1: Einführung/Grundlagen

Question 1

Warum ist IT Sicherheit wichtig?

Answer 1

• Alles wird mit dem Internet verbunden
• Alles wird über Internet gesteuert
• Internet wird zu kritischen Infrastruktur
• Unmengen an Daten werden durch allgegenwärtige Sensorik generiert

Question 2

Unterschied zwischen Safety und Security?

Answer 2

Safety: Vom System darf keine Gefährdung ausgehen
Security: Das System muss resistent gegen externe Angriffe sein

Question 3

Definition IT-System

Answer 3

System (Hard Software) zur Erzeugung, Erfassung, Übertragung, Verteilung, Darstellung, Verarbeitung von Information

Question 4

Definition: Datensicherheit/IT-Sicherheit

Answer 4

Zustand eines IT-Systems in dem die Risiken die beim Einsatz dessen aufgrund von Bedrohungen vorhanden sind durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind

Question 5

Definition: Datenschutz

Answer 5

Maßnahmen die getroffen werden um Individuen vor Missbrauch beim Umgang mit personenbezogenen Informationen zu schützen & Persönlichkeitsrechte zu wahren

Question 6

Definition: Verwundbarkeit

Answer 6

Schwachstelle des Systems über die die SIcherheitsdienste des Systems umgangen, geändert oder getäuscht werden können

Question 7

Definition: Angriff

Answer 7

Nicht autorisierter Zugriff auf ein Asset (nutzt eine Verwundbarkeit des Systems aus)

Question 8

Definition: Bedrohung

Answer 8

Ergibt sich aus möglichen Angriffen, die eine oder mehrere Schwachstellen eines Systems ausnutzen, um ein oder mehrere Schutzziele zu gefährden

Question 9

Definition: Risiko einer Bedrohung

Answer 9

Wahrscheinlichkeit des Eintritts eines Schadensereignisses und die Höhe des potentiellen Schadens der daraus resultieren kann (R=W*S)

Question 10

Definition: Objekt

Answer 10

Schützenswerte Güter/Assets

Question 11

Definition: Subjekt

Answer 11

Subjekte können auf Objekte zugreifen

Question 12

Definition: Rechte

Answer 12

Regeln Zugriff von Subjekten auf Objekte

Question 13

Definition: Regelwerk/Policy

Answer 13

• Legt u.a. Rechte/Verbote fest
• Festlegen der Schutzziele und Menge von technischen und organisatorischen Regeln und Verhaltensweisen
• Festlegen von Maßnahmen zur Gewährleistung der Schutzziele –> Sichern von angestrebtem Sicherheitsniveau
• Festlegen von Verantwortlichkeiten/Rollen

Question 14

Definition: Kontrolle/Enforcement

Answer 14

Überwachung der Einhaltung des Regelwerks

Question 15

Liste von Schutzzielen

Answer 15

• (Daten-) Integrität
• (Informations-) Vertraulichkeit
• Verfügbarkeit
• Verbindlichkeit
• Authentizität
• Privatheit

Question 16

Definition: Datenintegrität

Answer 16

Schutz vor unautorisierter und unbemerkter Modifikation von Daten

Question 17

Maßnahmen Datenintegrität

Answer 17

• Regeln für zulässige/unzulässige Datenänderungen (wer darf was unter welchen Bedingungen mit welchem Objekt tun)
• Vergabe von Zugriffsrechten und Kontrolle
• Isolierung
• Manipulationserkennung

Question 18

Definition: Nachrichtenintegrität

Answer 18

Schutz vor unautorisierter und unbemerkter Modifikation von Nachrichten

Question 19

Maßnahmen Nachrichtenintegrität

Answer 19

• Kontrollierter Zugang zum Übertragungsweg: Separate Leitung, nur autorisierte Sender dürfen Nachrichten erzeugen
• Isolierung (separate Leitung)
• Manipulationserkennung (zB Prüfwerte, dig. Wasserzeichen)

Question 20

Definition: Informationsvertraulichkeit

Answer 20

Schutz vor unautorisierter Informationsgewinnung

Question 21

Maßnahmen Informationsvertraulichkeit

Answer 21

• Regeln für zulässige/unzulässige Informationsflüsse (wer darf auf welche Information zugreifen)
• Verschlüsselung von Daten
• Informationsflusskontrolle: Klassifizieren von Objekten & Subjekten, speziell: Confinement Problem : Verdekte Kanäle/Seitenkanäle

Question 22

Definition: Verfügbarkeit

Answer 22

Schutz vor unbefugter Beeinträchtigung der Nutzbarkeit und der Funktionalität/Dienste etc

Question 23

Maßnahmen Verfügbarkeit

Answer 23

• Regelungen (= Verpflichtungen) zur Aufzeichnung und Überwachung welche Zugriffe auf welche Objekte wann mit welchem Ressourcenverbrauch (zB Speicher) aufzeichnen
• Festlegen von Schwellenwerten, zB Überlast

Question 24

Definition: Authentizität

Answer 24

Nachweis der Echtheit und Glaubwürdigkeit der Identität eines Objekts Subjekts

Question 25

Maßnahmen Authentizität

Answer 25

• Regeln zu Vergabe von eindeutigen Identifikationen von Subjekten, Objekten
• Nicht nur Identifikatoren, sondern auch Attribute
• Verfahren zum Nachweis der Korrektheit der Identität (Zertifikate, Credentials, Token)

Question 26

Definition: Verbindlichkeit, Zurechenbarkeit

Answer 26

Schutz vor unzulässigem Abstreiten durchgeführter Handlungen

Question 27

Maßnahmen: Verbindlichkeit, Zurechenbarkeit

Answer 27

• festlegen, was verbindliche Aktionen sind
• Nicht-Abstreitbarkeit: nicht immer Rechtsverbindlichkeit erforderlich
• Kopplung von Aktionen mit Subjekt, das Aktion ausführt: SIgnatur
• Protokollieren von Aktionen und Zeitpunkten
• Beweissicherung

Question 28

Definition: Privatheit

Answer 28

Schutz der personenbezogenen Daten, Schutz der Privatsphäre, Gewährleistung des informationellen Selbstbestimmungsrecht

Question 29

Maßnahmen Privatheit

Answer 29

• Regeln zur Datenvermeidung und zur Datensparsamkeit
• Zweckbindung der erhobenen Daten
• Datenaggregation (k-Anonymität)
• Pseudonyme
• Nicht Verfolgbarkeit (wechselnde Pseudonyme)