Phishing C
Social Engineering
Gefälschte E-Mails/Webseiten täuschen Nutzer zur Preisgabe von Zugangsdaten.
✓ Schulungen, SPF/DKIM/DMARC, E-Mail-Filter, MFA
DDoS (Distributed Denial of Service) A
Verfügbarkeitsangriff
Tausende kompromittierte Systeme (Botnet) fluten einen Server mit Anfragen.
✓ DDoS-Scrubbing, Rate-Limiting, CDN, Anycast
Man-in-the-Middle (MITM) C
I
Abhörangriff
Angreifer schaltet sich zwischen Kommunikationspartner und liest/manipuliert Daten.
✓ TLS/HTTPS, Zertifikatsprüfung, VPN, HSTS
SQL-Injection C
I
Injection-Angriff
Manipulierte Eingaben schleusen SQL-Befehle ein und greifen auf Datenbankdaten zu.
✓ Prepared Statements, Input-Validierung, WAF, Least Privilege
Ransomware A
I
Schadcode
Schadsoftware verschlüsselt Daten und fordert Lösegeld. Greift Integrität und Verfügbarkeit an.
✓ Backups (3-2-1), Netzwerksegmentierung, EDR, Patchmanagement
Social Engineering C
Menschliche Schwachstelle
Psychologische Manipulation: Vertrauen aufbauen, um Zugang oder Infos zu erschleichen (z.B. Vishing, Pretexting).
✓ Sicherheitsschulungen, 4-Augen-Prinzip, Misstrauen gegenüber unbekannten Kontakten
Brute-Force / Dictionary Attack C
Passwortangriff
Automatisiertes Durchprobieren von Passwörtern, entweder zufällig oder aus Wörterlisten.
✓ Starke Passwörter, Account-Lockout, MFA, Captcha
Insider-Bedrohung C
I
Interner Angriff
Mitarbeitende mit Zugriffsrechten missbrauchen diese absichtlich oder fahrlässig.
✓ Least-Privilege, Logging & Monitoring, 4-Augen-Prinzip, Offboarding-Prozess
Spoofing C
I
Identitätstäuschung
Vortäuschen einer falschen Identität (IP, E-Mail, DNS, ARP) um Vertrauen zu erschleichen.
✓ SPF/DKIM, ARP-Inspektion, PKI, Authentifizierung
Zero-Day-Exploit C
I
A
Schwachstellenausnutzung
Angriff auf eine noch unbekannte / ungepatchte Sicherheitslücke. Kein Patch verfügbar.
✓ Defense-in-Depth, Sandboxing, Monitoring, schnelles Patchen