Zusammenfassung/Fokus

Question 1

Methoden zur Erhebung des IST-Zustands

Answer 1

• Interviews
• Selbstauskunft
• Audit
• Vulnerability Scan
• Penetration Test

Question 2

Reifegradanalyse Definition

Answer 2

Erhebung, wie gut die Fähigkeit einer Organisation ist, Prozesse und Maßnahmen durchzuführen

Question 3

Gap Analyse vs. Reifegradanalyse

Answer 3

• Gap Analyse: Konkrete Anforderungen und Ja/Nein möglich, aber dafür nur Prüfung der Anwesenheit von Prozessen
• Reifegradanalyse: Genauere Analyse möglich, aber der dahinterliegende Prozess ist identisch

Question 4

Cyber Security Strategie: Erhebung des Startpunktes

Answer 4

• Geschäftsstrategie (Zielbild, Maßnahmen zur Zielerreichung)
• IST-Zustand (Reifegraderhebung)
• Risiken (Art des Geschäfts, Art der Geschäftsführung, Umgebung)

Question 5

Inhalte der ISO 27001

Answer 5

• Verfügbarkeit:
  -> Führungsverhalten und Verpflichtungen
  -> Dokumentation
• Integrität:
  -> Fähigkeiten und Awareness
  -> ISMS-Prozesse
  -> Lieferantenbeziehungen
  -> Interne Audits
• Vertraulichkeit:
  -> Leitlinie und Richtlinien
  -> Rollen und Verantwortlichkeiten
  -> Risikomanagement
  -> Performance Monitoring & KPIs

Question 6

Aufbau der ISO 27001

Answer 6

• PDCA Zyklus
• Klausel 4: Kontext der Organisation
• Klausel 5: Führung
• Klausel 7: Unterstützung

Question 7

Interner und externer Geltungsbereich (Scope ISMS)

Answer 7

• Intern: Unternehmen, interne Vorgaben, Kultur, Struktur, Standorte, Assets, Geschäftsmodell
• Extern: Gesetzliche Anforderungen, Regulatorische Anforderungen, Vertragliche Anforderungen, Dienstleister, Kunden

Question 8

Möglichkeiten zur Begrenzung des Geltungsbereiches

Answer 8

• Grenzdefinition über Zutritt
• ” über Zugang und Zugriff
• ” über organisatorische Grenzen

Question 9

Aufbau einer typischen ISMS-Dokumentation

Answer 9

• Leitlinie: Allgemeine Sicherheitsziele
• Allgemeine Sicherheitskonzeption: Anwendungsorientierte Richtlinien mit Anforderungen und zugehörigen Maßnahmen
• Detaillierte Regelungen: konkrete Arbeitsanweisungen mit technischen Details

Question 10

Führung eines ISMS

Answer 10

• Top Management
• ISO
• Fachbereich

Question 11

Typische Schulungsinhalte für Endnutzer

Answer 11

• Sicherheitsrichtlinien
• Nutzung privater Dateien/Systeme
• Verwaltung von Sicherheitsvorfällen
• Sicherheit von Laptops & Handys
• Schutz vor Viren
• Verwendung von Passwörtern
• Richtige Nutzung des Internets
• Datensicherung & -speicherung
• Individuelle Rolle & Verantwortung

Question 12

Werkzeuge zur Überwachung des ISMS

Answer 12

• Kennzahlensystem
• Interne Audits
• Management Review

Question 13

Vorgehensweise BSI IT-Grundschutz für ISMS

Answer 13

• Strukturanalyse/Analyse des IST-Zustands
• Schutzbedarfsfeststellung
• Modellierung (Auswahl der Sicherheitsanforderungen)
• IT-Grundschutz-Check 1 (Soll-Ist-Vergleich)
  -> Risikoanalyse
• Konsolidierung
• IT-Grundschutz-Check 2
• Realisierung der Maßnahmen
  –> Aufrechterhaltung und Verbesserung

Question 14

Asset Register Zusammenstellen

Answer 14

• Interviews mit Fachbereichen
• Netzwerk Scans
• Prozesslandkarte

Question 15

Schutzbedarfsfeststellung

Answer 15

• Einstufung nach Schutzzielen mit qualitativer Skala
• Frage: Wie schützenswert ist das Asset?

Question 16

Prinzipien der Schutzbedarfsfeststellung

Answer 16

• Maximumsprinzip
• Kumulationseffekt
• Abhängigkeitseffekt
• Verteilungseffekt

Question 17

Riskomanagementprozess nach ISO 27005

Answer 17

• Festlegung des Kontexts
• Risikoassessment (Identifikation, -analyse, -bewertung/-priorisierung)
• Risikobehandlung
  -> Risikobehandlung & -überwachung und -überprüfung
  -> Risikokommunikation
• Dokumentatierte Informationen

Question 18

Ziele des Vulnerability Managements

Answer 18

Ziel des Schwachstellenmanagements ist also, sich über existierende Schwachstellen bewusst zu sein und diese dann so gut es geht abzusichern. Für ein gutes Schwachstellenmanagement ist abermals zu beachten:
* es müssen Rollen und Verantwortlichkeiten festgelegt sein
* die identifizierten Anforderungen und die daraus resultierenden Handlungen müssen sauber dokumentiert werden
* Aufgaben müssen priorisiert werden, denn man kann nicht einfach jede gefundene Schwachstelle gleichbehandeln.

Question 19

Security Development Lifecycle

Answer 19

• Training
• Anforderungen
• Design
• Implementierung
• Verifizierung
• Release
• Reaktion

Question 20

Outsourcing Anforderungen

Answer 20

• Durchführung von Audits
• Weitergabe von Sicherheitsanforderungen

Question 21

Security Information and Event Management (SIEM)

Answer 21

• zentrale Korrelation von verschiedenen Ereignissen über Systeme hinweg
• Identifizierung von erwarteten, unerwarteten Ereignissen, Behandlung von “Rauschen” (verwirrende/irreführende Daten, die von Logs erzeugt werden)

Question 22

Anforderungen an Backups

Answer 22

• Aufbewahrungsdauer
• Lagerort
• Umweltkontrollen
• Speichermedium
• Daten
• Häufigkeit
• Schutz
• Berechtigungen

Question 23

Capacity Management

Answer 23

• Ziel: Sicherstellung und Verbesserung der Verfügbarkeit von Ressourcen und ihre Effizienz
• Maßnahmen: nicht benötigte Daten löschen, Optimierung von Zeitplänen. Einschränkung der Bandbreite, Stilllegung von Anwendungen/Systemen, Optimierung von Datenbankabfragen
• Benötigte Ressourcen: Dokumentation, Prozesse, Verantwortlichkeiten

Question 24

Berechtigungsmanagement

Answer 24

• Need-to-know, Least Privileges, Funktionstrennung
• Berechtigungskonzept
• Rollenbasierte Berechtigungssteuerung
• Berechtigungsreviews

Question 25

Patch Management Aspekte

Answer 25

- Tests - Planung - Dokumentation - Prüfung der Softwarepakete - Informierung über Updates - Priorisierung - Rückfalllösungen - Verantwortlichkeiten

Question 26

Change Management nach BSI

Answer 26

- Steuer- und kontrollierbarmachung von verändernden Eingriffen in Anwendungen, Infrastruktur, Dokumentationen, Prozesse und Verfahren

Question 27

Schutz vor Malware nach ISO 27002

Answer 27

- Verwendung unterschiedlicher Malware Protection System Produkte - Schwachstellenmanagement - Blacklisting von schädlichen Webseiten - Awareness-Maßnahmen - Malware Scans - Prozesse und Dokumentationen

Question 28

Ablauf der Bewältigung eines Notfalls

Answer 28

- Eintritt eines Schadensereignisses - Sofortmaßnahmen - Alarmierung und Eskalation zu einem Notfall - Ausrufen des Notfalls - Wiederanlauf in den Notbetrieb - Notbetrieb - Nacharbeiten - Analyse der Notfallbewältigungen

Question 29

Information System Contingency Planning Process

Answer 29

- Entwicklung der Notfallplanungspolitik - Durchführung der BIA - Identifizierung von Präventivkontrollen - Entwicklung von Strategien für unvorhergesehene Ereignisse - Plunge von Tests, Schulungen und Übungen - Plan-Pflege

Question 30

Ebenen von Cloudservices

Answer 30

- IaaS - PaaS - FaaS - SaaS

Question 31

Sicherheitsbedenken bei der Cloud Nutzung

Answer 31

- Kontrollverlust - Änderungen von Rahmenbedingungen - Vendor Lock-In - Verlust der Vertraulichkeit - Unzureichende Schutzmaßnahmen - Gefahr durch Identitätsdiebstahl - Verletzung geltender Vorgaben - Weitergabe der Daten an Sub-Dienstleistern

Question 32

Incident Response Life Cycle

Answer 32

- Preparation - Detection & Analysis - Containment, Eradication & Recovery - Post-Incident Activity

Question 33

Zieldefinition Aspekte

Answer 33

- Strategische Relevanz - Risikorelevanz - Nachhaltigkeit - Effizienz - Stakeholder-Unterstützung

Question 34

KPI Aspekte

Answer 34

- Messbarkeit - Erreichbarkeit - Aussagekräftige Datenbasis - Ableitung von Maßnahmen - Spezifisch - Wiederspiegelung des Reifegrads - Ergebnisorientiert - Angemessener Aufwand zur Erhebung - Zeitlich gebunden - Technisch/Organisatorisch

Question 35

Prinzipien des Cloud Computings

Answer 35

- Broad Network Access - Resource Pooling - On Demand Self Service - Rapid Elasticity - Measured Service