Informationssicherheit & Datenschutz

Question 1

Daten

Answer 1

Digitale in Rechner-Systemen verarbeitete Informationen

Question 2

Informationen

Answer 2

Analog und/oder
Digitale

Question 3

Wissen

Answer 3

Entsteht durch Verknüpfung von Informationen

Kontext

Ziel/Zweck der Informationen

Question 4

IT-Sicherheit

Answer 4

System-Sicherheit

Question 5

Informationssicherheit

Answer 5

Datensicherheit

Sicherheit von Abläufen

Sicherheit von Prozessen

+ IT-Sicherheit

Question 6

Sicherheit

Answer 6

physische Sicherheit

Personelle Sicherheit

+ Informationssicherheit

Question 7

Begriff Informationssicherheit

Answer 7

Unerheblich ob analoge/digitale Informationen

Dynamisch: veränderliche Situationen & Angriffe

Cyber-Angriffe: Schutzmaßnahmem, Abwehr/Reaktion

Question 8

Begriff Compliance

Answer 8

Statisch

Baseline Security / manchmal konkrete Vorgaben

Erfüllung rechtlicher & vertraglicher Anforderungen

Question 9

Begriff Datenschutz

Answer 9

Schutz Personen-bezogener Daten

häufig juristisch & statisch geprägt

Erfüllung rechtlicher Anforderungen (DSGVO)

Dynamische Reaktion auf Datenschutz-Vorfälle erforderlich

Question 10

Basis-Sicherheits-Ziele

Answer 10

Vertraulichkeit

Integrität

Verfügbarkeit

Question 11

Basis-Sicherheits-Ziele
Vertraulichkeit

Answer 11

Schutz gegen unberechtigten Zugriff Dritter auf Informationen

Question 12

Basis-Sicherheits-Ziele
Integrität

Answer 12

Schutz gegenüber Veränderung von Informaitionen

Veränderung: unabsichtlich / absichtlich

Question 13

Basis-Sicherheits-Ziele
Verfügbarkeit

Answer 13

…von Daten und Systemen

Ausfall kann Existenz-bedrohend sein

Question 14

Erweitere-Sicherheits-Ziele
Authentizität

Answer 14

Absender einer Nachricht ist eindeutig

Nachricht kommt tatsächlich vom angeblichen Absender

Question 15

Erweitere-Sicherheits-Ziele
Autorisierung

Answer 15

Nur berechtige Personen haben Zugriff

Question 16

Zurechenbarkeit / Accountability

Answer 16

Nachweisbarkeit von Inhalten / Absender/Urheberschaft ggü. Dritten

juristisch verwendbar

Verbindlichkeit

Nicht Abstreitbarkeit

Question 17

Status von Daten

Answer 17

Data at Rest

Data in Transit

Data in Use

Question 18

Weitere Sicherheitsziele

Answer 18

Konsistenz
Fairness/Diskriminierungsfreiheit
nonymität
Abstreitbarkeit

-> teilweise wiederspruch zu anderen Sicherheits-zielen

Question 19

Operative Schwachstellen

Answer 19

Fehlerhafte Installation, Konfiguration oder Umsetzung von Maßnahmen

Fahrlässigkeit

Mangelnde Praktikabilität

Question 20

Konstruktive Schwachstellen

Answer 20

Fehler in Anforderun, Design, Implementierung
-> Extremfall: keine expliziten Sicherheits-Anforderungen

z.B Fehler in verwendeter Software
auch Fehler in Prozessen

Question 21

Bedrohungen Typ 1

Answer 21

Zufällige Ereignisse

Charakterisierbar durch Eintrittshäufigkeit

Häufig bei “Verfügbarkeit”

bsp. Ausfall Festplatte

Question 22

Bedrohungen Typ 2

Answer 22

Vorsätzliche Handlungen von Personen -> Angriffe

Angreifer kann Schutzmechanismen bewusst umgehen

Eintrittshäufigkeit?

Question 23

Angriff

Answer 23

Vorsätzliche Verletzung eines/mehrere Sicherheits-Ziele unter Ausnutzung von Schwachstellen

Question 24

Passiver Angriff

Answer 24

Angreifer tritt selbst nicht in Erscheinung

Schwer zu entdecken

z.B. Abhören einer vertraulichen Nachricht

Question 25

Aktiver Angriff

Answer 25

Angreifer tritt in Erscheinung z.B. Fälschen, Löschen, Sabotage

Question 26

Angreifer - Außentäter

Answer 26

Angriff erfolgt von außen z.B. aus dem Internet Schnittstelle zum Internet häufig vergleichsweise gut geschützt

Question 27

Angreifer - Innentäter

Answer 27

Täter hat berechtigten Zugriff auf Systeme (Autorisierung) Privilege Escalation: Unberechtiger Zugriff auf weitere Ressourcen Weitergabe von Informationen Häufig schwer zu entdecken

Question 28

Motiv für Angriff

Answer 28

Business Spaß Rache Ideologie Militärisch/Geheimdienstlich Terrorisitsch

Question 29

Gefährdung

Answer 29

Schwachstelle + Bedrohung

Question 30

Risiko

Answer 30

Betrachtung der Eintrittswahrscheinlichkeit und Schadensfolge

Question 31

Control

Answer 31

Sicherheitsmaßnahme Ziel: Senkung des Risikos Eintrittschwahrscheinlichkeit senken Schadensfolgen senken

Question 32

Zusammenwirken von Sicherheits-Mechanismen

Answer 32

Weakest Link Best Shot Summ of Efforts

Question 33

Weakest Link

Answer 33

Schwächste Glied in der Kette bestimmt gesamt Sicherheit

Question 34

Best Shot

Answer 34

Beste Abwehrmaßnahme zählz, die anderen bleiben ohne Effekt

Question 35

Sum of Efforts

Answer 35

Verschiedene Abwehrmaßnahmen verstärken sich in der Wirkung

Question 36

Defense in Depth

Answer 36

Mehrere unabhängige Sicherheitsmechanismen zusammenwirken gemäß Sum of Efforts

Question 37

Least Privilege

Answer 37

passgenau zugeschnittene Zugriffsreche für Subjekte

Question 38

Wirkmechanismen von Security Controls

Answer 38

Präventiv Entdeckend Korrigierend Abschreckend

Question 39

Wirkmechanismen - Präventiv

Answer 39

Verhindern Sicherheitsvorfälle z.B. Firewall, die Zugriffe von außen auf interne Systeme blockiert

Question 40

Wirkmechanismen - Entdeckend

Answer 40

Entdecken Sicherheitsvorfälle Dokumentation für Untersuchungen z.B. intrusion-Detection-System; Bewegungsmelder

Question 41

Wirkmechanismen - Korrigierend

Answer 41

z.B. Löschen von Viren; Feuerlöcher

Question 42

Wirkmechanismen - Abschreckend

Answer 42

Das Vorhanden-Sein von Schutz-Mechanismen kann Angreifer abschrecken z.B Kamera-Attrappe

Question 43

IT-Sicherheit Einflussfaktoren

Answer 43

Kostendruck Innovationsgeschwindigkeit Trends

Question 44

Warum IT-Sicherheit? Wirtschaftliche Betrachtung

Answer 44

Risiko-Betrachtung Qualitätsmerkmal, Wettbewerbsvorteil

Question 45

Warum IT-Sicherheit? Compliance-Anforderungen

Answer 45

Datenschutz IT-Sicherheitsgesetzt, Kritische Infrastrukturen, NIS2 Branchen-Spez. Vorschriften, Lieferketten Automotive, Lufttfahrt Banken, Finanzen PCI-DSS (Kreditkarten-Daten)

Question 46

KritIS

Answer 46

Kritische Infrastruktur

Question 47

Pflichten für KritIs-Betreiber

Answer 47

Kontaktstelle für die betriebene Kritische Infrastruktur benennen It-Störungen/erhebliche Beeinträchtigungen melden IT-Sicherheit auf dem "Stand der Technik" umsetzten dies alle zwei Jahre ggü- BSI nachweisen

Question 48

TKG

Answer 48

Telekommunikationsgesetz

Question 49

ISMS

Answer 49

Informationssicherheitsmanagement-Systeme

Question 50

Ziele beim Einsatz von Standards

Answer 50

Kostensenkung Einführung eines angemessenen Sicherheitsniveau Wettbewerbsvorteile

Question 51

ISMS Definition

Answer 51

consists of the policies, procedures, guidelines and associates resources and activities, collectively managed by an organization in the pursuit of protecting its information assets

Question 52

ISMS Erfolgsfaktoren (auszug)

Answer 52

Awarness responsibility management commitment risk assessments security als essential element prevention and detection of security incidents continual reassessment

Question 53

ISMS - Bestandteile

Answer 53

Sicherheitsprozess Mitarbeiter Managementprinzipien Ressourcen

Question 54

PDCA

Answer 54

Plan Do Check Act

Question 55

CISO

Answer 55

Central Information Security Officer

Question 56

ITSB

Answer 56

IT-Sicherheitseauftrager

Question 57

IT Security Policy

Answer 57

Sicherheitsleitlinie Unterschrieben von Unternehmensleitung Beschreibung: Anwendungsbereich Stellenwert der Informationssicherheit Bezug zu Geschäftszielen angestrebe Informationssicherheitziele Kernelemente der Sicherheitsstrategie Commitment der Leitung Verpflichtung aller MA

Question 58

Dokumenten Pyramiede

Answer 58

Leitlinie -> Strategie Richtilinien _> Anforderungen Maßnahmen, Empfehlungen -> Umsetzung

Question 59

BSI

Answer 59

Bundesamt für Sicherheit und Informationstechnik

Question 60

IT-Grundschutz-Kompendium

Answer 60

ersetzt Grundschutz-Katalog Formulierung vin Anforderung, statt konkreter Maßnhamen Elementare Gefährdungen Bausteine Umsetzungshinweise

Question 61

PDCA - P

Answer 61

Planung und Konzeption Auswahl einer Methode zur Risikobewertung Klassifikation von Risiken/Schäden Risikobewertung Entwicklung Strategie zur Behandlung von Risiken Auswahl von Sicherheitsmaßnahmen

Question 62

PDCA - D

Answer 62

Do - Umsetzung Realisierungsplan für Sicherheitskonzept Umsetzung der Sicherheitsmaßnahmen Überwachung und Steuerung der Umsetzung Aufbau der Notfallvorsorge und Behandlung von Sicherheitsvorfällen Schulung uns Sensibilisierung

Question 63

PDCA - C

Answer 63

Check - Erfolgskontrolle & Überwachung Detektion von Sicherheitsvorfällen im laufenden Betrieb Überprüfung Einhaltung von Vorgaben, Effizient der Sicherheitsmaßnahmen, ... Managementberichte

Question 64

PDCA - A

Answer 64

Act - Optimierung und Verbesserung Beseitigung von Fehlern Verbesserung von Sicerheitsmaßnahmen

Question 65

Erstellung einer Sicherheitskonzeption (BASIS)

Answer 65

Geltungsbereich festlegen Auswahl & Prio relevanter Bausteine IT-Grundschutz-CHeck Realisierung der Maßnahmen Auswahl Vorgehensweisen

Question 66

Strukturanalyse

Answer 66

Erfassung der Zielobjekte Verknüpfung zwischen Zielobjekten

Question 67

Zielobjekte

Answer 67

Verbund Gebäude Raum IT-System Netz Anwendung Mitarbeiter

Question 68

Basis-Sicherheitschecks

Answer 68

Soll-Ist-Vergleich: - organisatorische Vorarbeiten - Vergleich - Ergebnissdokumentation

Question 69

Operative Schwachstellen

Answer 69

Fehlerhafte Installation oder Konfiguration Fehlerhafte Umsetzung von maßnahmen Fahrlässigkeit Mangelnde Praktikabilität

Question 70

Konstruktive Schwachstellen

Answer 70

Fehler in Anforderung, Design, Implementierung Fehler in Verwendeter Software oder Prozessen

Question 71

Typische Angriffsphasen

Answer 71

Reconnaissance Scan Zugriff erhalten Zugriff sicherstellen Ausbreitung auf weitere Systeme Ausnutzen des Zugriffs

Question 72

Reconnaissance

Answer 72

Informationen Sammeln - Open Soucre Intelligence (OSINT) Personen/Organisationen - Veröffentlichungen, Social Media.... Systeme - DNS-Einträge, DNS-Nameserver, IP-Ranges, ...

Question 73

Social Engineering

Answer 73

Zwischenmenschliche Beeinflussung einer Person Vertrauen einer Person gewinnen (manipulativ/unberechtigt)

Question 74

Social Engineering - häufige Methoden

Answer 74

Phishing CEO Fraud Baiting Tailgaiting

Question 75

Phishing

Answer 75

Varianten: Spear Phishing, Whaling Abgreifen sensibler Informationen Installation von Schadsoftware

Question 76

CEO Fraud

Answer 76

Anruf vorgeblich vom Oberchef mit dringendem Spezial-Auftrag

Question 77

Baiting

Answer 77

z.B. USB-Stick mit Schadsoftware "finden" lassen

Question 78

Tailgaiting

Answer 78

Zutritt zu Gebäuden durch sinnvolle Story ("Handwerker")

Question 79

SQL Injection

Answer 79

Ausnutzen von Sicherheitslücke in Bezug auf Relationale Datenbanken Folgen: - Auslesen der kompletten Datenbank - Manipulation der DB - Start von Betriebssystem-Prozessen - Übernahme des Systems, Basis für weitere Angriffe

Question 80

CVE

Answer 80

Common Vulnerability Enumeration (Sammlung von Verwundbarkeiten)

Question 81

CWE

Answer 81

Common Weakness Enumeration (Klassifizierung von Schwachstellen) Unterschiedliche Abstraktionsstufen

Question 82

CVSS

Answer 82

Common Vulnerability Scoring System

Question 83

Sichere Software-Entwicklung

Answer 83

Security by Design Privacy by Design Shift-Left-Ansatz

Question 84

DevSecOps

Answer 84

Integration von Development + Security + Operations Natürliche Erweiterung des DevOps-Ansatzes Security nicht als nachgelagerte "Spaßbremnse" Integration in kompletten Prozess Kolaborativer Ansatz Automatisierung von Sicherheitstests

Question 85

Sicherheitstests

Answer 85

SAST DAST

Question 86

SAST

Answer 86

Static Application Security Testing White Box: Test des Source.Codes automatisierbar Einbindung in veraltete/unsichere Software Verwendung inserer Funktionen/Konfigurationen Problem: False positive

Question 87

DAST

Answer 87

Dynamic Application Security Testing Test des Verhaltens der Anwendung zur Laufzeit Aufwändiger als SAST Automatisierte Tests nicht vollständig Pentests Redteam tests

Question 88

Einbindung Cloud-Dienste: Problemfelder

Answer 88

Vertragsverhältnis/Lizenz SLAs Datenschutz Identity Management Access Management

Question 89

Malware

Answer 89

Sammelbegriff für schädliche, ungewolte Software Unterscheidung Methode nach Ausbreitung: - Viren - Trojaner - Würmer

Question 90

Viren

Answer 90

Selbst-Replikation Nisten sich in andere Programme/Dokumente und können von dort aktiviert werden

Question 91

Trojaner

Answer 91

Schadroutine versteckt in nützlichem Programm

Question 92

Würmer

Answer 92

Selbst-Replikation über Netz / anfällige Dienste

Question 93

Antivirus

Answer 93

Signatur-basiert Verhaltens-basiert Reputations-basiert

Question 94

Antivirus - Signatur-basiert

Answer 94

Malware wird anhand Bitmuster erkannt Klassischer Ansatz Ausgehebelt durch polymrphe Viren

Question 95

Antivirus - Verhaltens-basiert

Answer 95

Erkennen von schädlichen/verdächtigen Aktionen Ähnlich IDS (Intrusion Detection System) -> Endpoint Protection

Question 96

Antivirus - Reputations-basiert

Answer 96

"Schwarm-Intelligenz" Annahme: "Bekannte" Dateien sind unschädlich Herausforderung: Neue/selbst entwickelte Programme

Question 97

Angriffe mit KI

Answer 97

Automatisiertes Social Engineering Automatisiertes Finden und Ausnutzen von Schwachstellen

Question 98

EU AI Act / KI-Gesetz

Answer 98

weltweit erstes Gesetz, dass sich dediziert mit KI beschäftigt Ziel: trustwothy AI Einteilung von KI Systemen in 4 Risikostufen

Question 99

EU AI Act / KI-Gesetz - 4 Risikoebenen

Answer 99

Unacceptable Risk High Risk Limited Risk Minimal Risk