Datenschutz

Question 1

Was ist die DSGVO?

Answer 1

DSGVO steht für die Datenschutz-Grundverordnung. Sie ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten regelt und am 25. Mai 2018 in Kraft trat.

Question 2

Was ist BDSG?

Answer 2

BDSG steht für das Bundesdatenschutzgesetz. Es ist ein deutsches Gesetz, das die Verarbeitung personenbezogener Daten regelt und ergänzende Vorschriften zur Datenschutz-Grundverordnung (DSGVO) enthält.

Question 3

Was ist das Recht auf Auskunft?

Answer 3

Betroffene Personen haben das Recht zu entscheiden ob personenbezogene Daten von ihnen verarbeitet werden.
Falls ja haben sie das Recht auf Auskunft über:
Kategorie der Datenerhebung
Empfänger der Daten
Dauer der Speicherung
Herkunft der Daten.

Question 4

Was ist das Recht auf Berichtigung/Richtigkeit?

Answer 4

Sofortige Berechtigung oder Ergänzung nicht korrekter personenbezogener Daten

Question 5

Was ist das Recht auf Löschen?

Answer 5

Wenn Daten nicht mehr notwendig sind und betroffene Person widerruft
&
Daten unrechtmäßig erhoben wurden

Question 6

Recht auf Widerspruch

Answer 6

Das Recht auf Widerspruch gemäß der DSGVO erlaubt es betroffenen Personen, jederzeit der Verarbeitung ihrer personenbezogenen Daten zu widersprechen

Question 7

Was sind zentrale Konzepte im Bereich der Informationssicherheit?

Answer 7

Die Begriffe
Vertraulichkeit,
Integrität
und
Verfügbarkeit
sind zentrale Konzepte im Bereich der Informationssicherheit und bilden die Basis für den Schutz von Daten.

Question 8

Vertraulichkeit?

Answer 8

Definition: Schutz von Informationen vor unbefugtem Zugriff und Offenlegung.

Ziel: Sicherstellen, dass nur autorisierte Personen Zugang zu sensiblen Daten haben.

Beispiel: Verschlüsselung von Daten und Nutzung von Zugangskontrollen.

Question 9

Integrität?

Answer 9

Definition: Gewährleistung der Genauigkeit und Vollständigkeit von Daten.

Ziel: Sicherstellen, dass Informationen nicht unautorisiert verändert, gelöscht oder beschädigt werden.

Beispiel: Nutzung von Prüfziffern oder Hash-Funktionen zur Überprüfung von Datenintegrität.

Question 10

Verfügbarkeit?

Answer 10

Definition: Sicherstellung, dass Informationen und Systeme jederzeit zugänglich sind, wenn sie benötigt werden.

Ziel: Minimierung von Ausfallzeiten und Gewährleistung der Betriebsbereitschaft.

Beispiel: Implementierung von Backup-Systemen und Redundanzmaßnahmen.

Question 11

Für was sind DSGVO und BDSG verantowrtlich?

Answer 11

Der Datenschutz in Unternehmen und Organisationen wird seit Mai 2018 grundsätzlich durch die EU
Datenschutz-Grundverordnung ( DSVGO ) geregelt.
Das neue Bundesdatenschutzgesetz
(BDSG )
regelt die Bereiche, in denen die DSGVO den Mitgliedstaaten Gestaltungsmöglichkeiten einräumt.
Neben der DSGVO und dem BDSG regeln Datenschutzgesetzte der Bundesländer und
bereichspezifische Gesetze den Umgang mit personenbezogenen Daten, die in IT- und
Kommunikationssystemen oder manuell verarbeitet werden.

Question 12

Auf was hat man Recht?

Answer 12

Auskunft
Berichtigung
Löschung

der persönlichen Daten

Question 13

Ab wann muss ein Datenschutzbeauftrager benannt werden?

Answer 13

1. Wenn mehr als 10 Personen an der automatisierten Verarbeitung personenbezogener Daten arbeiten.
2. Wenn die Verarbeitung der personenbezogenen Daten ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen birgt
3. Wenn Personenbezogene Daten geschäftsmäßig verarbeiten und übermittelt oder für Meinungsforschung genutzt werden.
4. Wenn die Kernfähigkeit eine umfrangreiche und systematische Überwachung der betroffenen Personen fordert.
5. Wenn die Kernfähigkeit bei der Erfassung von Daten zur Herkunft, Religion, politischer Anschaung oder Gesundheit liegt.

Question 14

Wie sieht das Standard Datenschutzmodell aus?

Answer 14

Zweckbindung Art 5 - Nichtverhaftung(?)

Datenminimierung Art 5 - Datenminimierung WICHTIG

Richtigkeit Art 5 - Integrität

Speicherbegrenzung Art 5 - Datenminimierung

Vertraulichkeit Art 5 - Vertraulichkeit
Identifizierung und Authentifizierung

Art 12 - Integrierbarkeit

Belastbarkeit Art 32 - Verfügbarkeit/Integrität/Vertraulichkeit

Berichtigungsmöglichlichkeiten von Daten Art 5 - Intervenierbarkeit

Datenschutzfreundliche Voreinstellungen Art 25 - Datenminimierung/Intervenierbarkeit

Verfügbarkeit Art 32: Verfügbarkeit

Löschbarkeit von Daten Art 17 - Intervenierbarkeit

Wiederherstellbarkeit Art 32 - Verfügbarkeit

Einwilligung…. Art4 - Transparenz, Intervenierbarkeit

Unterstützung bei der Wahrnehmung von Betroffenen rechten Art 12 - Intervenierbarkeit

Question 15

Was sind 5 Angriffsmethoden und Angriffsszenarin auf die IT-Sicherheit?

Answer 15

1. Phishing
2. Vishing
3. Pharming
4. Spoofing
5. Nickmapping

Question 16

Was ist Phishing?

Answer 16

Mithilfe gefälschter Webseiten oder Emails sollen vertrauliche Daten eines Nutzers ermittelt werden.
Mit diesen Daten können Onlinekonten des nutzers manipuliert werden und Geldbeträge überwiesen werden.

Question 17

Was ist Vishing?

Answer 17

Vishing steht für Voicephishing.
Es werden Nutzer durch Telefonanrufe manipuliert und zur Herausgabe von persönlichen Daten animiert.

Question 18

Was ist Pharming?

Answer 18

Pharming basiert auf der Manipulation der DNS-Abfragen von Webbrowsern.
Damit werden Benutzer auf gefälschte Websites umgeleitet, obwohl korrekte Adressen eingegeben wurden.

Question 19

Was ist Spoofing?

Answer 19

Spoofing in der IT-Sicherheit bezeichnet eine Methode, bei der ein Angreifer versucht, sich als eine andere Person oder ein anderes Gerät auszugeben, um unbefugten Zugriff auf Systeme, Daten oder Netzwerke zu erlangen.

Question 20

Was ist Nickmapping?

Answer 20

Hier wird versucht die Internet-Identität einer Person zu stehlen um damit in verschiedenen Bereichen illegal zu arbeiten.

Question 21

7 Schadprogrammarten / Malware

Answer 21

1. Spam
2. Spyware
3. Adware
4. Virus
5. Trojaner
6. Wurm
7. Ransomware

Question 22

Was ist Spam?

Answer 22

Das unaufgefordete senden von Nachrichten/Informationen (meist Mail)

Question 23

Was ist Spyware?

Answer 23

Spyware soll den Benutzer ausspähen, Daten über den Benutzer sammeln und auch versenden.
Diese Software wird zu Werbezwecken und zur Überwachung genutzt.

Question 24

Was ist Adware?

Answer 24

Advertisement & Software.
Wird oft ohne Rückfrage zusätzlich auf dem PC des Benutzers installiert und dient vor allem zu Werbezwecken.

Question 25

Was ist ein Virus?

Answer 25

Ein Virus ist ein Programm, das sich selbst weiterverbreitet. Es schleust sich in andere Computerprogramm oder den Bootsektor ein und sorgt dann für seine Reproduktion.
Viren können große Schaden anrichten.
Datenverlust und verlangsamung sind die Folge.

Question 26

Was ist ein Trojaner?

Answer 26

Ein Programm welches sich in oder hinter einem anderen nützlichen Programm versteckt und im Hintergrund dem System schadet.

Question 27

Was ist ein Wurm?

Answer 27

Ein Programm, welches sich selbst reproduziert. Intention ist Schaden am System anzurichten.

Question 28

Was ist Ransomware?

Answer 28

Ransom Software. Diese Software verschlüsselt Daten auf fremden Systemen und blockiert den Zugang zu den Daten.
Es sollen Lösegeldzahlungen erzwungen werden.

Question 29

Was bedeutet DDOS?

Answer 29

Distributed Denial Of Service Attack

Question 30

Was verursacht DDOS?

Answer 30

Ein Internetdienst soll so ausgelastet werden, dass er nicht mehr ansprechbar ist.
Das wird mit einer hohen Anzahl von Anfragen aus verschiedenen Quellen erreicht.
Die verschiedenen Quelen sogren dafür, dass der Dienst niht durch Blockieren einer Quelle den Angriff stoppen kann.

DDOS-Angriffe werden of durch Botnetze durchgeführt

Question 31

Was versteht man unter Botnetzen?

Answer 31

Ein Botnetz entsteht durch die Installation eines Schadprogramms auf vielen Rechnern und Vernetzung der Rechner im Hintergrund. Dadurch kann zentral der Befehl eines Angriffs gegeben werden und von unzähligen Rechnern parallel ausgeführt werden.

Question 32

Was bedeutet APT?

Answer 32

Advanced Persistent Threads

Question 33

Was bedeutet Advanced Persistent Threads?

Answer 33

Es ist eine geplante intensiv vorbereitete Aktion mit verschiedenen Methoden um die IT-Infrastruktur einer Firma oder Behörde zu komprimieren.
Bei dieser Aktion können alle oben genannten Formen und Methoden eingesetzt werden um das Ziel zu erreichen.

Question 34

Maßnahmen gegen Phishing?

Answer 34

1. akueller Virenscanner
2. Niemals TAN oder Kennwörter aufgrund einer E-Mail/link eingeben
3. Mangelnde Rechtschreibung und allg. Ansprachen können auf Phishing Versuche hinauslaufen.

Question 35

Maßnahmen gegen Ransomware Gefährdung?

Answer 35

1. Sofotz alle Netzverbindungen lösen.
2. Keine Anmeldung mehr an System mit Administrator oder erweiterten Rehten.
3. Backups auf infizierung prüfen und falls nicht infiziert das System komplett neu aufsetzen und Backups einspielen.

Question 36

Vermeidung von DDOS Angriffen?

Answer 36

1. Überlastungsschutz implementieren:
   
   • Traffic-Filtering: Verwenden von Firewalls und Intrusion Detection Systems (IDS), um bösartigen Traffic herauszufiltern.
   • Rate Limiting: Begrenzen der Anzahl von Anfragen, die ein Benutzer innerhalb eines bestimmten Zeitraums senden kann.
2. Redundante Infrastruktur:
   
   • Lastenausgleich
   • Geo-Redundanz: Einrichten von Servern an verschiedenen geografischen Standorten, um die Verfügbarkeit auch bei Angriffen zu gewährleisten.
3. Content Delivery Networks (CDNs):
   
   • Nutzen von CDNs, die Traffic verteilen und Inhalte von verschiedenen Standorten bereitstellen, um DDoS-Angriffe abzumildern.
4. DDoS-Schutzdienste:
5. Skalierbare Ressourcen:
   
   • Implementieren von Cloud-Diensten, die bei Bedarf schnell skalieren können, um plötzliche Traffic-Spitzen zu bewältigen.
6. Monitoring und Alerts
7. Notfallpläne und Reaktionsstrategien
8. Sicherheitsupdates und Patch-Management
9. Sicherheitsbewusstsein:
   
   • Schulung von Mitarbeitern

Question 37

Was ist BSI?

Answer 37

Bundesamt für Sicherheit in der Informationstechnik

eine Bundesbehörde die Sicherheit in Staat, Wirtschaft und Gesellschaft fördern und gewährleisten will.

Question 38

Was ist IT-Grundschutz?

Answer 38

Eine Methodik, die die Informationssicherheit in Behörden und Unternehmen erhöhen soll.

Question 39

Was ist ein Sicherheitskonzept?

Answer 39

Konkrete Maßnahmen mit denen die Leitlinien umgesetzt werden können:
1. Analyse des IT-Zustandes
2. Schutzbedarfsfeststellung
3. Auswahl der Sicherheitsanforderungen
4. Realisierung der Maßnahmen

Mit Aufrechterhaltung und kontinuierlicher Verbesserung,

Question 40

Was muss ein Informationssicherheitsbeauftrager leisten?

Answer 40

Die Entwicklung eines Sicherheitskonzeptes koordinieren

Die Geschäftsleitung über den aktuellen Stand der Informationssicherheit aufklären

Question 41

Was ist das Ziel des IT-Sicherheitsgesetzes?

Answer 41

Es soll einen Beitrag dazu leisten, die ITSysteme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen.

Question 42

Welche IT-Systeme soll das IT-Sicheheitsgesetz vor allem schüzen?euns

Answer 42

Die kritischen Infrastrukturen:
Die Sektoren deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zur Gefährdung der öffentlichen Sicherheit führen können.

Question 43

Was sind die Sektoren der kritischen Infrastruktur?

Answer 43

1. Transport und Verkehr
2. Finanz und Versicherungswesen
3. Gesundheit
4. Informationstechnik und Telekommunikation
5. Ernährung
6. Wasser
7. Energie

Question 44

Wie verläuft die Meldung einer IT-Störung?

Answer 44

1. Störung tritt ein.
   -> ohne weiterführende Maßnahmen abgewehrt?

->JA? Spam-Hardwarefehler - ungezieltes Phishing - Festplattenausfall
-> Keine Meldung erforderlich

->Nein? unbekannte Schadprogramme - unbekannte Sicherheitslücke - Spear Phishing - außergewöhnliche technische Defekte
-> Meldung erforderlich

Question 45

Was ist Spear Phishing?

Answer 45

Spear-Phishing ist eine Art von Phishing-Angriff, der auf eine bestimmte Person oder eine Gruppe von Personen innerhalb eines Unternehmens abzielt.

Question 46

IT-Sicherheit Normen / Standards?

Answer 46

1. DIN ISO/IEC 27001 - eine internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie definiert Anforderungen, um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch geeignete Maßnahmen und Prozesse sicherzustellen.
2. BSI - IT Grundschutz - Sicherheitskonzept - Strukturanalyse - Schutzbedarfsfeststellung
   &
   Industrielle Steuerungs und Automatisierungssysteme(ICS) - Security

Question 47

IT-Sicherheit Gesetze?

Answer 47

1. IT-Sicherheitsgesetz
   - KRITIS (kritische Infrastrukturen)
2. DSGVO/BSDG
   - Auftragsdatenverarbeitung

Question 48

2 Verschlüsselungsverfahren?

Answer 48

Symmetrische Verschlüsselung

Asymmetrische Verschlüsselung

Question 49

Was versteht man uner symmetrischen Verschlüsselungsverfahren?

Answer 49

Sender und Empfänger müssen den selbsen Schlüssel verwenden

Daten werden mit dem Schlüssel verschlüsselt und entschlüsselt.

Sehr sicher, solange die Schlüssel nur Sender und Empfänger bekannt sind.

Question 50

Symmetrische Verschlüsselungen?

Answer 50

WPA2
SSH
WLAN
OPEN VPN
WPA3

Question 51

Symmetrische Verschlüsselungsverfahren?

Answer 51

AES
TRIPLE DES
Blowfish
SHA2
MD5

Question 52

Was ist WPA2?

Answer 52

WPA2 (Wi-Fi Protected Access 2) ist ein Sicherheitsprotokoll für drahtlose Netzwerke. Es basiert auf dem AES-Verschlüsselungsstandard und bietet eine hohe Sicherheit durch starke Authentifizierung und Verschlüsselung. WPA2 wird verwendet, um WLAN-Daten vor unbefugtem Zugriff und Manipulation zu schützen und ist der Nachfolger von WPA.

Question 53

Was ist WPA3?

Answer 53

WPA3 (Wi-Fi Protected Access 3) ist der Nachfolger von WPA2 und bietet verbesserte Sicherheit für drahtlose Netzwerke. Es verwendet eine stärkere Verschlüsselung, schützt vor Brute-Force-Angriffen durch individuelle Sitzungsverschlüsselung und unterstützt Forward Secrecy. Zudem erleichtert WPA3 die sichere Verbindung von Geräten ohne Display, wie IoT-Geräten, durch eine Funktion namens Wi-Fi Easy Connect.

Question 54

Was ist SSH?

Answer 54

Secure Shell Netzwerkprotokoll
SSH ersetzt unsichere Protokolle wie Telnet und sichert die Datenübertragung durch starke Verschlüsselung und Authentifizierungsmethoden wie Passwörter oder Schlüsselpaare.

Question 55

Was ist WLAN?

Answer 55

WLAN=Wireless Local Area Network
WLAN nutzt standardisierte Protokolle wie IEEE 802.11 und arbeitet in den Frequenzbereichen 2,4 GHz und 5 GHz.

Question 56

Was ist OPEN VPN?

Answer 56

Open-Source-Software, die Virtual Private Networks (VPNs) ermöglicht.
OpenVPN nutzt Protokolle wie SSL/TLS für die Verschlüsselung

Question 57

Was ist AES?

Answer 57

AES (Advanced Encryption Standard) ist ein symmetrisches Verschlüsselungsverfahren, das 2001 als Standard von der US-Behörde NIST (National Institute of Standards and Technology) eingeführt wurde.

Feste Schlüssellängen von 128, 192 oder 256 Bit.

ES ist effizient, sicher und wird weltweit in zahlreichen Anwendungen, wie VPNs, WLAN (z. B. WPA2), und sicheren Datenspeichern eingesetzt.

Question 58

Was ist Triple DES?

Answer 58

Triple DES (Triple Data Encryption Standard) ist eine symmetrische Verschlüsselungsmethode, die den ursprünglichen DES-Algorithmus (Data Encryption Standard) dreimal hintereinander mit unterschiedlichen Schlüsseln anwendet, um die Sicherheit zu erhöhen.
Schlüssellängen von 112 oder 168 Bit

Veraltet und ersetzt durch AES.

Question 59

Was ist Blowfish?

Answer 59

Blowfish ist ein symmetrischer Blockverschlüsselungsalgorithmus, der 1993 von Bruce Schneier entwickelt wurde. Er verwendet Blockgrößen von 64 Bit und variable Schlüssellängen zwischen 32 und 448 Bit. Blowfish ist bekannt für seine hohe Verschlüsselungsgeschwindigkeit und Flexibilität in der Schlüssellänge. Er wird häufig in Anwendungen wie VPNs und Datei-Verschlüsselung eingesetzt.

Ersetzt durch AES

Question 60

Was ist SHA2?

Answer 60

SHA-2 (Secure Hash Algorithm 2) ist eine Familie von kryptographischen Hash-Funktionen, entwickelt von der NSA.

Question 61

Was ist MD5?

Answer 61

MD5 (Message-Digest Algorithm 5) ist ein 1991 entwickelter Hash-Algorithmus, der einen 128-Bit-Hashwert erzeugt. Er ist schnell, jedoch anfällig für Kollisionen, wodurch er als unsicher für kryptographische Anwendungen gilt. MD5 wird noch zur Integritätsprüfung von Dateien verwendet, sicherere Alternativen wie SHA-256 sind jedoch empfohlen.

Question 62

Was versteht man unter asymmetrischer Verschlüsselung

Answer 62

Asymmetrische Verschlüsselung benutzt einen öffentlichen und einen privaten Schlüssel.
Der private Schlüssel muss geheim bleiben.
Verschlüsselt wird mit dem öffentlichene Schlüssel. Entschlüsselung nur mit privatem Schlüssel möglich.

Question 63

Asymmetrische Verschlüsselungen?

Answer 63

RSA
Multifaktor
TAN
Einmalpasswörter

Question 64

Was sind Kryptographische Hashfunktionen?

Answer 64

Kryptographische Hashfunktionen sind Algorithmen, die Eingabedaten beliebiger Länge in einen festen, kompakten Hashwert (Digest) umwandeln.
Kryptographische Hashfunktionen werden in digitalen Signaturen, Authentifizierung, Datenintegrität und der Speicherung von Passwörtern verwendet. Bekannte Beispiele sind SHA-256 und MD5

Question 65

Was ist RSA?

Answer 65

RSA (Rivest-Shamir-Adleman) ist ein kryptographisches Verfahren zur sicheren Datenübertragung und digitalen Signatur, das 1977 von Ron Rivest, Adi Shamir und Leonard Adleman entwickelt wurde. Es basiert auf der mathematischen Schwierigkeit, große Primzahlen zu faktorisieren.
RSA wird häufig für die sichere Übertragung von Daten über das Internet, digitale Signaturen und zur Sicherstellung der Datenintegrität verwendet.

Question 66

Was ist MFA?

Answer 66

Multifaktor-Authentifizierung (MFA) ist ein Sicherheitsverfahren, das mehrere unabhängige Faktoren zur Verifizierung der Identität eines Benutzers verwendet. Dies erhöht die Sicherheit, da ein Angreifer mehrere Schritte überwinden muss, um Zugang zu erhalten.
MFA wird häufig in Online-Diensten, Bankanwendungen, Unternehmensnetzwerken und sozialen Medien eingesetzt, um den Schutz sensibler Daten zu verbessern.

Question 67

Was sind TAN/Einmalpasswörter?

Answer 67

TAN (Transaktionsnummer) und Einmalpasswörter (OTP) sind Sicherheitsmechanismen zur Authentifizierung und Autorisierung von Online-Transaktionen.