Kapitel 1 - Grundlagender IT-Sicherheit

Question 1

Was versteht man unter Informationssicherheit?

Answer 1

Schutz von Informationen unabhängig von ihrer Darstellung oder Form, z. B. Papier oder elektronisch. Sie ist relativ zu einem Schutzziel zu verstehen.

Question 2

Was versteht man unter IT-Sicherheit?

Answer 2

Teilgebiet der Informationssicherheit, das sich mit dem Schutz elektronisch verarbeiteter Informationen beschäftigt.

Question 3

Wie unterscheiden sich Daten und Informationen?

Answer 3

DATEN sind Repräsentationen von Informationen, z. B. als Bytefolge.

INFORMATIONEN haben Neuigkeitswert und ergeben sich durch Interpretation der Daten.

Question 4

Was ist ein IT-System?

Answer 4

Ein System, das Informationen speichert, verarbeitet und über definierte Schnittstellen überträgt.

Question 5

Was ist ein IT-Verbund?

Answer 5

Ein Zusammenschluss technischer, organisatorischer und personeller Ressourcen zur Informationsverarbeitung.

Question 6

Was ist der Unterschied zwischen Security und Safety?

Answer 6

Security: Schutz vor vorsätzlichen Bedrohungen; Safety: Schutz vor unbeabsichtigten Gefahren.

Question 7

Definition Authentisierung und Authentifikation?

Answer 7

Authentisierung: Nachweis der Identität durch das Subjekt. Authentifikation: Prüfung dieses Nachweises durch das System.

Question 8

Was ist Autorisierung?

Answer 8

Die Zuweisung von Zugriffsrechten auf Ressourcen nach erfolgreicher Authentifikation.

Question 9

Welche sieben Schutzziele gibt es?

Answer 9

Vertraulichkeit, Integrität, Authentizität, Zurechenbarkeit, Verfügbarkeit, Anonymität, Pseudonymität.

Question 10

Was bedeutet Vertraulichkeit?

Answer 10

Zugriff nur für autorisierte Personen oder Systeme.

Question 11

Was bedeutet Integrität?

Answer 11

Vollständigkeit und Unverfälschtheit von Informationen.

Question 12

Was bedeutet Authentizität?

Answer 12

Sicherstellung, dass eine Information vom behaupteten Urheber stammt.

Question 13

Was bedeutet Zurechenbarkeit?

Answer 13

Der Urheber kann die Erzeugung der Information nicht abstreiten (Nichtabstreitbarkeit).

Question 14

Was bedeutet Verfügbarkeit?

Answer 14

Berechtigte Nutzer können Informationen und Dienste nutzen, wenn sie benötigt werden.

Question 15

Was bedeutet Anonymität?

Answer 15

Die Identität des Nutzers kann nicht oder nur sehr schwer festgestellt werden.

Question 16

Was bedeutet Pseudonymität?

Answer 16

Die Identität ist durch eine Zuordnungsvorschrift theoretisch rekonstruierbar.

Question 17

Was ist eine Gefahr?

Answer 17

Ein Sachverhalt, der potenziell Schaden verursachen kann, ohne konkreten Bezug zu einem System oder Ziel.

Question 18

Was ist eine Bedrohung?

Answer 18

Eine Gefahr mit konkretem Bezug zu einem bestimmten Schutzziel.

Question 19

Was ist eine Gefährdung?

Answer 19

Eine Situation, in der eine Bedrohung auf eine Schwachstelle trifft.

Question 20

Was ist eine Verwundbarkeit?

Answer 20

Eine Schwachstelle oder Sicherheitslücke eines Systems.

Question 21

Was ist ein Risiko?

Answer 21

Das Produkt aus Eintrittswahrscheinlichkeit einer Bedrohung und Schadenshöhe.

Question 22

Welche Gefährdungskategorien nennt das BSI?

Answer 22

Höhere Gewalt, vorsätzliche Handlungen, technische Fehler, Fahrlässigkeit, organisatorische Mängel.

Question 23

Was ist ein Angriff in der IT-Sicherheit?

Answer 23

Ein Angriff ist eine zielgerichtete Handlung, um eine Schwachstelle auszunutzen und ein Schutzziel zu verletzen.

Question 24

Welche Angreifertypen unterscheidet man laut Studienbrief?

Answer 24

Laut Studienbrief unterscheidet man Skriptkiddies, professionelle Angreifer, Insider, Nachrichtendienste und Cyberterroristen.

Question 25

Wie lassen sich Angriffe abwehren?

Answer 25

Durch präventive, detektive und reaktive Maßnahmen wie Firewalls, IDS, Patches, Backup-Strategien und Incident-Response-Pläne.

Question 26

Was ist unter dem rechtlichen Rahmen in der IT-Sicherheit zu verstehen?

Answer 26

Gesetzliche Anforderungen wie Datenschutzgesetze, Strafrecht, IT-Sicherheitsgesetz sowie technische Normen und Standards (z. B. ISO/IEC 27001).

Question 27

Was bedeutet 'Privacy by Design'?

Answer 27

Ein Datenschutzkonzept, bei dem der Schutz personenbezogener Daten bereits bei der Entwicklung von IT-Systemen berücksichtigt wird.

Question 28

Was ist IT-Sicherheitsmanagement?

Answer 28

Ein strukturierter Prozess zur Planung, Umsetzung und Kontrolle von Maßnahmen zur Sicherstellung der IT-Sicherheit.

Question 29

Was ist eine Information Security Policy?

Answer 29

Ein Dokument, das Ziele, Regeln und Maßnahmen zur Informationssicherheit in einer Organisation beschreibt.

Question 30

Was sind Grundprinzipien von Privacy by Design nach Ann Cavoukian?

Answer 30

1. Proaktiv statt reaktiv; präventiv statt Abhilfe 2. Datenschutz als Standardeinstellung 3. Datenschutz eingebettet ins Design 4. Sichtbarkeit und Transparenz

Question 31

Was fordert das Bundesdatenschutzgesetz (BDSG)?

Answer 31

Datenvermeidung, Datensparsamkeit, Einwilligung oder gesetzliche Grundlage zur Verarbeitung, technische und organisatorische Schutzmaßnahmen (§9 BDSG).

Question 32

Was ist das Ziel des KonTraG?

Answer 32

Das Gesetz verpflichtet Unternehmen zur Einführung eines Risikofrüherkennungssystems, z. B. bei Gefährdung durch mangelnde IT-Sicherheit.

Question 33

Welche Gesetze bilden den rechtlichen Rahmen der IT-Sicherheit?

Answer 33

BDSG, KonTraG, TDDSG, TKG

Question 34

Was ist das Ziel des Security Managements?

Answer 34

Sicherheitsmaßnahmen planen, umsetzen und regelmäßig evaluieren; Sicherheit als kontinuierlicher Prozess verstehen.

Question 35

Was ist eine Information Security Policy?

Answer 35

Dokument mit Zielen, Verantwortlichkeiten, Regeln und Maßnahmen zur Gewährleistung der Informationssicherheit in einer Organisation.

Question 36

Was beschreibt die ISO/IEC 27000-Reihe?

Answer 36

Eine internationale Normreihe für Informationssicherheits-Managementsysteme (ISMS), insbesondere ISO/IEC 27001 und 27002.

Question 37

Was umfasst eine Security Policy laut ISO/IEC 27002?

Answer 37

Verantwortliche, Ziel und Geltungsbereich, Risiko, detaillierte Maßnahmen, Vorgehen bei Verstößen.