstützen.

Dabei handelt es sich um eine bewährte Sicherheitspraxis, bei der menschliche Benutzer und Anwendungen nur die absolut nötigen Systemzugriffsberechtigungen erhalten, die sie für die Ausübung einer Aktion benötigen.

Das Lightweight Directory Access Protocol (LDAP) ist ein offener Anwendungsprotokollstandard für den Zugriff und Verwaltung dezentraler Directory-Informationsdienste in einem IP-Netzwerk. LDAP wird in der Regel als "Single Source of Truth" für Benutzernamen und Passwörter verwendet. Anwendungen können sich mit einem LDAP-Server verbinden und automatisch Benutzer erstellen oder löschen, wenn Mitarbeitende ins Unternehmen kommen oder es verlassen. LDAP ist der Grundstein für Microsoft Active Directory.

Siehe auch SCIM, einer stetig beliebter werdenden Alternative zu LDAP.

Die Anwendungsidentitätsverwaltung (Machine Identity Management, MIM) reguliert die digitalen Identitäten von nicht menschlichen Benutzern. Gemeint sind damit digitale Zertifikate und Schlüssel, die Hardwaregeräte (einschließlich IoT-Geräte), Arbeitsabläufe, Anwendungen, Container usw. nutzen. MIM ist eine Unterkategorie von IAM und IT-Geheimnisverwaltung.

Schadsoftware tut genau das, was der Name andeutet: Die Software infiziert Geräte auf verschiedenen Wegen (z. B. wenn ahnungslose Opfer eine Phishing-E-Mail öffnen oder kompromittierte Dateien wie Spiele, Filme oder Anwendungen herunterladen).

Ein Master-Passwort (manchmal "MP" abgekürzt) ist ein Passwort, das Benutzer während der Installation und Einrichtung eines Passwortmanagers wie Keeper anlegen. Das Master-Passwort eines Benutzers ist das einzige Passwort, dass sie sich danach noch merken müssen. Es ist der Schlüssel zu ihrem digitalen Passworttresor, weshalb es zwingend sehr sicher und komplex sein sollte. Benutzer dürfen es zudem nicht vergessen oder verlieren. Als effektives Mittel für MP haben sich Passwortsätze herausgestellt.

Mehr-Faktor-Authentifizierung (MFA) und Zwei-Faktor-Authentifizierung (2FA) sind Authentifizierungsverfahren, bei denen Benutzer zwei oder mehr Authentifizierungselemente eingeben müssen, um Zugriff auf eine Datenumgebung, Anwendung, einen Ordner oder ein System zu erhalten. Um als MFA/2FA-Element zu zählen, müssen die einzelnen Verifizierungsfaktoren von unterschiedlichen Verifizierungskategorien stammen. Das sind unter anderem:

Etwas, das Sie wissen: z. B. Ihr Passwort oder ein PIN-Code

Etwas, das Sie haben: z. B. ein Sicherheitsschlüssel oder eine Sicherheitskarte

Etwas, das Sie sind: z. B. biometrische Daten wie Fingerabdrücke oder Irisscan

Etwas, wo Sie sind: z. B. Ihre IP-Adresse oder Ihr Geostandort (eher selten verwendet)

Ein Geldautomat ist ein Beispiel für ein MFA-Gerät, denn Sie müssen eine Karte einstecken (Etwas, das Sie haben) und einen PIN eingeben (Etwas, das Sie wissen).

2FA und MFA werden synonym verwendet und der einzige Unterschied zwischen beiden besteht darin, dass 2FA lediglich 2 Authentifizierungsfaktoren benötigt (wie beim Geldautomatenbeispiel), während MFA theoretisch 3 oder noch mehr Faktoren erfordern kann (z. B. Smart-Karte, PIN und Fingerabdruck).

Das ist ein offener Standard für die Delegierung von Benutzerinformationen in Webanwendungen und auf Webseiten. Unternehmen wie Amazon, Google, Facebook, Microsoft und Twitter nutzen ihn, um es ihren Benutzern zu ermöglichen, Informationen über ihr Konto mit Drittanbieterdiensten zu teilen, ohne diesen Diensten ihre Passwörter geben zu müssen.

Ein Einmalpasswort (OTP) oder zeitlich begrenztes Einmalpasswort (TOTP) sind automatisch erzeugte Codes, mit denen sich Benutzer für eine einmalige Transaktion oder Anmeldesitzung authentifizieren können. OTP können per E-Mail, SMS oder eine Authenticator-Anwendung bereitgestellt werden. Sie werden sehr häufig als Authentifizierungselement in MFA/2FA verwendet.

Ein zeitlich begrenztes Einmalpasswort, kurz TOTP, ist im Prinzip ein Einmalpasswort mit der zusätzlichen Bedingung, dass es nur für einen sehr kurzen Zeitraum gültig ist – in der Regel 30–60 Sekunden.

OpenID Connect (OIDC) ist ein RESTful-Authentifizierungsystem, das auf OAuth 2.0 aufbaut, welches JSON Web-Token verwendet. Damit ist es Drittanbieter-Anwendungen möglich, Benutzeridentitäten zu verifizieren und grundlegende Benutzerprofildaten abzurufen, um die Einmalanmeldung (Single-Sign-On, SSO) über verschiedene Anwendungen hinweg zu ermöglichen.

Bei einem Pass-the-Hash-Angriff (PtH) erlangt ein Angreifer Zugriff auf ein gehashtes Passwort. Der Angreifer entschlüsselt das Passwort nicht und versucht damit, das System auszutricksen und eine neue authentifizierte Benutzersitzung zu erzeugen. Pass-the-Hash-Angriffe werden typischerweise eingesetzt, um sich in einem bereits infiltrierten Netzwerk horizontal zu bewegen. Windows-Geräte sind aufgrund einer Schwachstelle in den Hashes im New Technology Local Area Network Manager (NTLM) besonders anfällig für solche Angriffe. Dadurch bekommen Angreifer die Möglichkeit, kompromittierte Domain-Konten allein mit dem gehashten Passwort zu übernehmen. Das tatsächliche Passwort wird zu keinem Zeitpunkt benötigt.

Ein Passwortsatz ist ein relativ leichter Weg für Benutzer, ein starkes, einzigartiges Passwort zu erstellen. Aus dem Grund werden Passwortsätze häufig als Master-Passwort verwendet.

Für einen Passwortsatz müssen Benutzer sich einen Satz ausdenken, in dem Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen vorkommen.

Ein Beispiel für einen schlechten Passwortsatz ist: "Meine erste Wohnung war in Frankfurt, Hessen." Das so erzeugte Passwort "MeWwiFH" besteht aus nur 7 Zeichen und enthält keine Sonderzeichen oder Ziffern. Cyberangreifer können automatisierte Passwortknacker verwenden, um das Passwort in relativ kurzer Zeit zu entschlüsseln.

Ein Beispiel für einen guten Passwortsatz ist: "Meine erste Wohnung war in der Schillerstraße 25 die Wohnung #404 in 65931 Frankfurt." Das so erzeugte Passwort "MeWwidSs25dW#404i65931Ff" hat 24 Zeichen und enthält Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen. Selbst ein automatisierter Passwortknacker bräuchte Jahrzehnte, um das Passwort zu entschlüsseln!

Ein Brute-Force-Angriff nutzt die Tatsache aus, dass viele Passwörter sehr beliebt bei Benutzern sind. Zum Beispiel nutzen viele Menschen einprägsame Tastaturmuster wie "quertz" oder einfach nur das Wort "Passwort". Bei einer Password-Spraying-Attacke werden Listen mit solchen beliebten Passwörtern eingesetzt und Kombinationen solcher Anmeldedaten massenhaft in Anmeldesysteme eingetragen.

Dabei handelt es sich um eine Methode zur Identifizierung von Benutzern, bei dem statt Passwörtern andere Faktoren wie biometrische Merkmale, physische Sicherheitsschlüssel oder Einmalpasswörter (OTP) verwendet.

Die Privilegienverwaltung von Superbenutzern (super user privilege management, SUPM) oder Verwaltung der Rechteerweiterung und -delegierung (Privilege Elevation and Delegation Management, PEDM) ist eine PAM-Unterkategorie. Damit kann Normalbenutzern unter Einhaltung bestimmter Vorgaben vorübergehend der Zugriff auf privilegierte Systeme gewährt werden. Beispielsweise kann einem Benutzer für eine kurze Zeitspanne Zugriff auf eine bestimmte Anwendung gewährt werden. Nach dem Ablauf der Sitzung werden die Berechtigungen automatisch entzogen.

PEDM-Lösungen ermöglichen es Organisation, JIT-Zugriffe einzusetzen, um die Anzahl mit administrativen Berechtigungen möglichst gering zu halten.

Bei der Regulierung von privilegierten Zugriffsberechtigungen (Privileged Access Governance, PAG) werden IAM-Regeln auf privilegierte Benutzer angewendet, um sicherzustellen, dass auch Zugriffsberechtigungen privilegierte Benutzer dem Least-Privilege-Prinzip folgen. Prozesse rund um PAG sind unter anderem die automatisierte Bereitstellung und Entfernung von Rechten, ein formeller Bestätigungsablauf für die Gewährung neuer privilegierter Zugriffsberechtigungen und regelmäßige Überprüfungen privilegierter Konten, um zu gewährleisten, dass die gewährten Berechtigungen noch angemessen sind.

Bei der Verwaltung privilegierter Zugriffsberechtigungen (Privileged Access Management, PAM) handelt es sich um Werkzeuge und Technologie, die Organisationen einsetzen, um den Zugriff auf ihre kritischsten Daten und Ressourcen, etwa lokale und Domain-Administratorkonten, zu schützen, zu überwachen und zu regulieren.

Auch PAM-als-Dienst (PAM-as-a-Service, Privileged Access Management as a Service, PAMaaS) bezeichnet. Dabei handelt es sich um eine cloudbasierte Verwaltungslösung für privilegierte Zugriffsberechtigungen.

Eine Workstation mit privilegierten Zugriffsrechten (privileged access workstation, PAW) wird auch als "Workstation mit gesicherten Zugriffsrechten" (Secure Access Workstation, SAW) bezeichnet. Dabei handelt es sich um eine besonders gesicherte Workstation, die speziell und allein für den Zweck der Ausführung von Aufgaben mit besonders hohen Zugriffsrechten genutzt wird. PAW sind mit Sicherheitskontrollen und Richtlinien ausgestattet, die den lokalen administrativen Zugriff beschränken und E-Mails, Datenverarbeitungsprogramme und die allgemeine Internetnutzung einschränken. Sie sind nur mit den Werkzeugen ausgestattet, die unbedingt erforderlich sind für die Ausführung dieser besonders privilegierten Aufgaben. So werden die größten Angriffsvektoren für Phishing-Angriffe (E-Mail und Internetbrowsing) blockiert, was das Risiko der Kompromittierung der PAW drastisch reduziert.

Ein privilegiertes Konto verfügt über viel höhere Netzwerkzugriffsberechtigungen als Standardbenutzerkonten. Privilegierte Konten können zum Beispiel Benutzer einpflegen oder entfernen, Zugriffsberechtigungen für Benutzer ändern oder System- und Anwendungskonfigurationen verändern.

Privilegierte Konten werden häufig "Administratorkonten" genannt, aber nicht alle diese Konten werden von Menschen bedient. Dienstkonten, die von Anwendungen genutzt werden, können auch privilegierte Konten sein.

Mit "Privilegiertes Konto" können auch Konten hochrangiger Benutzer eines Unternehmens bezeichnen, etwa Direktoren oder Finanzdirektoren, die keine technischen Rollen innehaben. Sie können dennoch Zugriff auf besonders sensible Daten haben, darunter vertrauliche Regierungsdokumente, medizinische Daten oder Finanzinformationen der Organisation.

Die Verwaltung privilegierter Sitzungen und Konten (Privileged account and session management (PASM)) ist Teil der Verwaltung privilegierter Zugriffsberechtigungen (PAM). Sie bietet Organisationen Wege, um privilegierte Benutzerkonten zu schützen, zu kontrollieren und zu überwachen. IT-Teams können so umfassende Kontrollmöglichkeiten über kritische, administrative Benutzersitzungen.

Die Verwaltung privilegierter Identitäten (Privileged Identity Management, PIM) arbeitet mit PAM zusammen. PAM bezieht sich dabei auf die technischen Möglichkeiten und Richtlinien, um Benutzerkonten mit besonderen Zugriffsrechten zu verwalten. PIM hingegen verwaltet die Ressourcen, auf die solche Benutzerkonten zugreifen können. Mit PIM können Organisationen die Zugriffsberechtigungen von privilegierten Benutzern für bestimmte Daten und Systeme kontrollieren, verwalten und überwachen.

Die Verwaltung privilegierter Sitzungen (Privileged Session Management, PSM) arbeitet mit der Verwaltung privilegierter Zugangsrechte (PAM) zusammen, um die vertraulichsten und operationskritischsten Daten und Systeme einer Organisation zu schützen. PAM konzentriert sich dabei auf den Schutz der Anmeldedaten von privilegierten Benutzern. PSM konzentriert sich hingegen auf die Kontrolle, Überwachung und Erfassung von privilegierten Sitzungen und zeichnet dabei auf, welche Aktionen privilegierte Benutzer ausführen, nachdem sie sich im Netzwerk angemeldet haben.

Neben der Verhinderung des Zugangsmissbrauchs durch privilegierte Benutzer ermöglicht PSM einer Organisation auch die Einhaltung von Vorschriften wie SOX, HIPAA, PCI DSS, ICS CERT, GLBA, FDCC und FISMA, die alle eine Erfassung und Speicherung der Aktivitäten von privilegierten Benutzern erfordern.

Die Verwaltung privilegierter Benutzer (Privileged User Management, PUM) wird manchmal synonym mit der Verwaltung privilegierter Zugriffsberechtigungen (PAM) und Verwaltung privilegierter Identitäten (PIM) verwendet. Allerdings gibt es hier wichtige Unterschiede. Anders als PAM werden PUM-Konten in der Regel von mehreren Personen genutzt und sie benötigen keine MFA/2FA. Benutzer können auf PUM-Konten einfach mit einem Passwort zugreifen. Aus dem Grund sollte von der Nutzung von PUM-Konten abgesehen werden.

Damit ist der Prozess der Einrichtung von Benutzerkonten für ein ganzes System oder bestimmte Anwendungen gemeint. Einer neu eingestellten Person werden alle Konten für die Nutzung aller nötigen Systeme und Anwendungen, damit sie ihre Arbeit ausführen kann. Übernimmt eine andere Person neue Verantwortlichkeiten in der Organisation, dann kann es sein, dass sie Zugriff auf weitere Anwendungen und Systeme benötigt, die ihr so gegeben werden.

Auch "Verschlüsselung öffentlicher Schlüssel" oder "asymmetrische Kryptografie") bezeichnet. Dabei handelt es sich um eine Verschlüsselungsmethode von Daten, die zwei Schlüssel benutzen: Einen öffentlichen Schlüssel, der jedem zur Verfügung steht, und einen privaten Schlüssel. Die Daten werden mit dem öffentlichen Schlüssel verschlüsselt und können nur mit dem privaten Schlüssel entschlüsselt werden.

PWN ist Hacker-Slang und stammt ursprünglich aus der Onlinespielewelt. Es ist eine Falschschreibung des englischen Worts "owned" (deshalb wird PWN auch als "own" ausgesprochen und nicht als "pawn"). Damit will man die Unterwerfung oder Eroberung einer anderen Person zum Ausdruck bringen, oder in diesem Fall das erfolgreiche Hacken eines Kontos oder Netzwerks.

Ein Remoteauthentifizierungs-Benutzerdienst (Remote Authentication Dial-In User Service, RADIUS) bezeichnet ein Client-Server-Protokoll, das die zentralisierte Authentifizierung, Autorisierung und Kontoverwaltung für Fern- und Drahtlosverbindungen auf Netzwerke ermöglicht. RADIUS arbeitet auf Anwendungsebene und erlaubt es Organisationen, Benutzerprofile in einem zentralen Repositorium zu speichern, auf das alle Remote-Server zugreifen können.

Das Remote-Desktop-Protokoll (Remote Desktop Protocol, RDP) ist ein proprietäres Netzwerkprotokoll, das von Microsoft entwickelt wurde. RDP ermöglicht den sicheren Fernzugriff auf Workstations und Server. Mit RDP können auch technisch nicht versierte Benutzer sicher aus der Ferne auf ihre Workstations zugreifen. Zudem können IT-Administratoren und DevOps-Teams aus der Ferne Systemwartungsarbeiten und Diagnosen durchführen und Reparaturen vornehmen. Dank der grafischen Benutzeroberfläche können Benutzer Anwendungen öffnen und Daten bearbeiten wie auf einem normalen Computer.

Neben Windows gibt es RDP-Clients auch für Mac OS, Linux/Unix, Google Android und Apple iOS. Quelloffene RDP-Software ist ebenfalls verfügbar.

REST steht für "Representational State Transfer" und bezeichnet eine moderne, statuslose, hochflexible API, die ein Funktionsset (z. B. GET, PUT und DELETE) definiert, mit dem Clients auf Serverdaten zugreifen können. Client-Programme und Server tauschen Daten über HTTP aus.

Ähnlich der Unternehmensprozessautomatisierung (BPA) bezeichnet die robotergesteuerter Prozessautomatisierung (robotic process automation, RPA) Software, die manuelle oder sich wiederholende Aufgaben automatisiert. Anders als BPA-Lösungen setzt RPA stärker auf künstliche Intelligenz und maschinelles Lernen, damit Roboter menschliche Benutzer nachahmen können und sich an dynamische Situationen anpassen können. Während BPA zum Beispiel verwendet wird, um vorgefertigte Antworten per E-Mail an Kunden zu schicken (Bestellbestätigen, Versandbestätigungen usw.), wird RPA eingesetzt, um interaktive Chat-Bots zu betreiben, die Kundenangaben in Echtzeit analysieren.

Mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC), auch als "rollenbasierte Sicherheit" bekannt, bezeichnet man ein Zugriffssicherungsmodell, bei dem Benutzerrollen die Zugriffsberechtigungen für Netzwerkressourcen bestimmen. Das Ziel von RBAC ist die Gewährleistung, dass Benutzer keine Systeme oder Daten nutzen können, die nichts mit ihrer Arbeit zu tun haben. So wird die Vorschriftenkonformität verbessert, Datendiebstähle werden erschwert und im Falle der Kompromittierung von Benutzerzugangsdaten verhindert RBAC, dass sich Angreifer horizontal im Netzwerk bewegen können. Wird meist zusammen mit Least-Privilege-Zugriffssteuerung eingesetzt.

Die Abkürzung steht für "Security Assertion Markup Language". Dabei handelt es sich um einen offenen Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen mehreren Beteiligten. Üblicherweise wird SAML von SSO-Identitätsanbietern eingesetzt, um die Kommunikation zwischen den Dienstanbietern zu ermöglichen. So kann SSO auf alle Sicherheitsdomains ausgeweitet werden und ermöglicht Single-Sign-On im Internetbrowser.

In der IT bezeichnet ein Geheimnis ein kompaktes Datum, das unbedingt geheim gehalten werden muss. Üblicherweise werden sie von Maschinen genutzt, um die Authentifizierung für hochsensible Systeme und Daten zu ermöglichen. Beispiele für IT-Geheimnisse sind RDP-Zugangsdaten, SSH-Schlüssel, API-Schlüssel oder Zugangsdaten für privilegierte Konten.

Damit sind Programme und Methoden gemeint, um in einer IT-Umgebung sicher auf Infrastrukturgeheimnisse zuzugreifen, diese zu speichern und zu verwalten. Solche Daten sind API-Schlüssel, digitale Zertifikate oder Zugangsdaten für privilegierte Konten. Auch bekannt als Anwendung-zu-Anwendung-Passwortverwaltung (AAPM).

Das Secure-Shell-Prokoll (SSH) ist ein kryptografisches Netzwerkprotokoll, mit dem zwei Computer über eine gesicherte Verbindung miteinander kommunizieren können. SSH wurde als sichere Alternative für Telnet und ungesicherte Unix Remote-Shell-Protokolle entwickelt, die Daten (einschließlich Passwörter) als Klartext übertragen. SSH nutzt Kryptografie für öffentliche Schlüssel, um Remote-Computer zu authentifizieren, es erlaubt Benutzern die Authentifizierung und es verschlüsselt die Kommunikation zwischen zwei Computern. Der häufigste Anwendungsfall für SSH sind Remote-Anmeldungen und Kommandozeilenbefehlsausführungen.

Sicherheit als Dienst (Security as a Service, SaaS, SecaaS) bezeichnet ein Geschäftsmodell, bei dem Organisationen Sicherheitsbelange und -dienste an andere Unternehmen auslagern, um keine organisationsinternen Ressourcen dafür aufwenden zu müssen. SecaaS kann sich auf die Einführung und Verwaltung cloudbasierter PAM- oder IAM-Plattformen beschränken oder sämtliche Sicherheitsfunktionen einer Organisation vollumfänglich an einen Dienstleister auslagern.

Die Security Information and Event Management (SIEM) ist eine Softwareplattform, mit der Sicherheitsdaten aus allen Datenumgebungen einer Organisation gesammelt werden. Die Plattform analysiert die Daten und benachrichtigt menschliche Fachkräfte über mögliche Bedrohungen. SIEM sammelt und analysiert Daten von Hardwareanwendungen (einschließlich Netzwerkgeräten) und Server- und Domain-Controllern.

Ein physisches oder logisches Gerät, mit dem Benutzer ihre Identität belegen können, um Zugriff auf eine digitale Ressource zu erhalten. Sicherheitsschlüssel können zusätzlich zu Passwörtern als MFA/2FA-Methode eingesetzt werden, oder Passwörter in einer passwortlosen Authentifizierungsumgebung ganz ersetzen.

Physische Sicherheitsschlüssel sind unter anderem Schlüsselkarten oder Schlüssel wie Yubikey. Digitale Sicherheitsschlüssel sind unter anderem OTP/TOTP, die von Authenticator-Anwendungen erstellt werden.

Die Self-Service-Passwortrücksetzung (Self-Service Password Reset, SSPR) ist eine Prozessautomatisierungsfunktion, mit der Benutzer ihre Passwörter eigenständig zurücksetzen können, ohne auf die Hilfe von IT-Personal angewiesen zu sein. So sparen Benutzer und technisches Hilfestellungspersonal Zeit. SSPR wird üblicherweise eingesetzt, um verloren gegangene, vergessene oder abgelaufene Passwörter zu ersetzen.

Ein besonderer Typ von privilegiertem Konto, das von Maschinenbenutzern (insbesondere Anwendungen) eingesetzt wird. Häufig werden sie verwendet für die Ausführung von Arbeitsabläufen in virtuellen Maschinen (VM), in örtlich gebundenen Workstations oder Datenzentren, die API oder andere automatisierte Prozesse abrufen.

Menschliche Benutzer sind nicht direkt in die Erstellung oder Nutzung von Dienstkonten involviert. Üblicherweise werden sie von einem Paketverwalter während der Softwareinstallation erstellt und konfiguriert und eine Anwendung übernimmt die Identität eines Dienstkontos, um API-Daten abzurufen oder andere Prozesse auszuführen. Diese Automatisierung spart IT-Teams Zeit, doch im Gegensatz zu anderen privilegierten Konten stellen Dienstkonten ein großes Cybersicherheitsrisiko dar. Deshalb müssen sie sehr strikt überwacht und verwaltet werden.

Passkey ist eine moderne, passwortlose Authentifizierungstechnologie, mit der sich Benutzer bei ihren Konten mittels eines kryptografischen Schlüssels anstelle von Passwörtern anmelden. Ein Passkey nutzt biometrische Merkmale (Fingerabdruck, Gesichtserkennung usw.) zur Bestätigung der Benutzeridentität.

Damit ist eine Unterkategorie der IT-Geheimnisverwaltung gemeint. Die Regulierung von Dienstkonten (service account governance, SAG) beschreibt Richtlinien, Prozeduren und technologische Werkzeuge, um Dienstkonten zu schützen und zu verwalten. Dazu zählen Bereitstellung und Entfernung von Rechten, Passwortverwaltung und Abhängigkeitenverwaltung.

Die Passwortverwaltung für geteilt verwendete Konten (Shared Account Password Management, SAPM) ähnelt der Verwaltung privilegierter Benutzer (PUM). Damit ist die Verwaltung von privilegierten Konten gemeint, die von mehreren Personen genutzt werden. Das sollten Organisationen jedoch peinlichst vermeiden, dann Konten mit erhöhten Zugriffsberechtigungen müssen streng überwacht und verwaltet werden, um Sicherheit und Vorschriftenkonformität gewährleisten zu können.

Single-Sign-On (SSO) oder Einmalanmeldung ist eine Authentifizierungsmethode, mit der sich Benutzer mit einem einzigen Set von Zugangsdaten bei mehreren Anwendungen und Systemen anmelden können. SSO wird häufig synonym für Verbundidentitätsverwaltung (FIM) verwendet, allerdings ermöglicht SSO nur die Anmeldung in einer einzigen Domain, während FIM den Zugriff auf Systeme und Anwendungen über mehrere Domains hinweg erlaubt.

Ein Beispiel für SSO: Mitarbeitende nutzen ein Set von Zugangsdaten, um sich beim E-Maildienst, dem HR-Portal und anderen internen Ressourcen ihrer Organisation anzumelden.

Ein Beispiel für FIM: Mitarbeitende nutzen ein Set von Zugangsdaten, um sich bei mehreren Drittanbieterdiensten wie Videokonferenzanwendungen und Support-Ticket-Diensten anzumelden.

SSO und FIM werden häufig gemeinsam eingesetzt.

Dabei handelt es sich um ein älteres API-Format, das zugunsten flexiblerer, moderner API wie REST nicht mehr oft verwendet wird. Sie nutzt einfache Object-Access-Protokolle und Client-Programme und Server tauschen Daten per XML aus.

Gartner definiert "Software Change and Configuration Management" (SCCM) als alle Werkzeuge, Softwareversions- und Konfigurationsänderungen verwaltet und gesteuert werden. Laut Gartner gehören zu SCCM auch Verwaltungslösungen für Entwicklungsänderungen, Fehlernachverfolgung, Änderungsautomatisierung, Entwicklungsveröffentlichungsverwaltung, integrierte Testverwaltung, integrierte Versionsverwaltung und andere damit in Verbindung stehende Prozesse.

Das System for Cross-Domain Identity Management (SCIM) ist ein offener Standard für die automatisierte Benutzerbereitstellung und -entfernung. SCIM ermöglicht den Austausch von Benutzeridentitätsdaten zwischen Identitätsdomains oder IT-Systemen mittels einer standardisierten API. Die Übertragung erfolgt mit REST und die Daten sind als JSON oder XML formatiert. Organisationen nutzen SCIM für das automatische Hinzufügen und Löschen von Benutzern von Drittanbieterplattformen wie Office-Produktivitätsprogrammen, CRM- und Support-Ticket-Systemen oder wenn Mitarbeiter neu in die Organisation kommen oder sie verlassen.

Da Organisationen immer häufiger auf SaaS-Lösungen setzen, wird SCIM auch immer häufiger als Alternative für LDAP verwendet. Große Identitätsanbieter wie Azure Active Directory viele beliebte SaaS-Anbieter wie Microsoft Office oder Google Workspace unterstützen SCIM.

Transport Layer Security (TLS) und SSL (Secure Socket Layers) sind kryptografische Protokolle, die Daten verschlüsseln und Verbindungen authentifizieren, wenn Daten über das Internet übertragen werden.

TLS entstand aus SSL. Das TLS-Protokoll sollte ursprünglich SSL 3.0 heißen, allerdings wurde der Name vor der Veröffentlichung geändert, um Distanz zu Netscape zu schaffen, dem nunmehr verschwundenen Unternehmen, das SSL einst entwickelte. TLS und SSL werden häufig synonym verwendet, aber SSL wird nicht mehr verwendet, da es Sicherheitsschwachstellen enthielt, die TLS behoben hat.

Damit ist eine Methode gemeint, mit der sich Benutzer bei einer Anwendung mit einem signierten Cookie anmelden können, der die Sitzungsstatusinformationen enthält. Tokenbasierte Authentifizierung wird häufig zusammen mit anderen Authentifizierungsmethoden verwendet. Dabei wird eine andere Authentifizierungsmethode für die erste Anmeldung genutzt und die tokenbasierte Authentifizierung führt danach die wiederholte Authentifizierung durch, wenn Benutzer zu einer Webseite oder Anwendung zurückkehren.

Das Universal Authentication Framework (UAF) ist ein offener Standard, der von der FIDO-Allianz entwickelt wurde. Ziel ist es, die passwortlose Authentifizierung als primäre Authentifizierungsmethode zu etablieren und nicht mehr nur als sekundäre Methode zu verwenden.

Mit "Universal Second Factor" (U2F) ist ein offener Standard gemeint, der Hardware-Sicherheitsschlüssel, die per USB oder Nahfeldkommunikation (NFC) verbunden werden, als zusätzliche Authentifizierungsfaktoren für MFA/2FA nutzt. Ursprünglich wurden sie von Google und Yubico mit Unterstützung von NXP Semiconductors entwickelt. Der U2F-Standard wird nun von der FIDO-Allianz gehostet. Sein Nachfolger ist das FIDO2-Projekt.

Die Benutzerkontensteuerung (User Account Control, UAC) ist die obligatorische Zugriffskontrollfunktion in Microsoft Windows. UAC unterstützt bei der Verhinderung von Schadsoftwareschäden, indem es menschliche Benutzer, Anwendungen und Schadsoftware daran hindert, nicht autorisierte Änderungen am Betriebssystem vorzunehmen. Dazu zwingt es jede Anwendung, die Administratorberechtigungen benötigt, einen Hinweis anzuzeigen, mit dem der Zugriff bestätigt werden muss. Erst dann kann der Prozess, wie etwa die Installation neuer Software, durchgeführt werden.

Bei der Benutzer- und Entitäten-Verhaltensanalyse (user and entity behavior analytics, UEBA) wird künstliche Intelligenz und maschinelle Lernalgorithmen eingesetzt, um Grundmodelle für Verhaltensweisen von menschlichen Benutzern, Routern, Servern und Endpunkten in einem Organisationsnetzwerk anzulegen. Dann werden alle Aktivitäten im Netzwerk überwacht auf Verhaltensmuster, die von diesen Grundmodellen abweichen. Ein geläufiges Beispiel für den UEBA-Einsatz sind Kreditkartenunternehmen, die ein Kundenkonto vorübergehend einfrieren, wenn ein Algorithmus drastische Veränderungen im Benutzerverhalten festgestellt hat, etwa die Ausführung von Überweisungen mit enorm hohen Summen.

Die Zugriffsverwaltung für privilegierte Partnerunternehmen (Vendor Privileged Access Management, VPAM) ist eine PAM-Unterkategorie, die speziell auf externe Partnerunternehmen ausgerichtet ist, die Zugriff auf sensible Organisationssysteme benötigen. Dazu zählen externe Entwickler, Sicherheitsdienstleister oder Buchhaltungsunternehmen. VPAM-Lösungen stellen sicher, dass privilegierte Partnerzugriffe denselben Beschränkungen wie PAM-Konten der Organisation unterliegen, etwa Least-Privilege-Prinzip, Just-in-time-Zugriff und Sitzungsüberwachung und -erfassung.

Virtuelles Netzwerk-Computing (Virtual Network Computing, VNC) ist ein plattformübergreifendes Bildschirmübertragungssystem, mit dem aus der Ferne die Desktops anderer Computer gesteuert werden können. Mit VNC kann ein Remote-Benutzer einen Computerbildschirm, die Tastatur und Maus nutzen, als würde der Benutzer selbst vor dem Computer sitzen.

VNC funktionert nach dem Client-/Server-Modell, weshalb die Installation einer Serverkomponente auf dem Remote-Computer erforderlich ist, auf den zugegriffen werden soll. Zudem ist ein VNC-Viewer oder Client-Programm auf dem Gerät erforderlich, von dem man auf das Remote-Gerät zugreifen will. VNC nutzt das Remote-Framebuffer-Protokoll (RFB), um die Datenformate zu regulieren, die zwischen Client und Server ausgetauscht werden.

VNC ähnelt RDP, aber VNC funktioniert auch mit mehreren Betriebssystemen und stellt eine direkte Verbindung zum Remote-Computer her und nicht wie bei RDP über eine Serververbindung.

Die Webzugriffsverwaltung (Web Access Management, WAM) ist der Vorgänger von IAM und war in den 1990ern und frühen 2000ern sehr verbreitet. WAM-Lösungen ermöglichen die Kontrolle und Regulierung von Benutzerzugriffen auf Webressourcen, die vor Ort in Unternehmensdatenzentren gehostet wurden. Da sich WAM-Programme nicht an das aufkommende Cloud-Computing, mobile Datennutzung, API und Fernzugriffe anpassen konnten, wurden sie durch robustere IAM-Lösungen ersetzt.

WebAuthn (Web-Authentifizierung) ist eine webbasierte API, die vom World Wide Web Consortium (W3C) veröffentlicht wurde. Sie ist ein Grundbaustein des FIDO2-Spezifikationssets. WebAuthn ermöglicht es Internetseiten, ihre Anmeldeformulare mit FIDO-basierter Authentifizierung in kompatiblen Browsern und Plattformen anzupassen.

eXtensible Access Control Markup Language ist eine strukturierte Programmiersprache, die IAM-Lösungen nutzen und die attributbasierte Zugriffssteuerung (attribute-based access control, ABAC), richtlinienbasierte Zugriffssteuerung (olicy-based access control, PBAC) und andere hochkomplexe Autorisierungsverfahren ermöglicht, die Zugriffsrechte basierend auf einem Set detailliert ausgestalteter Benutzerattribute gewähren.

Zero-Knowledge ist ein Sicherheitsmodell, das ein einzigartiges Verschlüsselungs- und Datentrennungsverfahren nutzt, um Benutzer vor Remote-Datendiebstählen zu schützen. Das wird erreicht, indem IT-Dienstanbieter keine Kenntnis davon haben, welche Daten Kunden auf ihren Servern speichern.

In einer Zero-Knowledge-Umgebung werden Daten auf dem Benutzergerät ver- und entschlüsselt und nicht auf dem Server. Der Server erhält nie Klartextdaten und IT-Dienstanbieter haben keinen Zugriff auf Verschlüsselungsschlüssel von Kunden. So können ausschließlich die Benutzer selbst auf die unverschlüsselten Daten zugreifen. Selbst die Mitarbeiter der IT-Dienstanbieter haben keinen Zugriff darauf.

Keeper Security ist ein Zero-Knowledge-Sicherheitsdienstleister. Die Daten werden auf den Benutzergeräten verschlüsselt, bevor sie in den digitalen Keeper-Tresor übertragen werden. Bei der Synchronisierung der Daten mit anderen Geräten bleiben sie verschlüsselt, bis sie auf dem anderen Gerät entschlüsselt werden. Keeper hat keinerlei Zugang zu den Master-Passwörtern seiner Kunden und kann auch nicht auf die Verschlüsselungsschlüssel der Kunden zugreifen, um deren Daten zu entschlüsseln.

Ein modernes IAM-Framework, das annimmt, dass alle Benutzer und Geräte potenziell kompromittiert sind. Sämtliche Benutzer, sowohl Menschen als auch Maschinen, müssen sich verifizieren, bevor sie auf ein Netzwerk zugreifen können. Und sie dürfen nur Least-Privilege-Zugriff auf Netzwerkressourcen erhalten.

Zero-Trust-Netzwerkzugriff (Zero Trust Network Access, ZTNA) ist ein Netzwerksicherheitsverfahren, das auf strikten Zugriffskontroll- und Zugriffsauthentifizierungsmechanismen fußt. Dabei spielt es keine Rolle, ob sich ein Nutzergerät innerhalb oder außerhalb des Netzwerkperimeters befindet.

Discoverable Credentials werden auch als Resident Keys bezeichnet und ermöglichen es der WebAuthn-API, hochvertrauliche MFA in einem passwortlosen Anmeldevorgang anzubieten.

Bei der traditionellen Authentifizierung werden Zugangsdaten von Benutzern auf einem Server der vertraulichen Partei gespeichert. Dadurch muss der Server die Zugangsdaten an den Authenticator ausgeben, bevor dieser sie entschlüsseln und verwenden kann. Weiterhin müssen die Benutzer einen Benutzernamen und üblicherweise auch das Passwort eingeben, um ihre Identität zu bestätigen.

Mit Discoverable Credentials werden der private Schlüssel des Benutzers und die dazugehörigen Metadaten im Authenticator und nicht auf dem Server der vertraulichen Partei gespeichert. Während der ersten Registrierung erzeugt der Server der vertraulichen Partei ein Benutzerkürzel, das ein einzigartiges Identifikationsmerkmal enthält. Dieses Kürzel wird zusammen mit dem privaten Schlüssel im Authenticator gespeichert.

Beim Authentifizierungsprozess übermittelt der Authenticator dieses Kürzel, womit der Server den entsprechenden Benutzer ermitteln kann, ohne dass dieser einen Benutzernamen für die Anmeldung eingeben muss. Falls der Authenticator zudem PIN- oder biometrische Verifizierung unterstützt, kann die vertrauliche Partei in einem einzigen Anmeldungsschritt auch einen hochvertrauenswürdigen MFA-Code erhalten, ohne überhaupt ein Passwort eingeben zu müssen.

Mit Nachweis wird ein Beweis oder Beleg für etwas bezeichnet. Die FIDO2-Sicherheitsspezifikationen nutzen einen Nachweis, um einen kryptografischen Beweis des Authenticatormodells an die vertrauliche Partei zu übertragen. Die Anmeldungspartei kann dann daraus die Sicherheitscharakteristika des Authenticators ableiten.

In FIDO2 sind Nachweisangaben an Kontextdaten gebunden. Daten werden beobachtet und hinzugefügt, wenn eine Signierungsanfrage vom Server an den Authenticator übertragen wird. Zur Verifizierung der Signatur überprüft der Server die Daten und vergleicht sie mit den zu erwartenden Werten.

Im Kontext von FIDO 2.0 ist die vertrauliche Partei eine Webseite oder andere Entität, die das FIDO-Protokoll zur direkten Benutzerauthentifizierung nutzt.

In Fällen, wo FIDO mit FIM-Verwaltungsprotokollen (etwa SAML und OpenID Connect) kombiniert wird, ist der Identitätsanbieter für FIDO auch eine vertrauliche Partei.