6. Cybersecurity

Question 1

Was sind die Elemente des CIANA-Pentagons?

Answer 1

• Confidentiality (Vertraulichkeit)
• Integrität
• Availabiltiy (Verfügbarkeit)
• Non-repudiation (Unleugbarkeit)
• Authentifizierung

Question 2

Wozu dienen die fünf Prinzipien des CIANA?

Answer 2

• Leitfaden für Sicherheitskontrollen und Zugriffskontrollen
• Grundlage vieler Cybersicherheitsrahmenwerke

Question 3

Was besagt das Prinzip der Vertraulichkeit?

Answer 3

dass Informationen privat bleiben und nur denjenigen zugänglich sind, die über eine entsprechende Berechtigung verfügen

Question 4

Was besagt das Prinzip der Integrität?

Answer 4

Wenn Daten gespeichert oder übertragen werden, bleiben sie unverändert, es sei denn, sie werden von einer autorisierten Stelle geändert.

Question 5

Was besagt das Prinzip der Verfügbarkeit?

Answer 5

Gewährleistet, dass Informationen und wichtige Systeme bei Bedarf für autorisierte Benutzer zugänglich sind.

Question 6

Was besagt das Prinzip der Unleugbarkeit?

Answer 6

Stellt sicher, dass eine Einheit eine von ihr durchgeführte Aktion nicht leugnen kann.

Question 7

Was besagt das Prinzip der Authentifizierung?

Answer 7

Konzentriert sich auf die Bestätigung der Identitäten von Benutzern, Systemen und Geräten, um auf Ressourcen zuzugreifen

Question 8

Wie wird Vertraulichkeit sichergestellt?

Answer 8

v.a. Verschlüsserlung (symmetrische und asymmetrische)

Question 9

Wie wird Integrität sichergestellt?

Answer 9

z.B. Prüfsummen oder kryptografische Hashs

Question 10

Wie wird Verfügbarkeit sichergestellt?

Answer 10

Lastausgleich, Redundanz

Question 11

Wie wird Unleugbarkeit sichergestellt?

Answer 11

digitale Signaturen

Question 12

Was sind 5 maßgebliche Angriffe auf die Vertraulichkeit?

Answer 12

• Schnüffeln
• Lauschangriff
• Abhören
• Social Engineering
• Dumpster Diving

Question 13

Was ist Schnüffeln?

Answer 13

Unbefugter Zugriff auf die Daten einer anderen Person

Question 14

Was ist ein Lauschangriff?

Answer 14

Unerlaubtes Abfangen von Informationen während der Übertragung über ein Computernetz

Question 15

Was ist Abhören?

Answer 15

Gezieltes Abhören von Telefonleitungen oder internetbasierter Kommunikation

Question 16

Was sind 4 Angriffe auf die Datenintegrität?

Answer 16

• On-path-Attacke
• Replay-Angriff
• Impersonation
• unbefugte Datenänderung

Question 17

Was ist eine On-path-Attacke?

Answer 17

böswilliger Akteur fängt die Kommunikation zwischen zwei ahnungslosen Parteien ab

Question 18

Was ist ein Replay-Angriff?

Answer 18

Angreifer fängt Daten während der Übertragung ab

Question 19

Was ist Impersonation

Answer 19

böswilliger Akteur gibt sich als rechtmäßiger Benutzer aus

Question 20

Was sind 5 Gefahren für Verfügbarkeit?

Answer 20

• Denial-of-Service-Angriff
• Stromausfall
• Hardware-Ausfall
• Zerstörung
• Service-Ausfall

Question 21

3 Strategien gegen DoS-Attacken

Answer 21

• Verkehrsfilterung
• Ratenbegrenzung
• IP-Zulassungsliste

Question 22

Welche drei Dinge müssen Unternehmen vorbereiten, um gut auf Ausfälle von Diensten vorbereitet zu sein?

Answer 22

• Verfahren zur Reaktion auf Vorfälle
• System-Gesundheitsprüfungen
• effektive Kommunikationskanäle

Question 23

Was sind 5 Arten von Social Engineering?

Answer 23

• Phishing
• Speer-Phishing
• Business Email Compromise (BEC)
• Köder
• Pretexting

Question 24

Was ist Phishing?

Answer 24

Versuch von Cyberkriminellen, die sich als legitime Institutionen ausgeben, in der Regel per E-Mail, um sensible Informationen von Zielpersonen zu erhalten

Question 25

Was ist Business Email Compromise?

Answer 25

Angreifer gibt sich als hochrangige Führungskraft oder Geschäftspartner aus

Question 26

Was ist ein Köder?

Answer 26

Angreifer hinterlässt ein scheinbar harmloses Gerät (einen USB-Stick) an einem offensichtlichen Ort

Question 27

Was ist Pretexting?

Answer 27

Angreifer schafft einen glaubwürdigen Vorwand oder ein falsches Szenario, um Informationen zu stehlen

Question 28

Wofür steht AAA in der Cybersicherheit?

Answer 28

Authentifizierung Autorisierung Accounting

Question 29

Was passiert bei der Authentifizierung?

Answer 29

Kontrollpunkt, an dem die Identität des Nutzers überprüft wird, bevor er Zugang zum System oder Netzwerk erhält

Question 30

Was passiert bei der Autorisierung?

Answer 30

verwaltet den Zugriff auf Ressourcen und unterstützt das Prinzip der geringsten Rechte

Question 31

Was passiert beim Accounting?

Answer 31

Nutzeraktivitäten werden verfolgt und für spätere Referenzen und Untersuchungen aufgezeichnet

Question 32

Was sind die 4 Hauptaspekte, die im Desaster Recovery beachtet werden müssen?

Answer 32

- Sicherheitsaspekte - Prioritätensetzung - Daten-Wiederherstellung - Zugang-Wiederherstellung

Question 33

5 Authentifizierungsfaktoren

Answer 33

- Wissen - Besitz - Inhärenz - Standort - Verhalten

Question 34

4 Authentifizierungsmethoden

Answer 34

- 1-Faktor-A. - 2FA - MFA - Single Sign-On (SSO, 1 ID, mehrere Softwaresysteme)

Question 35

Wie lang sollte ein sicheres Passwort für Benutzerkonten und Administratorenkonten sein?

Answer 35

- 9 bis 14 Zeichen - mehr als 14 Zeichen

Question 36

4 Verschiedene Arten der Zugriffskontrolle

Answer 36

- diskretionär (DAC) - rollenbasiert (RBAC) - obligarotisch (MAC) - regelbasiert

Question 37

Was ist diskretionäre Zugriffskontrolle?

Answer 37

Der Eigentümer der Information oder Ressource entscheidet, wer darauf zugreifen darf

Question 38

Was ist obligatorische Zugriffskontrolle?

Answer 38

Richtliniengesteuertes Modell, bei dem die Zugriffsrechte auf der Grundlage von Vorschriften zugewiesen werden, die von einer zentralen Behörde festgelegt werden

Question 39

Was ist regelbasierte Zugriffskontrolle?

Answer 39

eine Reihe von genehmigten und verweigerten Berechtigungen, die auf alle Benutzer angewendet werden

Question 40

Zu welchen 4 Prozessen trägt Accounting/Auditing bei?

Answer 40

- Aufzeichnung von Benutzeraktivitäten - Untersuchung von Sicherheitsvorfällen - Einhaltung von Richtlinien - Fehlersuche im System

Question 41

3 Formate von Accounting?

Answer 41

- Protokolle - Verfolgung - Web-Browsing-Verlauf

Question 42

4 Mechanismen, die Unleugbarkeit sicherstellen?

Answer 42

- Videoüberwachung - biometrische Daten - digitale Unterschriftne - Quittungen

Question 43

Was passiert bei der Verschlüsselung?

Answer 43

lesbare Daten (Klar-/ Plaintext) werden ...mit einem Algorithmug (Chiffre) und einem Verschlüsserlungsschlüssel ...in ein unlesbares Format (Chiffre-/Ciphertext) umgewandelt

Question 44

Was zeichnet symmetrische Verschlüsselung aus?

Answer 44

- auch: Private-Key-Verschlüsselung - derselbe Schlüssel wird zum Ver- und zum Entschlüssel genutz

Question 45

6 Beispiele für symmetrische Verschlüsselung

Answer 45

3DES AES RC (Rivest Cipher) IDEA Blowfish/Twofish CAST

Question 46

Was zeichnet assymmetrische Verschlüsselung aus?

Answer 46

- auch: Public-Key-Kryptographie - für die Verschlüsselung wird ein öffentlicher, für die Entschlüsselung ein privater Key verwendet

Question 47

Wie heißen die zwei meist verwendeten Chiffre für assymmetrische Verschlüsselung?

Answer 47

RSA ECC

Question 48

Welche Rolle spielt die Public Key Infrastruktur für die assymmetrische Verschlüsselung?

Answer 48

- unterstützend eingesetzt - PKI ermöglicht Verwaltung digitaler Zertifikate und öffentlicher Schlüssel - Kombi ermöglicht digitale Signaturen

Question 49

Wie funktionieren digitale Signaturen?

Answer 49

mit dem öffentlichen Schlüssel kann geprüft werden, ob die Signatur mit dem privaten Schlüssel erstellt wurde

Question 50

Was ist ein kryptographischer Hash?

Answer 50

- Nimmt eine Eingabe auf und gibt eine Bytefolge fester Größe zurück, in der Regel einen Hash-Wert - i.d.R.: SHA-1, SHA-2, MD5

Question 51

4 Mechanismen zum Schutz von Daten im Ruhezustand

Answer 51

- Verschlüsselung - Zugangskontrollen - Regelmäßige Audits - Physiche Sicherheit

Question 52

3 Beispiele für Data in Transit

Answer 52

- Versenden einer Mail - Laden einer Website - Übertragen einer Datei

Question 53

4 Sicherheitsbedrohungen für Data in Transit?

Answer 53

- On-Path-Angriff - Abfangen - Abhören - Manipulation

Question 54

effektivster Schutz für Daten in Bewegung

Answer 54

Verschlüsselung VPN

Question 55

Was ist Geräte-Härtung?

Answer 55

essenzieller Prozess zur Erhöhung der Sicherheit, ...indem Systemschwachstellen reduziert und ...die potenzielle Angriffsfläche für bösartige Akteure und Hacker minimiert wird

Question 56

Was ist Patching?

Answer 56

Prozess der Aktualisierung von Software oder eines Betriebssystems, um Sicherheitslücken zu schließen und Schwachstellen zu beseitigen

Question 57

Was sind Service-Packs?

Answer 57

Große Update-Pakete, die eine Sammlung von Updates, Fehlerbehebungen und Verbesserungen für bestehende Softwareversionen enthalten

Question 58

Was meint Malware?

Answer 58

jegliche Software, die dazu entwickelt wurde, Schäden an einem Computergerät, Server, Client oder Computernetzwerk zu verursachen

Question 59

Worauf basiert die primäre Methode zur Erkennung von Bedrohungen?

Answer 59

auf einer Datenbank mit bekannten Viren oder Malware-Verhaltensweisen

Question 60

2 Varianten von Sicherheitssoftware

Answer 60

- Persönliche Sicherheits-Suiten - Netzwerk-Sicherheits-Suiten

Question 61

Was ist eine Host-basierte Firewall?

Answer 61

Software-Firewall, die direkt auf einem einzelnen Computer installiert ist

Question 62

Welche zwei erweiterten Schutzfunktionen sind oft in host-basierten Firewalls integriert?

Answer 62

- Intrusion Detection Systems (IDS) - Intrusion Prevention Systems (IPS)

Question 63

Was sind Richtlinien (Policies) im Rahmen der Cybersicherheit?

Answer 63

- allgemeine Leitlinien, die bei Entscheidungsprozessen helfen - definieren, was erwartet wird und was wichtig ist

Question 64

Was sind Verfahren (Procedures) im Rahmen der Cybersicherheit?

Answer 64

Schritt-für-Schritt-Anleitungen zur Durchführung bestimmter Aufgaben oder Prozesse

Question 65

Was sind Standards im Rahmen der Cybersicherheit?

Answer 65

- definieren ein erforderliches Qualitäts- oder Leistungsniveau - verwendet, um die Einhaltung der Richtlinien zu bewerten

Question 66

Was sind Leitlinien (Guidance) im Rahmen der Cybersicherheit?

Answer 66

Empfehlungen und Ratschläge, wie Richtlinien, Verfahren oder Standards zu interpretieren oder umzusetzen sind

Question 67

Was regelt die Acceptable Use Policy (AUP)?

Answer 67

Regeln für die Nutzung von Computern am Arbeitsplatz

Question 68

Was ist die Datenschutzschrichtlinie im Unternehmen?

Answer 68

Ein rechtliches Dokument, das beschreibt, ...wie ein Unternehmen personenbezogene Daten von Kunden ...sammelt, nutzt, offenlegt und verwaltet

Question 69

3 Überwachungen am Arbeitsplatz

Answer 69

- Sicherheitsgarantie (Überwachung von Datenübertragung und Verhalten) - Datenüberwachung (Überprüfung von Datenkommunikation) - Physische Überwachung

Question 70

Wofür steht PII?

Answer 70

Persönlich identifizierbare Informationen