Fragen

Question 1

Benennen Sie den Unterschied zwischen Safety und Security. Geben Sie für beides jeweils zwei Beispiele aus dem IT-Bereich

Answer 1

Informationssicherheit = Security
Betriebssicherheit = Safety

Safety Beispiele:
Konzepte iSv Security by Design
Serververlässlichkeit

Security
Keylogger, der Daten ausspäht
Gespoofte Email, mit der Aufforderung auf einen böswilligen Link zu klicken

Question 2

Unterschied zwischen einer Identifikation und einer Verifikation

Answer 2

→ Bei der Verifikation vergleicht das System die Authentisierungsdaten einer Entität mit den im System gespeicherten Referenzdaten, die zu der entsprechenden Identität gehören. Es findet also ein 1:1-Vergleich statt
→ Bei der Identifikation geht es darum, zu identifizieren, wer derjenige ist, der sich zu authentisieren versucht. Dazu werden die Authentisierungsdaten des Nutzers mit den Referenzdaten aller registrierten Personen verglichen (1:n-Vergleich)

Question 3

Biometrische Merkmale lassen sich dabei in zwei Klassen einteilen:

Answer 3

statische Eigenschaften, z.B. Fingerabdrücke, Iris

dynamische Eigenschaften, zB. Stimme, Tippverhalten, Handschrift.

Question 4

Unterschied Authentisierung und Authentifizierung

Answer 4

Benutzernamen und Passwort an das System übergeben (Behauptung einer Identität). = Authentisierung.

Zum anderen muss das System prüfen, ob diese Behauptung korrekt ist (Authentifizierung)

Question 5

Ziele des Web Tracking

Answer 5

1. Wiederkennen
2. Nutzer beobachten
3. Nutzer Kennenlernen
4. Nutzer verfolgen

Question 6

Informationsfluss web Tracking

Answer 6

Seitenbetreiber und Browser:

1. Nutzer ruft Website auf, Daten an Browser
2. Seitenbetreiber liefert Inhalte mit Tracking Code aus

Nutzer und tracker 
   1. Tracking Code wird aktiv und stellt Verbindung zum Tracking Anbieter her
  2. Tracker code wird nachgeladen 
  3. Browser sendet Informationen
 an tracker

Seitenbetreiber und tracker

1. Stellt Einbettung bereit
2. Tracker liefert Analyse Ergebnisse

Question 7

Ausgewählte Tracking Methoden

Answer 7

• Browser Finger printing
• cookies auslesen
• referrer auslesen

Question 8

Welche Phasen sieht der Sicherheitsprozess des BSI vor?

Answer 8

Initiierung eines Sicherheitsprozess
Erstellung der Leitlinie 
Organisation eines Sicherheitskonzept 
Erstellung eines Sicherheitskonzept 
Umsetzung Sicherheitskonzept 
Aufrechterhaltung und Verbesserung

Question 9

Welchen Zweck verfolgt der IT-Grundschutz des BSI? Wofür kann er verwendet werden?

Answer 9

• ein ganzheitliches Konzept für die Informationssicherheit
• dient als „Methode, Handlungsanweisung, Empfehlung und weltweit anerkannter Standard in einem“
• compatible zu ISO 27001
• enthält Empfehlungen für typische Geschäftsprozesse, Anwendungen und IT-Systeme

Question 10

Auf welche Arten von Referenzdaten kann eine Authentifizierung basieren

Answer 10

Geheimes Wissen
persönliches Merkmal
Besitz

Question 11

Wie kann man sich vor klassischen Schadprogrammen schützen?

Answer 11

Regel 1 Spielen Sie die neuesten Updates ein
Regel 2 Nutzen Sie Antivirensoftware
Regel 3 Öffnen Sie keine verdächtigen Mails oder deren Anhänge.
Regel 4 Gehen Sie sorgsam mit Links um (vor allem in E-Mails).
Regel 5 Denken Sie dreimal nach, ob Sie eine Software installieren wollen oder müssen

Question 12

Wozu werden Botnetze eingesetzt? Nennen Sie typische Beispiele

Answer 12

Ddos
Social bots
Webcrawler

Question 13

Welche zwei Arten der Botnet-Kontrolle wurden vorgestell

Answer 13

• Server so konfigurieren,dass Systemressourcen erst nach erfolgreichem Verbindungsaufbau zugewiesen werden
  IP Adressen blocken

Question 14

Welche zwei Arten von Angriffen auf Netze kann man unterscheiden

Answer 14

Passiv: Mithören (Angriff auf die Vertraulichkeit)
Aktiv: Manipulieren (Integrität, Authentizität und auch die Verbindlichkeit kompromittiert)

Question 15

Welche zwei technischen Wege gibt es, um das Belauschen zu erschweren

Answer 15

• Topologie des Netzes ändern

- Verschlüsselung

Question 16

Wie kann man XSS und SQLi verhindern?

Answer 16

dass über Nutzer-Eingaben kein Code eingeschleust werden kann

Question 17

Nennen Sie drei wesentliche Sicherheitsrisiken, die mit Web-Tracking verbunden sind

Answer 17

Drittanbieter viele Daten, intransparent für Nutzer
Seitenbeteiber bettet fremden Code ein
In Verbindung mit Werbung, Werbematerial schadhaft

Question 18

Nennen Sie die wesentlichen Anforderungen, die an Verfahren zur digitalen Signatur gestellt werden

Answer 18

Urheber Signatur zweifelsfrei festgestellt
Dokumente nicht im Nachhinein verfälschen
Signatur fur andere Objekte nutzen

Question 19

Nennen Sie Beispiele für Security by Default

Answer 19

Passwortsetzen, nach ersten inbetriebnahme
Sicherheitskritische Features sind per default deaktiviert.
Standard Zugriffsrechte für Nutzer oder Geräte ist “none”.

Question 20

Beispiele für Security by Design

Answer 20

sicheres Identity Management,
Verschlüsselung und die
Abschottung von (Netz-)Komponenten.

Question 21

Was versteht man unter Security by Obscurity

Answer 21

• Sicherheit dadurch hergestellt werden soll, dass Systeme bzw. deren Funktionsweise geheim gehalten werden

Question 22

Principle of economy of mechanism

Answer 22

dass Sicherheitsmechanismen so einfach wie möglich gestaltet werden sollten, also insbesondere auch keine impliziten Annahmen beinhalten sollten

Question 23

Principle of psychological acceptability

Answer 23

Sicherheitsmechanismen sollten es nicht schwerer machen, auf Ressourcen zuzugreifen, als dies der Fall wäre, wenn keine Sicherheitsmechanismen vorhanden wären

Question 24

Was versteht man unter multifaktorieller Authentifizierung

Answer 24

Kombination von Methoden

Question 25

Was versteht man unter multimodaler Authentifizierung

Answer 25

Kombi aus verschiedenen biometrischen Merkmalen

Question 26

Was sind die vier wichtigsten Grundregeln im Umgang mit Passwörtern seitens eines Identity Management Systems?

Answer 26

Pw verschlüsselt speichern
Pw gesichert übertragen
Komplexität einfordern
Standard pw vermeiden

Question 27

Was ist der Unterschied zwischen einem Prüfplan und einem Entwicklungsplan

Answer 27

Prüfplan
ein Soll-Ist-Vergleich
Entwicklungplan
um die Sicherheitsanforderungen für einen geplanten Informationsverbund aufzustellen

Question 28

Was ist ein Bedrohungsbaum? Wofür wird er genutzt? Aus welchen Komponenten besteht er?

Answer 28

-Bedrohungsanalyse-Modell
- Analyse, welche Wege für einen Angreifer aufgrund vorhandener Verwundbarkeiten lukrativ wären, um ein definiertes Angriffsziel zu erreichen
- Komponenten
Wurzeln als Angriffsziel
Knoten Zwischenziele
Zweig: Bedrohungen, die gemeinsam auftreten müssen, damit die Bedrohung eintritt, die im Wurzelknoten benannt ist

Question 29

Welche Regeln im Umgang mit Zugangsdaten sollten aus Anwender-Sicht beachtet werden?

Answer 29

Benutzen Sie sichere Passwörter und jedes nur für einen Dienst.
Benutzen Sie Passwort-Manager.
Nennen Sie Passwörter nur in dem Kontext, für den sie erstellt wurden.

Question 30

Welche Regeln im Umgang mit Zugangsdaten sollten aus Betreiber bzw. Hersteller-Sicht beachtet werden?

Answer 30

Speichern und übertragen Sie Passwörter nur verschlüsselt.

Leiten Sie Ihre Nutzer an, wie sie Passwörter ändern können.