Wörterbuch zu Phishing & Scampilot

Glossar.

Die wichtigsten Begriffe rund um Phishing-Schutz und unsere Produkt-Doku - auf Deutsch, ohne Fachjargon-Müll. Querverweise zur Doku, wo es Sinn ergibt.

Alias: Eine Forwarding-E-Mail-Adresse, die zu einem Scampilot-Konto gehört. Pro Konto gibt es genau einen Primary-Alias und beliebig viele Burner-Aliasse.
API-Token: Bearer-Token zur Authentifizierung der REST-API und des MCP-Servers. Jeder Token hat einen Namen und Abilities (scan:create, reports:read). Tokens lassen sich nur einmal beim Erstellen kopieren.
Audit-Log Aktivitäts-Log: Append-only Protokoll aller privilegierten Konto-Aktionen (Token erstellt, Alias geändert, Bericht gelöscht). Sichtbar unter /settings/security/audit. Nicht änderbar.
AVV Auftragsverarbeitungs-Vereinbarung: Vertrag nach Art. 28 DSGVO zwischen Verantwortlichem und Auftragsverarbeiter. Erforderlich, wenn ein Drittanbieter im Auftrag personenbezogene Daten verarbeitet.

Burner-Alias: Ein nicht-primärer Alias. Lässt sich jederzeit deaktivieren oder löschen. Praktisch, um pro Familienmitglied eine eigene Adresse zu vergeben.

CEO-Fraud Business Email Compromise (BEC): Variante des Spear-Phishings, bei der sich der Absender als Vorgesetzte (CEO, CFO) ausgibt und eine eilige Überweisung verlangt.
Confidence Sicherheitsangabe: Eine Zahl zwischen 0 und 100, die das KI-Modell für sein eigenes Urteil vergibt. Bei einem Wert unter 60 eskaliert Scampilot zu einem präziseren Modell.

DSGVO Datenschutz-Grundverordnung · GDPR: Europäisches Gesetz zum Schutz personenbezogener Daten, seit Mai 2018 in Kraft. Scampilot ist DSGVO-konform: gehashte IPs, Datenexport per Klick, Tombstone-Lösch-Kaskade.

Eskalation: Zweiter KI-Call, wenn der erste Pass eine Confidence unter 60 zurückgibt. Verwendet ein größeres Modell. Das Eskalations-Ergebnis gilt - keine endlose Rekursion.
Eval-Set Eval-Datenbank: 30 manuell gelabelte Fixtures, je 10 sicher / vorsichtig / betrug. Bei jedem CI-Lauf wird die Treffer-Quote gemessen; sie darf 85 % nicht unterschreiten.

Heuristik-Fallback: Regelbasiertes Backup, das einspringt, wenn der KI-Anbieter nicht erreichbar ist. Der Bericht wird mit model_used = "heuristic-fallback" gekennzeichnet.

MCP Model Context Protocol: Offener Standard für KI-Assistenten wie Claude oder Cursor zur Nutzung externer Werkzeuge. Scampilot stellt einen MCP-Server bereit mit den Tools scan_text, scan_url, scan_email.

OpenAPI Swagger: Standard zur Beschreibung von REST-APIs. Scampilots OpenAPI-3.1-Spec ist live unter /docs/api und wird aus den PHP-Annotationen generiert - immer aktuell.

Phishing: Betrugsversuch per E-Mail, der dich dazu bringen will, Zugangsdaten preiszugeben oder Schadsoftware zu installieren. Häufig getarnt als Mail von Bank, Behörde oder Paketdienst.
Primary-Alias: Der erste Alias, automatisch bei Konto-Registrierung erstellt. Nicht deaktivierbar und nicht löschbar - nur das gesamte Konto kann gelöscht werden.

Quote Rate-Limit: Maximale Prüfungen pro Tag. Ohne Konto: 3/Tag pro gehashter IP. Mit Konto: 2880/Tag pro User. Mehrere API-Tokens teilen sich das gleiche Bucket.

Report Bericht: Das Analyse-Ergebnis zu einer Submission. Enthält Verdict, Confidence, Klartext-Zusammenfassung, Signale, Aktions-Empfehlungen, verwendetes Modell und Token-Verbrauch.
Reputation: URL-Klassifizierung durch externe Datenbanken - aktuell Google Safe Browsing v4 und PhishTank. Wird vor dem KI-Pass gequeryt, das Ergebnis ist 24 Stunden gecached.

Scam: Sammelbegriff für Betrug. Im Scampilot-Kontext meist gleichbedeutend mit Phishing, aber breiter: auch Anlagebetrug, Romance-Scam, Tech-Support-Scam, „Enkeltrick".
Signal: Ein einzelner beobachteter Hinweis in einer Submission, z. B. „Passwort-Anfrage erkannt". Sechs stabile Signal-Keys: urgency, credential_request, suspicious_link, lookalike_brand, payment_demand, external_reputation.
Smishing: Phishing per SMS. Häufig vorgetäuscht als Paket-Benachrichtigung („Ihr Paket wartet, 1,99 € Zoll zahlen") oder Bank-Warnung.
Spear-Phishing: Gezielter Phishing-Angriff auf eine bestimmte Person, oft mit echten persönlichen Details. Schwer zu erkennen, weil individuell zugeschnitten.
Submission: Eine einzelne Anfrage an Scampilot. Sechs Quellen: paste, inbound_email, api, mcp, telegram, extension. Jede Submission produziert genau einen Report.

Tombstone: Einziger Audit-Eintrag, der nach einer Konto-Löschung verbleibt. Keine personenbezogenen Daten - nur ein pseudonymisierter User-Hash und der Zeitpunkt.

Verdict Urteil: Eines von drei festen Werten: safe (sieht sicher aus), warn (sei vorsichtig), danger (wahrscheinlich Betrug). Symbol + Farbe + Wort - nie nur Farbe allein.