Grundlagen der Informationssicherheit Flashcards
Für welche Zwecke werden die Methoden der Informationssicherheit eingehalten?
- vor Gefahren und Bedrohungen schützen
- wirtschaftliche Schäden vermeiden
- Risiken minimieren
Welche Schutzziele hat die Informationssicherheit? 4
- Vertraulichkeit
- Verfügbarkeit
- Integrität
- Authentizität
Erkläre das Schutzziel Verfügbarkeit + englischer Begriff
Verfügbarkeit
availability
Zuverlässigkeit und Funktionsfähigkeit von IT-Systemen,
Verhinderung von Systemausfällen
typische Sicherheitsmaßnahme: Redundanz
Erkläre das Schutzziel Integrität + englischer Begriff
Integrität
integrity
Unversehrtheit und Vollständigkeit der Daten,
Schutz gegen die unbefugte Veränderung von Daten
typische Sicherheitsmaßnahme: kryptografische Prüfsumme (Hash-Wert)
Erkläre das Schutzziel Authentizität
Authentizität
authenticity
eindeutige und nachweisbare Zuordnung
einer Nachricht zu einem Sender
(die Authentizität wird vom BSI der Integrität zugerechnet)
typische Sicherheitsmaßnahme: Passwort
Erkläre das Schutzziel Vertraulichkeit
Vertraulichkeit
confidentiality, privacy
Schutz gegen den unbefugten Zugriff auf Daten
typische Sicherheitsmaßnahme: Verschlüsselung
Erkläre die Begriffe:
Informationssicherheit
IT-Sicherheit
Datensicherheit
Datenschutz
Cyberraum/Cyberspace
Cyber-Sicherheit
Informationssicherheit - betrifft alle Systeme, auch nicht-technische
IT-Sicherheit - betrifft technische IT-Systeme
Datensicherheit - Synonym für IT-Sicherheit (safety, security)
Datenschutz - Schutz personenbezogener Daten (privacy)
Cyber-Raum, Cyberspace
alle mit dem Internet verbundenen IT-Systeme und
IT-Infrastrukturen (z.B. IoT-Systeme)
Cyber-Sicherheit
IT-Sicherheit von der kontrollierten Unternehmensumgebung auf den öffentlichen Cyber-Raum (Internet)
ausgeweitet
Wie läuft der Informationssicherheitsprozess ab?
ISMS einführen
Leitlinie zur Informationssicherheit erstellen
Sicherheitsprozess organisieren
Sicherheitskonzept erstellen
Sicherheitskonzept umsetzen
ISMS weiterentwickeln und verbessern
Wofür steht ISMS?
ISMS steht für “Information Security Management System”
Welche Bedrohungen (+Beispiele) gibt es für die Informationssicherheit?
Katastrophen Feuer, Flut, Erdbeben …
Systemfehler Fehlfunktion, Absturz, Hardwaredefekt, Stromausfall …
interne Angriffe vorsätzliches Verändern oder Löschen von Daten,
Ausspähen von Daten …
externe Angriffe Hacker, Malware, Phishing, APT …
Welche 2 Arten von Maßnahmen gibt es zur Gewährleistunbg der Informationssicherheit?
oganisatorische und technische
welche organisatorische Maßnahmen gibt es zur Gewährleistung der Informationssicherheit? 4
- ISMS + Informationssicherheitsbeauftragter (ISB)
- Datenschutzbeauftragter (DSB)
- Sensibilisierung und Schulung der MitarbeiterInnen (Awareness)
- IT-Notfallteam (CERT - Computer Emergency Response Team)
welche technischen Maßnahmen gibt es zur Gewährleistung der Informationssicherheit? (4+beispiele)
- Infrastruktur verschlossene Türen, Zutrittskontrolle, USV, Brandschutz,
Alarmanlage … - Netze redundante Wege, Segmentierung (VLAN), Firewall, VPN …
- IT-Systeme Malwareschutz, Datensicherung, Prüfsummen, Verschlüsselung,
Update- und Patchmanagement, Monitoring, IDS/IPS … - Dienste Zugang nur mit Benutzerkennung und Passwort, Protokollierung,
Berechtigungskonzept (Zugriffsbeschränkungen),
Plausibilitätsüberprüfung, …
Was ist Datenschutz? Was gewährleistet dieser?
ist der gesetzlich geregelte Schutz personenbezogener Daten
gewährleistet das Recht auf informationelle Selbstbestimmung
sichert jedem zu, über
- Erhebung, Speicherung,
- Verwendung, Weitergabe
der über ihn gespeicherten Daten selbst zu bestimmen
was sind personenbezogene Daten? Beispiele?
sind es dann, wenn die Information einer bestimmten
lebenden Person zugeordnet werden kann
Beispiele: Telefonnummer, E-Mail Adresse, IP-Adresse (Online-Kennung), Positionsdaten (Standortdaten),
KFZ-Kennzeichen, Kontonummer, Unterschrift, Bild einer Person, Zeugnisse, Kaufverhalten,
Welche sind die wichtigsten Gesetz”sammlungen” im Bezug auf den Datenschutz?
DSGVO, BDSG
Mit welchen Prinzipen schützt die DSGVO den Datenschutz? 5
Verbot mit Erlaubnisvorbehalt
Verarbeitung nur, wenn es durch ein Gesetz erlaubt ist oder der Betroffene einwilligt
Zweckbindung
der vorher festgelegte Verarbeitungszweck darf später nicht verändert werden
Transparenz
Verarbeitung muss nachvollziehbar sein, Informationspflichten zu Zweck und Umfang
Datensparsamkeit
Datenmenge muss dem Zweck angemessen und auf das notwendige Maß beschränkt sein
Sicherheit der Verarbeitung
Vertraulichkeit, Integrität, Verfügbarkeit durch
technische u. organisatorische Maßnahmen (TOM in Artikel 32 DSGVO)
Was macht ein Datenschutzbeauftragter?
Aufgaben des DSB (Artikel 39 DSGVO)
- Unterrichtung und Beratung
- Überwachung der Datenverarbeitung
- Zusammenarbeit mit der Aufsichtsbehörde
- Anlaufstelle für die Aufsichtsbehörde
Wie lief der bekannte Emotet Angriff ab?
Opfer erhält E-Mail mit Office-Dokument im
Anhang
Opfer öffnet den E-Mail-Anhang
Opfer ignoriert die Makro-Warnung
Makro lädt Emotet aus dem Internet
Emotet lädt weitere Malware nach,
z.B. Trick-Bot, Ryuk (Ransomware)
Ransomware verschlüsselt Dateien und verlangt
Losegeld für die Entschlüsselung
Vor- und Nachteile von SSO?
Single Sign on
Vorteile:
-einmalige Anmeldung
-keine vergessenen Passwörter
-zentralisierte/schnelle Passwortverwaltung
Nachteile:
-SSO-Dienst als Single point of failure
-komplex
-anbieterabhängig bei externen Anbietern
Wie funktioniert Betriebssystemhärtung? 5
-nur notwendige Software auf dem System
-striktes Patchmanagement
-minimale systemzugriffsrechte
-viel Sicherheitsfunktonen aktiv (Firewall+Antivirussoftware)
-nutzung von Verschlüsselung
