Fragen ohne Markierung

Question 1

Welche Fachgebiete spielen bei der Sicherheit med. Anwendungen eine Rolle? (V01F07)

Answer 1

○ Informatik (Programmierung, Forensik, Simulation)
○ Nachrichtentechnik (Kommunikation, Codierung)
○ Elektrotechnik (Hardware, Mikroelektronik)
○ Hochfrequenztechnik (drahtlose und optische Übertragung)
○ Mathematik (Kryptographie, Stochastik, Statistik)
○ KI (Personenidentifikation, Spracherkennung, Schadcode-Erkennung, automatisiertes Lernen, Multi Agenten)
○ Psychologie und Sozialwissenschaften (Spionage)
○ Arbeitswissenschaften und Kognitionswissenschaften
○ Pädagogik (Wissensvermittlung, Gamification)

Question 2

Was meint Datenschutz? (V01F10)

Answer 2

○ Person die Möglichkeit gegeben, über die Verarbeitung, die Verwendung und Weitergabe der persönlichen Daten selbst zu entscheiden.
○ Zweck: Schutz personenbezogener Daten
○ Regelungen: Europäische Datenschutz-Grundverordnung

Question 3

Was sind Informationen, die geschützt werden müssen? (V02F10)

Answer 3

Informationen sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen

Question 4

Was sind Konsequenzen fehlender Regelungen in der Sicherheit? (V02F13)

Answer 4

○ Konfusion im Notfall
○ Lückenhafte Datensicherung
○ Fehlende Klassifizierung von Informationen
○ Gefährliche Internetnutzung
○ Keine klare Maßnahmen

Question 5

Was ist Malware? (V02F31)

Answer 5

Bezeichnung für Schadsoftware, also für bösartige Software, wie z.B. Viren, Würmer, Trojaner, Botnets, Rootkits, Spyware, …

Question 6

Was sind Viren? (V02F31)

Answer 6

Zerstörerische Mini-Programme, die meist mit präparierten („verseuchten“) Anwendungen kommen

Question 7

Was sind Würmer? (V02F31)

Answer 7

Schadsoftware, die sich automatisch über offene Netzwerkverbindungen verteilt

Question 8

Was ist ein Resource Exhaustion Attack? (V02F32)

Answer 8

Angriff mit dem Ziel der Störung der Verfügbarkeit von Hardware durch überbordende Belastung bestimmter Systemfähigkeiten (z.B. durch Ping-Anfragen (ping flood), Verbindungsanfragen, SSL-Verbindungen, …

Question 9

Was ist Denial-of-Service (DoS)? (V02F32)

Answer 9

Angriff mit dem Ziel der Störung der Verfügbarkeit eines Dienstes (Service)

Question 10

Was ist Distributed Denial-of-Service (DdoS)? (V02F32)

Answer 10

Denial-of-Service-Angriff, der mithilfe zahlreicher Angreifer ausgeführt wird, z.B. mittels eines Botnets

Question 11

Was ist Spoofing? (V02F32)

Answer 11

Angreifer sendet Nachrichten mit einer gefälschten Absenderadresse, z.B. gefälschte IP-Adresse oder Email-Adresse

Question 12

Was ist ein Trojaner? (V02F33)

Answer 12

Malware, die oft ungewollt durch einen unbedarften Benutzer auf dem Computersystem installiert wird („getarnter“ Virus). Die Funktionalität unterscheidet sich nicht von der Funktionalität, die der Benutzer erwartet, aber Hintertür oder Aufzeichnen der Passwörter im Hintergrund

Question 13

Was ist Ransomware? (V02F33)

Answer 13

Schadprogramm, mit dessen Hilfe der Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindert wird. Daten auf dem fremden Computer werden verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern. Ransomware (Erpressungstrojaner) ist zusammengesetzt aus englisch Ransom für „Lösegeld“ und Malware).

Question 14

Was ist Phishing? (V02F34)

Answer 14

○ Phishing bedient sich oft der Methoden des Spoofing
○ Mit Methoden des „Social-Engineering“ werden Nutzer aufgefordert, z.B. ihre Passwörter zu verraten
○ Angreifer nutzen dazu gefälschte Emails, SMS, Anrufe, …

Question 15

Was ist Spear Phishing? (V02F34)

Answer 15

Durch personalisiertes Phishing sammeln Angreifer (z.B. bei Social Media) sehr detaillierte Informationen über sein Opfer, um damit sein Vertrauen zu erlangen

Question 16

Was ist Defacement? (V02F36)

Answer 16

Angriff auf Webseiten oder Web-Server, mit dem Ziel, diese inhaltlich zu verändern (De-face = Änderung des Gesichts)

Question 17

Was ist Sniffing? (V02F36)

Answer 17

Eine Methode, die für die Netzwerk-Diagnostik entwickelt wurde, um den vollständigen Datenverkehr im Netzwerk „mithören“ zu können

Question 18

Was ist Eavesdropping? (V02F37)

Answer 18

○ bezeichnet unberechtigtes „Abhören“ von Datenpaketen auf ihrem Weg durch Netzwerke
○ Angreifer verbindet sich mit Netzwerk des Opfers, sammelt und analysiert dort IP-Pakete mit dem Ziel, Identitätsdaten oder andere vertrauliche private Daten zu extrahieren

Question 19

Was ist Social Engineering? (V02F37)

Answer 19

Ausnutzung menschlicher Schwächen, um bestimmte Reaktionen zu provozieren oder vorhersagbares Verhalten zu bewirken

Question 20

Was sind spezifische Merkmale von Cyberkriminalität? (V02F49)

Answer 20

○ Kein Tatort oder bestenfalls verteilte Tatorte
○ Keine Fingerabdrücke
○ Keine biologischen Spuren
○ Keine Zeugen
○ Keine Täterbeschreibung
○ Kein Vandalismus (wie bei Einbrüchen)
○ Einsatz von multifunktionalen Software-Tools (z.B. Trojaner, der nmap beinhaltet)

Question 21

Was sind Charakteristika einer digitalen Identität bzw. was kann sie umfassen? (V03F07)

Answer 21

○ Nutzername
○ E-Mail Adresse
○ Passwort
○ Wohnadresse
○ Kontonummer
○ Etc.

Question 22

Welche Zwecke gibt es für digitale Identitäten? (V03F08)

Answer 22

○ Anonym
○ Privat
○ Geschäftlich
○ Je nach Zweck enthält die Identität unterschiedliche Attribute

Question 23

Was sind Eigenschaften des isolierten Modells? (V03F13)

Answer 23

○ Ein Dienst speichert und verwaltet die digitalen Identitäten seiner Nutzer
○ Wenn der Dienst die Identitäten selbst verwaltet müssen Nutzer für diesen Dienst eine neue Identität erstellen (sich registrieren)

Question 24

Was sind Eigenschaften des zentralen Modells? (V03F15)

Answer 24

○ Es gibt einen (zentralen) Dienst, der sich nur um die Registrierung und Verwaltung der digitalen Identitäten kümmert
○ Ein solcher Dienst heißt Identitätsprovider bzw. ID-Provider
○ Der ID-Provider übernimmt auch den Authentisierungs- und Authentifizierungsprozess
○ Über den ID-Provider kann der Nutzer (User) eine digitale Identität bei vielen verschiedenen Diensten nutzen
○ Benötigen Dienste ein bestimmtes Attribut, bekommen sie es vom Identitätsprovider

Question 25

Was sind Eigenschaften des dezentralen Modells? (V03F17)

Answer 25

○ Im Gegensatz zum zentralen Modell gibt es im dezentralen Modell mehrere Identitätsprovider
○ Onlinedienste können mit mehreren Identitätsprovidern zusammenarbeiten und deren Dienste nutzen.
○ Anwender können sich dann „ihren“ Identitätsprovider aussuchen.

Question 26

Warum sind gestohlene Passwörter gefährlich? (V03F28)

Answer 26

○ Angreifer kann sich mit gestohlenem Passwort bei dem Onlinedienst einloggen, bei dem das Passwort gestohlen wurde
○ Angreifer kann versuchen, gleiche oder leicht abgewandelte Nutzer-Passwort-Kombination bei anderen Dienst zu verwenden
○ Nutzer wissen meist nichts vom Diebstahl ihrer Identitätsdaten

Question 27

Warum wird häufig zu trivialen Passwörtern gegriffen? (V03F31)

Answer 27

○ Bequemlichkeit der Nutzer
○ Komplexe Passwörter sind schwer zu merken
○ Mangelndes Bewusstsein bzgl. Sicherheitsanforderungen
○ Sicherheit ist generell nicht bequem und kann zu angeblicher „Überlastung“ führen

Question 28

Wann sind Passwörter schwach? (V03F32)

Answer 28

○ Bei mangelnder Komplexität
○ Anzahl der Zeichen zu gering
○ Verwendung nur einer Zeichengruppe (Zahlen, Buchstaben, Sonderzeichen)
○ Auffindbar in einem Wörterbuch
○ Tastenfolgen auf Tastatur
○ Passwörter werden für verschiedene Dienste wiederverwendet
○ Passwörter sind aus verschiedenen Kontexten hergeleitet

Question 29

Wie können Passwörter angegriffen werden? (V03F34F)

Answer 29

○ Direktes Erraten von Passwörtern
○ Knacken von Passwörtern
○ Abfangen von Passwörtern (Sniffing)
○ Einsatz von Keyloggern und Trojanern
○ Brute Force Attacken
○ Social Engineering

Question 30

Was bedeutet Datenschutz? (V04F18)

Answer 30

Ist der Schutz der Rechte der Betroffenen (Personen)

Question 31

Welches sind an Daten orientierte Schutzziele? (V04F23)

Answer 31

○ 1. Vertraulichkeit
○ 2. Authentizität/Zurechenbarkeit
○ 3. Integrität
○ 4. Revisionsfähigkeit
○ 5. Rechtssicherheit
○ 6. Nicht-Abstreitbarkeit von Übermittlungen
○ 7. Nutzungsfestlegungen

Question 32

Wie lautet der Standard für die IT-Grundschutz-Vorgehensweise? (V04F26)

Answer 32

BSI-Standard 100-2

Question 33

Wie wird allgemein beim IT-Grundschutz vorgegangen (von oben nach unten)? (V04F28)

Answer 33

○ IT-Sicherheitsmanagement
○ Initiierung Sicherheitsprozess
○ IT-Sicherheitsleitlinie und -konzeption:
○ IT-Strukturanalyse
○ Schutzbedarfsfeststellung
○ Modellierung
○ Basis-Sicherheitscheck
○ Risikoanalyse
○ Realisierung
○ Aufrechterhaltung

Question 34

Was kann aus früheren Softwarefehlern gelernt werden? (V05F20)

Answer 34

○ Spezifikation: Bestehende Software darf nicht direkt für eine neue Aufgabe wiederverwendet werden. Vorher muss geprüft werden, ob ihre Fähigkeiten den neuen Anforderungen entsprechen.
○ Dokumentation: Die Fähigkeiten einer Software sowie alle Annahmen, die sie über ihre Umgebung macht, müssen dokumentiert sein. Andernfalls ist die Prüfung auf Wiederverwendbarkeit extrem aufwendig.
○ Design by Contract: Kooperieren zwei Software-Komponenten miteinander, so müssen eindeutige Zusammenarbeitsregeln definiert, dokumentiert und eingehalten werden: Wer liefert wem was unter welchen Bedingungen.
○ Fehlerbehandlung: Jede potentielle Fehlersituation in einer Software muss entweder behandelt werden oder die Gründe für die Nichtbehandlung müssen so dokumentiert werden, dass die Gültigkeit der dabei getroffenen Annahmen überprüfbar ist.
○ Software & Hardware: Mehrfache identische Auslegung von Systemen hilft nicht gegen logische Fehler in der Software.

Question 35

Wann ist ein Produkt ein Medizinprodukt? (V05F31)

Answer 35

Ein Produkt ist ein Medizinprodukt wenn der Hersteller eine medizinische Zweckbestimmung formuliert [und] aus der Formulierung ein eindeutig medizinischer Zweck hervorgeht

Question 36

Wie ist die medizinische Zweckbestimmung definiert? (V05F34)

Answer 36

○ Die Zweckbestimmung wird definiert aus der Kennzeichnung, der Gebrauchsanweisung oder den Werbematerialien, die vom Hersteller angegeben werden
○ Hinweise wie „Nicht zur Befundung geeignet“ oder „Das ist kein Medizinprodukt“ werden nicht berücksichtigt bzw. befreien den Hersteller nicht von der Einhaltung der rechtlichen Vorgaben für ein Medizinprodukt

Question 37

Welche Klassen-Einteilung gibt es grob für Medizinprodukte? (V05F37F)

Answer 37

○ Klasse A: keine Verletzung oder Schädigung der Gesundheit ist möglich
○ Klasse B: keine schwere Verletzung ist möglich
○ Klasse C: Tod oder schwere Verletzung ist möglich

Question 38

Was sind allgemein Faktoren und Herausforderungen bei Security by Design? (V05F61F)

Answer 38

○ Automatisierung und Faktor Mensch
○ Sicherheitsorientierte Programmiersprachen und managed Code
○ Risiko-, Bedrohungs- und Reifegradmodelle
○ Entwicklungsmodelle für sicheren Softwarelebenszyklus
○ Verifikation und Testen
○ Nachhaltig sichere Integration von kryptographischen Primitiven und Protokollen
○ Aufspüren absichtlich eingetragener Schwachstellen und Provenance Tracking
○ Gemeinsame Sprache

Question 39

Was muss bei der Anforderungsanalyse berücksichtigt werden?(4) (V05F74)

Answer 39

○ Anforderungen identifizierter und Einsatzszenarien analysieren
○ Individuelle Risikobewertung und/oder Baseline Security?
○ Anforderungen externer Rahmenwerke? (Medizinprodukt)
○ spezifische Wünsche von Kunde bzw. Auftraggeber?

Question 40

Was ist wichtig bei der Anforderungsspezifikation? (V05F75)

Answer 40

○ alle identifizierten Anforderungen müssen präzise formuliert und dokumentiert werden
○ mehrere Iterationen zweckmäßig, erst allgemein, dann zunehmend detailliert
○ große Interpretationsspielräume vermeiden
○ für jede Anforderung muss später klar entscheidbar sein, ob diese erfüllt wurde oder nicht
○ vorgegebene Gliederung und Syntax empfohlen, im Einzelfall auch Verwendung spezieller Tools

Question 41

Was sollte für alle Restrisiken entschieden werden? (V05F76)

Answer 41

○ Entschärfung durch externe technische Lösung?
○ Entschärfung durch organisatorische Maßnahmen?
○ keine Gegenmaßnahme, dafür aber Quantifizierung und Worst Case Betrachtung und bewusste Inkaufnahme der möglichen Schadensauswirkungen?
○ andere Lösungen, beispielsweise Versicherung?

Question 42

Welche Abgrenzungen gibt es theoretisch bei Security by Design? (V05F84)

Answer 42

○ Funktionale Anforderungen
○ Architekturanforderungen
○ Designanforderungen
○ Implementierungsanforderungen
○ Prozessanforderungen
○ Prüfanforderungen

Question 43

Was wird bei Funktionalen Anforderungen gemacht? (V05F86)

Answer 43

○ Es wird festgelegt, welche Funktionalitäten die Software bieten soll
○ Können häufig auch in Designanforderungen übersetzt werden

Question 44

Worum geht es bei Architekturanforderungen? (V05F88)

Answer 44

○ Auch als High Level Designkriterien bezeichnet
○ z.B. Positionierung im Netzwerk, Aufteilbarkeit auf verschiedene Maschinen und Segmente, Trennung elementarer funktionaler Schichten (horizontal und vertikal), etc.

Question 45

Worum geht es bei Designanforderungen? (V05F93)

Answer 45

Wesentliche Gestaltungsmerkmale, häufig nicht funktionaler Natur, und in großen Teilen unabhängig von Implementierungsdetails

Question 46

Worum geht es bei Implementierungsanforderungen? (V05F94)

Answer 46

Während der Implementierung zu berücksichtigen, in der Regel abhängig von Programmiersprache, Plattform, Entwicklungsumgebung etc.

Question 47

Worum geht es bei Prozessanforderungen? (V05F95)

Answer 47

Anforderungen zur Unterstützung bzw. Umsetzbarkeit technisch/organisatorischer Begleitprozesse der Produktsicherheit

Question 48

Worum geht es bei Prüfanforderungen? (V05F99)

Answer 48

Überprüfbarkeitskriterien hinsichtlich Einhaltung formulierter Sicherheitsvorgaben

Question 49

Welche Begriffe sind eigentlich Sicherheitsziele, werden aber auch für Designziele verwendet? (V05F100)

Answer 49

○ Identifizierung und Authentisierung
○ Zugriffskontrolle und Autorisierung
○ Beweissicherung und Nachvollziehbarkeit
○ Übertragungssicherung
○ Datenablagesicherung
○ Robustheit
○ Verfügbarkeit

Question 50

Was sind allgemeine Designkritereien für Software? (V05F105F)

Answer 50

○ Einfachheit anstreben
○ Anwendbarkeit / Usability: intuitive Bedienbarkeit anstreben
○ Höchstmögliche Akzeptanz anstreben
○ Wirtschaftlichsten Mechanismus anwenden
○ Vollständige Offenlegung der Funktionsweise voraussetzen: Verfahrenssicherheit sollte nie darauf angewiesen sein, dass Funktionsdetails geheim gehalten werden
○ Sparsam mit Vertrauensbeziehungen agieren
○ Protokollierung ermöglichen
○ Fehlererkennung und -behebbarkeit anstreben
○ Sicheren Zustand im Fehlerfall gewährleisten
○ Datenintegrität sicherstellen
○ Standardmäßige Abweisung praktizieren: alle Aktionen die nicht explizit erlaubt wurde, sollen standardmäßig verboten sein
○ Patch- bzw. Updatefähigkeit unterstützen
○ Geringst mögliche Privilegien zugestehen: jedem Benutzer und jedem Programm sollten nur jene Rechte eingeräumt werden, die diese für die Ausführung ihrer Aufgabe wirklich brauchen
○ Komplette Rechteprüfung durchführen
○ Geringstmögliche gemeinsame Mechanismen und Ressourcen streben: Separierung gemeinsamer Speicherbereiche anstreben
○ Zugangsdaten und Verschlüsselungsschlüssel möglichst sicher ablegen
○ Anbindung von Datenbanken und Backendsystemen sicher gestalten
○ Hinreichend starke Sicherheitsfunktionen und -mechanismen wählen

Question 51

Wie kann die Anbindung Datenbanken und Backendsystemen sicher gestaltet werden? (V05F124)

Answer 51

○ Vermeidung eines einzelnen, hochprivilegierten technischen Benutzers
○ Differenzierte Verwaltung von Zugriffsrechten
○ Vermeidung von doppelter Benutzerverwaltung