Anwendungsszenarien

Question 1

Anonymität

Answer 1

„Unter der Anonymisierung versteht man das Verändern personenbezogener Daten der
Art, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder
nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer
bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“

Anonymität liegt somit vor, wenn die Identität einer spezifischen Person unbekannt ist.

Question 2

Pseudonyme

Answer 2

Bei der Pseudonymisierung „handelt es sich um das Verändern personenbezogener Daten
durch eine Zuordnungsvorschrift (z.B. die Verwendung von Pseudonymen) derart, dass die
Einzelangaben über persönliche oder sachliche Verhältnisse ohne Kenntnis oder Nutzung
der Zuordnungsvorschrift nicht mehr einer natürlichen Person zugeordnet werden können.“

Bei Pseudonymen ist die tatsächliche Identität nur einem begrenzten Personenkreis bekannt.

Question 3

Pseudonymisierung nach Art. 4 Nr. 5. DSGVO

Answer 3

Nach Art. 4 Nr. 5. DSGVO ist „Pseudonymisierung die Verarbeitung personenbezogener
Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher
Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können

Question 4

Deanonymisierung von Personen

Answer 4

Die Deanonymisierung von Personen erfolgt über Attribute einer Person. Attribute können
medizinische Daten, Finanzdaten, Bewegungsprofile etc. sein.

Question 5

Worauf stellt die Pseudonymisierung ab?

Answer 5

Pseudonymisierung stellt darauf ab, mit Attributen zu arbeiten oder Auswertungen zu erstellen, ohne dass aufgrund dessen auf eine und mehrere bestimmte Person rückgeschlossen werden kann. Um die Qualität der Pseudonymisierung objektiv beurteilen zu können, gibt es verschiedene Methoden dies zu messen.

Question 6

Nicht interaktive verfahren

Answer 6

Bei nicht-interaktiven Verfahren anonymisiert die Herausgeberin bzw. der Herausgeber die Datenbank und veröffentlicht sie anschließend. Interessenten greifen einmalig auf die Datenbank zu und können sie dann auswerten

Question 7

Interaktive Verfahren

Answer 7

Bei interaktiven Verfahren hingehen stellt die Herausgeberin bzw. der Herausgeber den Empfangenden eine Schnittstelle zur Verfügung, über die sie Anfragen an die Datenbank schicken können. Die Ergebnisse der Anfragen werden durch Verrauschen verändert, ehe
sie an die Empfangenden zurückgesendet werden

Question 8

Anonymitätsbegriffe K-Anonymität, L-Vielfalt und T-Geschlossenheit

Answer 8

„Die Anonymitätsbegriffe K-Anonymität, L-Vielfalt und T-Geschlossenheit beziehen sich
auf das Ergebnis eines nicht-interaktiven Anonymisierungsprozesses, Differential Privacy ist
ein Anonymitätsbegriff für interaktive Anonymisierungsprozesse.“

Question 9

Konzept der k-Anonymität

Answer 9

Das Konzept der k-Anonymität stellt darauf ab, Daten so ungenau abzubilden, dass keine
Rückschlüsse auf eine Identität möglich sind. Dies kann durch zwei Methoden geschehen:

• Entfernen von Attributen zu einer Person.
• Verallgemeinerung der personenbezogenen Daten

„Jedes Kriterium zur Selektion ergibt als Antwort immer mindestens k Personen (Datensätze).“

„Bei der k-Anonymität ist die geringste Qualität der Anonymität für den Wert k = 2 gegeben.“

Question 10

L-Anonymität

Answer 10

Die L-Anonymität baut auf dem vorherigen Konzept auf. Es dient „zur Messung der Varietät (Unterschiedlichkeit) der Werte eines Attributs in einer Gruppe.“

Nach diesem Modell müssen in jeder Gruppe mindestens l unterschiedliche Werte eines Attributs vorhanden sein.

Question 11

Differenziellen Privatheit

Answer 11

Bei der Differenziellen Privatheit werden Daten geändert, behalten aber eine statistische
Aussagekraft.

Bei diesem „interaktiven Verfahren lernt ein Angreifer nur geringfügig mehr über eine Person, die in der Datenbank enthalten ist, als über sie erfahrbar wäre, wenn sie
nicht in der Datenbank enthalten wäre. Diese geringfügige Informationspreisgabe wird
über einen Parameter ε ≥ 0 festgelegt.”

Question 12

Vertraulichkeit von Daten kann nur unter gewissen Bedingungen gewährleistet sein

Answer 12

• Es gibt eine hinreichende Zutrittskontrolle, physische und umgebungsbezogene Sicherheit. Somit soll Unbefugten Zutritt zu Anlagen, die personenbezogene Daten verarbeitet oder nutzen, verwehrt werden.
• Es wird eine ausreichende Zugangskontrolle bzw. -steuerung gewährleistet. Damit soll verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
• Die Zugriffskontrolle ist ebenfalls hinreichend. Es soll gewährleistet werden, dass ausschließlich Berechtigte Zugriff auf Daten haben.

Question 13

Integrität

Answer 13

Die Integrität oder Korrektheit von Daten kann nur unter gewissen Bedingungen gewährleistet sein:

• Es gibt eine hinreichende Eingabekontrolle. D. h., es ist möglich nachzuvollziehen,
  wer personenbezogene Daten angegeben hat.
• Mit digitalen Signaturen, Hashfunktionen kann nachvollzogen werden, wenn sich
  personenbezogene Daten beim Transport oder ihrer Speicherung verändert haben.
• Durch eine ausreichende Weitergabekontrolle und Kommunikationssicherheit kann
  gewährleistet werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports etc. von Unbefugten nicht gelesen,
  kopiert, verändert oder entfernt werden können.
• Eine Löschkontrolle (Recht auf vergessen werden) gewährleistet, dass Daten Einer spezifischen betroffene Person jederzeit gelöscht werden können

Question 14

Big Data

Answer 14

”Mit “Big Data” werden große Mengen an Daten bezeichnet, die u.a. aus Bereichen wie
Internet und Mobilfunk, Finanzindustrie, Energiewirtschaft, Gesundheitswesen und Verkehr
und aus Quellen wie intelligenten Agenten, sozialen Medien, Kredit- und Kundenkarten,
Smart-Metering-Systemen, Assistenzgeräten, Überwachungskameras sowie Flug- und Fahrzeugen stammen und die mit speziellen Lösungen gespeichert, verarbeitet und
ausgewertet werden.”

Question 15

BigData Herausforderung Datenschutz

Answer 15

” Big Data ist eine Herausforderung für den Datenschutz und das Persönlichkeitsrecht. Oft
liegt vom Betroffenen kein Einverständnis für die Verwendung der Daten vor, und häufig
kann er identifiziert und kontrolliert werden.”

Question 16

Künstliche Intelligenz

Answer 16

Künstliche Intelligenz ist die Fähigkeit einer Maschine, menschliche Fähigkeiten wie
logisches Denken, Lernen, Planen und Kreativität zu imitieren

Question 17

KI und Cybersicherheit

Answer 17

„KI-Systeme können dazu beitragen, Cyberangriffe und andere Cyberbedrohungen zu
erkennen und zu bekämpfen. Sie stützen sich dabei auf die kontinuierliche Eingabe von
Daten, wobei Muster erkannt und Angriffe zurückverfolgt werden können.“

Question 18

KI-Systeme können in verschieden Arten unterteilt werden:

Answer 18

1. Künstliche Intelligenz mit reaktiven Maschinen.
2. Künstliche Intelligenz mit begrenzter Speicherkapazität.
3. Künstliche Intelligenz in der Form des Geistes oder der Geisteshaltung.
4. Künstliche Intelligenz mit Selbstwahrnehmung.

Question 19

Internet Tracking

Answer 19

Das Internet Tracking kann neben den Bewegungsprofilen und personenbezogenen Daten
wie der IP-Adresse folgende Informationen preisgeben:

• Welches Gerät und Browser verwendet werden.
• Welche Dateien herunter geladen werden.
• Welche Website und welche Unterseiten wie lange besucht wurden.
• Welche Elemente (links, Buttons etc.) verwendet werden.

Question 20

Werkzeuge des Trackings:

Answer 20

• First-Party-Cookies
• Third-Party-Cookies
• Cross-Device-Tracking
• Fingerprinting
• IP-ADresse
• E-Mail-Tracking
• App-Tracking

Question 21

Cloud Computing

Answer 21

Cloud Computing ist nach der ISO/IEC 19941 definiert, als „Paradigma für die Ermöglichung des Netzzugangs zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer physischer oder virtueller Ressourcen mit Selbstbedienungs-Bereitstellung und Verwaltung nach Bedarf“.

Question 22

Cloud Security Alliance schlägt 14 Security Domains vor, um ein angemessenes Sicherheitsniveau zu erreichen:

Answer 22

• Domain 1: Cloud-Computing-Konzepte und –Architekturen
• Domain 2: Governance und Unternehmensrisikomanagement
• Domain 3: Rechtsfragen, Verträge und elektronische Entdeckung
• Domain 4: Compliance und Audit-Management
• Domain 5: Informations-Governance
• Domain 6: Verwaltungsebene und Business Continuity
• Domain 7: Sicherheit der Infrastruktur
• Domain 8: Virtualisierung und Container
• Domain 9: Reaktion auf Sicherheitsvorfälle
• Domain 10: Anwendungssicherheit
• Domain 11: Datensicherheit und Verschlüsselung
• Domain 12: Identitäts-, Berechtigungs- und Zugriffsverwaltung
• Domain 13: Sicherheit als Dienstleistung
• Domain 14: Verwandte Technologie

Question 23

Identifikation

Answer 23

Die Identifikation ist eine „eindeutige Bezeichnung, Nummer oder Name, welche einen
Benutzer innerhalb eines Systems oder eines Netzwerks von Systemen identifiziert. Diese ID wird verwendet, um dem Benutzer Zugangs- und Benutzungsrechte an Software, Applikationen, Systemen oder anderen Ressourcen zu erteilen.“

Question 24

Authentifizierung

Answer 24

Zur Authentifizierung eines Benutzers an einem System wird meist neben der ID noch ein
PIN, Passwort, Token (Zeichen, Marke), eine Smartcard oder ein biometrischer Nachweis
benötigt.

Question 25

Autorisierung

Answer 25

I. d. R. erfolgt nach einer Authentisierung die Autorisierung zur Nutzung von Ressourcen etc. Die Autorisierung bedeutet die Erlaubnis/das Recht zur Nutzung.

Question 26

Audit/Rechenschaftspflicht

Answer 26

Im Zuge der Rechenschaft (Accountability/Audit) wird nachgewiesen, wer oder was eine konkrete Aktion durchgeführt hat (Nichtabstreitbarkeit). Somit kann nachgewiesen werden, dass die eingerichteten Kontrollen zum Zugriff angemessen und effektiv sind. Es handelt sich im Idealfall um eine sicherheitsbezogene und informationssystem über greifende Kontrolle.

Question 27

Kryptografie

Answer 27

Unter der Kryptografie versteht man die Lehre von den Methoden zur Ver- und Entschlüsselung von Nachrichten zum Zweck der Geheimhaltung von Informationen gegenüber Dritten (Angreifern).

Question 28

Ein kryptografisches System legt fest, wie Klartexte in Kryptotexte transformiert (verschlüsselt/chiffriert) werden und wie Kryptotexte wieder in Klartexte zurück transformiert (entschlüsselt/dechiffriert) werden. Es besteht aus:

Answer 28

* einer Chiffre, * dem geheim zu haltenden Schlüssel (Secret Key) * einem Dechiffrierverfahren.

Question 29

Symmetrische Verschlüsselung

Answer 29

- Bei der symmetrischen Verschlüsselung wird derselbe geheime Schlüssel zum Ver- und Entschlüsseln von Nachrichten verwendet. - Sender und Empfänger müssen sich vorher auf einen gemeinsamen Schlüssel einigen und diesen geheim austauschen. - Beispiele sind die Cäsar-Verschlüsselung oder moderne Algorithmen wie AES. - Vorteil: Schnell und effizient bei großen Datenmengen. - Nachteil: Schlüsselaustauschproblem – wenn der Schlüssel in falsche Hände gerät, ist die Sicherheit gefährdet

Question 30

Asymmetrische Verschlüsselung

Answer 30

- Es werden zwei verschiedene Schlüssel verwendet: ein öffentlicher Schlüssel (public key) zum Verschlüsseln und ein privater Schlüssel (private key) zum Entschlüsseln. - Der öffentliche Schlüssel kann an alle verteilt werden, der private Schlüssel bleibt geheim. - Beispiel: Wer dir eine geheime Nachricht schicken will, verwendet deinen öffentlichen Schlüssel; nur du kannst sie mit deinem privaten Schlüssel lesen. - Vorteil: Kein geheimer Schlüsselaustausch notwendig, daher sicher über unsichere Netzwerke. - Nachteil: Langsamer als symmetrische Verfahren, daher meist nur zum Schlüsselaustausch genutzt

Question 31

IT Sicherheit

Answer 31

IT-Sicherheit bezieht sich in diesem Kontext „auf die Strategien, Vorgehensweisen und technischen Maßnahmen, die verwendet werden, um die elektronische Kommunikation abzusichern und unerlaubte Zugriffe, ungewollte Veränderungen, Diebstahl oder physische Schäden von Informationssystemen zu verhindern.“

Question 32

Wesentliche Schutzziele sind:

Answer 32

* Schutz der Vertraulichkeit (confidentiality), * Schutz der Integrität (integrity) und * Schutz der Verfügbarkeit (availability).

Question 33

Die IT-Sicherheit umfasst im Wesentlichen:

Answer 33

* die Sicherheit der Internetkommunikation und drahtloser Netzwerke, * Probleme der Systemqualität (Software und Daten), * Viren, Würmer, Trojaner und Spyware, * Hacker und Cybervandalismus, * Denial-of-Service-Angriffe, * Computerkriminalität, Cyberterrorismus und –war, * Identitätsdiebstahl, * Naturereignisse und Katastrohen (höhere Gewalt)

Question 34

Methoden und Techniken um IT-Sicherheit zu gewährleisten:

Answer 34

* Gesetzliche Vorschriften und Regelungen * Risikoanalyse * Firewalls * Kontrollen der IT-Sicherheit * Integrierte Maßnahmen (systemseitig) * Schutz des vernetzten Unternehmens (Virtuelle Private Netzwerke - VPN) * Kryptografie und Kryptoanalyse

Question 35

Softwarekontrollen

Answer 35

„Softwarekontrollen dienen der allgemeinen Überwachung von Software, um beispielsweise den unerlaubten Zugriff auf Systemsoftware oder Programme zu verhindern. Dazu gehören die Pflege der Nutzer und ihrer Rechte in den Systemen, die Nutzung von (starker) Authentifizierung oder das Monitoring von Systemen.“

Question 36

Hardwarekontrollen

Answer 36

„Hardwarekontrollen umfassen Kontrollen zur physischen Sicherheit sowie zur technischen Überwachung von Hardware. Computersysteme und Rechenzentren sollten gegen Feuer, extreme Temperaturen oder Luftfeuchtigkeit geschützt sein. Unternehmen müssen zudem Vorkehrungen für Datensicherungen und den technischen Ausfall von Hardware treffen, um einen unterbrechungsfreien Betrieb sicherzustellen (Disaster Recovery, Business Continuity).“

Question 37

Computerbetriebskontrollen

Answer 37

„Computerbetriebskontrollen überwachen die Arbeit der Computerabteilung, um sicherzustellen, dass programmierte Prozeduren konsistent sind und korrekt auf die Speicherung und Verarbeitung von Daten angewendet werden. Sie beinhalten die Kontrolle über die Einrichtung von Arbeitsplätzen für die Computerverarbeitung sowie den Computerbetrieb, ebenso wie Sicherungs- und Wiederherstellungsprozeduren für unregelmäßig abgeschlossene Verarbeitungsschritte.“

Question 38

Datensicherheitskontrollen

Answer 38

„Datensicherheitskontrollen stellen sicher, dass Informationen auf Festplatten oder anderen Datenträgern keinem unerlaubten Zugriff, Änderungen oder Beschädigungen unterliegen, während sie genutzt oder gelagert werden.“

Question 39

Implementierungskontrollen

Answer 39

„Implementierungskontrollen überprüfen den Systementwicklungsprozess, um sicherzustellen, dass der gesamte Prozess korrekt durchgeführt wird. Die Implementierungskontrollen stellen dabei sicher, dass zum Beispiel im Rahmen der Entwicklung formale Kosten-Nutzen-Methoden verwendet werden, eine angemessene Anforderungsanalyse erfolgt sowie geeignete Maßnahmen zur Qualitätssicherung und Dokumentation ergriffen werden.“

Question 40

Administrative Kontrollen

Answer 40

„Administrative Kontrollen sind formalisierte Standards, Regeln, Vorgehensweisen und Richtlinien, die gewährleisten, dass die allgemeinen Kontrollen sowie spezifische Anwendungskontrollen des Unternehmens ausgeführt werden.“

Question 41

Die Sicherheit in Netzwerken kann u. a. erreicht werden durch:

Answer 41

* Firewalls * Intrusion-Detection-Systeme * Data Leakage Prevention * Sensibilisierung der Mitarbeiter * Passwort-Management

Question 42

Vorfallmanagement (Incident Management

Answer 42

Das Vorfallmanagement (Incident Management) umfasst proaktive und reaktive Prozesse, damit Vorfälle erkannt und anschließend behandelt werden können. Das Problem Management fokussiert auf die Stabilität und die Fehlerprävention. Das Change Management befasst sich mit dem Hinzufügen, Ändern oder Entfernen von allem, was sich auf IT-Services auswirken könnte. Dazu gehören alle IT-Services, Configuration Items, Prozesse, Dokumentationen etc.

Question 43

Incident Management

Answer 43

Störungsbearbeitung - Wiederherstellung des erwarteten Betriebszustands nach einem Störfall.

Question 44

Problem Management

Answer 44

Probleme im Lebenszyklus oder viele Incidents - nachhaltige Beheben von Problemen.

Question 45

Change Management

Answer 45

Sicherstellung, dass alle Anpassungen an der ITInfrastruktur kontrolliert, effizient und unter Minimierung von Risiken für den Betrieb des Systems durchgeführt werden.

Question 46

Informationssicherheit ist ein ganzheitlicher Ansatz

Answer 46

Informationssicherheit ist ein ganzheitlicher Ansatz zur Wahrung der Sicherheit von Informationen in all ihren Formen – digital, analog oder verbal. Der Begriff umfasst den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit (bekannt als das CIA-Triad-Modell) von Informationen.

Question 47

Teile vom Ganzheitlichen Ansatz

Answer 47

* Organisatorische Maßnahmen: Sicherheitsrichtlinien, Schulungen und Sensibilisierungsprogramme, die das Verhalten der Mitarbeitenden steuern. * Physische Sicherheitsmaßnahmen: Zutrittskontrollen, Überwachungssysteme und der Schutz von Anlagen, in denen wichtige Informationen gespeichert oder bearbeitet werden. * Technische Maßnahmen: Hierunter fallen Aspekte, die auch in der IT-Sicherheit adressiert werden, wie Zugriffskontrollen, Verschlüsselung und Netzwerkschutz.

Question 48

Malware ist der Oberbegriff für „Schadsoftware“ wie Viren, Würmer, trojanische Pferde

Answer 48

Angreifer (kriminelle Organisationen, politisch und wirtschaftlich orientierte Spione, Terroristen, Strafverfolger usw.) nutzen Softwareschwachstellen und menschliche Unzulänglichkeiten aus, um Malware auf IT-Systemen zu installieren. * Angreifer können Informationen von IT-Systemen mithilfe von Keyloggern und Trojanern auslesen, * IT-Systeme für die Spam-Verteilung und DDoS-Angriffe nutzen * sowie mit Ransomware Daten verschlüsseln und Lösegeld für die Entschlüsselung verlangen

Question 49

Advanced Persistent Threat (APT)

Answer 49

„Unter einem Advanced Persistent Threat (APT) wird in der Regel ein gezielter Angriff mit komplexen Angriffstechnologien- und Taktiken sowie aufwendigen Hintergrundinformationen eines Opfer-IT-Systems und dessen Umgebung verstanden.“

Question 50

Schwachstellen durch die Nutzung mobiler Geräte

Answer 50

* Physischer Verlust Ständig wechselnde unsichere Umgebungen (Flughäfen, Bahnhöfe, Cafés). * Einblick in die Privatsphäre der Nutzer (z. B. durch eine (Bewegungs-)profilbildung) * einfache Möglichkeit der Einsichtnahme in der Öffentlichkeit. * Gefahr durch bösartige Apps und * durch manipulierte Hotspots.

Question 51

Schwachstellen durch E-Mails

Answer 51

Die Kommunikation via E-Mail hat eine besondere Bedeutung im sowohl im geschäftlichen als auch privaten Kontext. Die Umsetzung und Nutzung von Cyber- Sicherheitslösungen ist allerdings viel zu gering.

Question 52

Schwachstellen durch manipulierte IT

Answer 52

In Cyber-Sicherheitsprodukte können ggf. Hintertüren eingefügt worden sein. Manipulierte Cyber-Sicherheitsstandards und –technologien können so Internetaktivitäten unsicher machen.

Question 53

Schwachstellen durch unsichere IoT-Geräte

Answer 53

Iot-Geräte können vielfach leicht manipuliert und Cyber-Sicherheitsstandards und – technologien umgangen werden. Wenn Angreifer Zugriff z. B. auf Überwachungskameras haben, verletzt das ggf. die Persönlichkeitsrechte von Bewohnern und erhöht die Wahrscheinlichkeit eines Einbruches,

Question 54

Cyber-Sicherheitssysteme

Answer 54

Cyber-Sicherheitssysteme müssen geeignet sein, realen Risiken zu entgegnen und Angriffen wirkungsvoll abzuwehren. Neben solchen Systemen dienen Regeln und die Sensibilisierung von Mitarbeiter als Vorsichtsmaßnahme Angriffe zu erkennen bzw. diese bewusst oder unbewusst zu verhindern.