Informationssicherheit & Datenschutz

Question 1

Daten

Answer 1

Digitale in Rechner-Systemen verarbeitete Informationen

Question 2

Informationen

Answer 2

Analog und/oder
Digitale

Question 3

Wissen

Answer 3

Entsteht durch Verknüpfung von Informationen

Kontext

Ziel/Zweck der Informationen

Question 4

IT-Sicherheit

Answer 4

System-Sicherheit

Question 5

Informationssicherheit

Answer 5

Datensicherheit

Sicherheit von Abläufen

Sicherheit von Prozessen

+ IT-Sicherheit

Question 6

Sicherheit

Answer 6

physische Sicherheit

Personelle Sicherheit

+ Informationssicherheit

Question 7

Begriff Informationssicherheit

Answer 7

Unerheblich ob analoge/digitale Informationen

Dynamisch: veränderliche Situationen & Angriffe

Cyber-Angriffe: Schutzmaßnahmem, Abwehr/Reaktion

Question 8

Begriff Compliance

Answer 8

Statisch

Baseline Security / manchmal konkrete Vorgaben

Erfüllung rechtlicher & vertraglicher Anforderungen

Question 9

Begriff Datenschutz

Answer 9

Schutz Personen-bezogener Daten

häufig juristisch & statisch geprägt

Erfüllung rechtlicher Anforderungen (DSGVO)

Dynamische Reaktion auf Datenschutz-Vorfälle erforderlich

Question 10

Basis-Sicherheits-Ziele

Answer 10

Vertraulichkeit

Integrität

Verfügbarkeit

Question 11

Basis-Sicherheits-Ziele
Vertraulichkeit

Answer 11

Schutz gegen unberechtigten Zugriff Dritter auf Informationen

Question 12

Basis-Sicherheits-Ziele
Integrität

Answer 12

Schutz gegenüber Veränderung von Informaitionen

Veränderung: unabsichtlich / absichtlich

Question 13

Basis-Sicherheits-Ziele
Verfügbarkeit

Answer 13

…von Daten und Systemen

Ausfall kann Existenz-bedrohend sein

Question 14

Erweitere-Sicherheits-Ziele
Authentizität

Answer 14

Absender einer Nachricht ist eindeutig

Nachricht kommt tatsächlich vom angeblichen Absender

Question 15

Erweitere-Sicherheits-Ziele
Autorisierung

Answer 15

Nur berechtige Personen haben Zugriff

Question 16

Zurechenbarkeit / Accountability

Answer 16

Nachweisbarkeit von Inhalten / Absender/Urheberschaft ggü. Dritten

juristisch verwendbar

Verbindlichkeit

Nicht Abstreitbarkeit

Question 17

Status von Daten

Answer 17

Data at Rest

Data in Transit

Data in Use

Question 18

Weitere Sicherheitsziele

Answer 18

Konsistenz
Fairness/Diskriminierungsfreiheit
nonymität
Abstreitbarkeit

-> teilweise wiederspruch zu anderen Sicherheits-zielen

Question 19

Operative Schwachstellen

Answer 19

Fehlerhafte Installation, Konfiguration oder Umsetzung von Maßnahmen

Fahrlässigkeit

Mangelnde Praktikabilität

Question 20

Konstruktive Schwachstellen

Answer 20

Fehler in Anforderun, Design, Implementierung
-> Extremfall: keine expliziten Sicherheits-Anforderungen

z.B Fehler in verwendeter Software
auch Fehler in Prozessen

Question 21

Bedrohungen Typ 1

Answer 21

Zufällige Ereignisse

Charakterisierbar durch Eintrittshäufigkeit

Häufig bei “Verfügbarkeit”

bsp. Ausfall Festplatte

Question 22

Bedrohungen Typ 2

Answer 22

Vorsätzliche Handlungen von Personen -> Angriffe

Angreifer kann Schutzmechanismen bewusst umgehen

Eintrittshäufigkeit?

Question 23

Angriff

Answer 23

Vorsätzliche Verletzung eines/mehrere Sicherheits-Ziele unter Ausnutzung von Schwachstellen

Question 24

Passiver Angriff

Answer 24

Angreifer tritt selbst nicht in Erscheinung

Schwer zu entdecken

z.B. Abhören einer vertraulichen Nachricht

Question 25

Aktiver Angriff

Answer 25

Angreifer tritt in Erscheinung z.B. Fälschen, Löschen, Sabotage

Question 26

Angreifer - Außentäter

Answer 26

Angriff erfolgt von außen z.B. aus dem Internet Schnittstelle zum Internet häufig vergleichsweise gut geschützt

Question 27

Angreifer - Innentäter

Answer 27

Täter hat berechtigten Zugriff auf Systeme (Autorisierung) Privilege Escalation: Unberechtiger Zugriff auf weitere Ressourcen Weitergabe von Informationen Häufig schwer zu entdecken

Question 28

Motiv für Angriff

Answer 28

Business Spaß Rache Ideologie Militärisch/Geheimdienstlich Terrorisitsch

Question 29

Gefährdung

Answer 29

Schwachstelle + Bedrohung

Question 30

Risiko

Answer 30

Betrachtung der Eintrittswahrscheinlichkeit und Schadensfolge

Question 31

Control

Answer 31

Sicherheitsmaßnahme Ziel: Senkung des Risikos Eintrittschwahrscheinlichkeit senken Schadensfolgen senken

Question 32

Zusammenwirken von Sicherheits-Mechanismen

Answer 32

Weakest Link Best Shot Summ of Efforts

Question 33

Weakest Link

Answer 33

Schwächste Glied in der Kette bestimmt gesamt Sicherheit

Question 34

Best Shot

Answer 34

Beste Abwehrmaßnahme zählz, die anderen bleiben ohne Effekt

Question 35

Sum of Efforts

Answer 35

Verschiedene Abwehrmaßnahmen verstärken sich in der Wirkung

Question 36

Defense in Depth

Answer 36

Mehrere unabhängige Sicherheitsmechanismen zusammenwirken gemäß Sum of Efforts

Question 37

Least Privilege

Answer 37

passgenau zugeschnittene Zugriffsreche für Subjekte

Question 38

Wirkmechanismen von Security Controls

Answer 38

Präventiv Entdeckend Korrigierend Abschreckend

Question 39

Wirkmechanismen - Präventiv

Answer 39

Verhindern Sicherheitsvorfälle z.B. Firewall, die Zugriffe von außen auf interne Systeme blockiert

Question 40

Wirkmechanismen - Entdeckend

Answer 40

Entdecken Sicherheitsvorfälle Dokumentation für Untersuchungen z.B. intrusion-Detection-System; Bewegungsmelder

Question 41

Wirkmechanismen - Korrigierend

Answer 41

z.B. Löschen von Viren; Feuerlöcher

Question 42

Wirkmechanismen - Abschreckend

Answer 42

Das Vorhanden-Sein von Schutz-Mechanismen kann Angreifer abschrecken z.B Kamera-Attrappe

Question 43

IT-Sicherheit Einflussfaktoren

Answer 43

Kostendruck Innovationsgeschwindigkeit Trends

Question 44

Warum IT-Sicherheit? Wirtschaftliche Betrachtung

Answer 44

Risiko-Betrachtung Qualitätsmerkmal, Wettbewerbsvorteil

Question 45

Warum IT-Sicherheit? Compliance-Anforderungen

Answer 45

Datenschutz IT-Sicherheitsgesetzt, Kritische Infrastrukturen, NIS2 Branchen-Spez. Vorschriften, Lieferketten Automotive, Lufttfahrt Banken, Finanzen PCI-DSS (Kreditkarten-Daten)

Question 46

KritIS

Answer 46

Kritische Infrastruktur

Question 47

Pflichten für KritIs-Betreiber

Answer 47

Kontaktstelle für die betriebene Kritische Infrastruktur benennen It-Störungen/erhebliche Beeinträchtigungen melden IT-Sicherheit auf dem "Stand der Technik" umsetzten dies alle zwei Jahre ggü- BSI nachweisen

Question 48

TKG

Answer 48

Telekommunikationsgesetz

Question 49

ISMS

Answer 49

Informationssicherheitsmanagement-Systeme

Question 50

Ziele beim Einsatz von Standards

Answer 50

Kostensenkung Einführung eines angemessenen Sicherheitsniveau Wettbewerbsvorteile

Question 51

ISMS Definition

Answer 51

consists of the policies, procedures, guidelines and associates resources and activities, collectively managed by an organization in the pursuit of protecting its information assets

Question 52

ISMS Erfolgsfaktoren (auszug)

Answer 52

Awarness responsibility management commitment risk assessments security als essential element prevention and detection of security incidents continual reassessment

Question 53

ISMS - Bestandteile

Answer 53

Sicherheitsprozess Mitarbeiter Managementprinzipien Ressourcen

Question 54

PDCA

Answer 54

Plan Do Check Act

Question 55

CISO

Answer 55

Central Information Security Officer

Question 56

ITSB

Answer 56

IT-Sicherheitseauftrager

Question 57

IT Security Policy

Answer 57

Sicherheitsleitlinie Unterschrieben von Unternehmensleitung Beschreibung: Anwendungsbereich Stellenwert der Informationssicherheit Bezug zu Geschäftszielen angestrebe Informationssicherheitziele Kernelemente der Sicherheitsstrategie Commitment der Leitung Verpflichtung aller MA

Question 58

Dokumenten Pyramiede

Answer 58

Leitlinie -> Strategie Richtilinien _> Anforderungen Maßnahmen, Empfehlungen -> Umsetzung

Question 59

BSI

Answer 59

Bundesamt für Sicherheit und Informationstechnik

Question 60

IT-Grundschutz-Kompendium

Answer 60

ersetzt Grundschutz-Katalog Formulierung vin Anforderung, statt konkreter Maßnhamen Elementare Gefährdungen Bausteine Umsetzungshinweise

Question 61

PDCA - P

Answer 61

Planung und Konzeption Auswahl einer Methode zur Risikobewertung Klassifikation von Risiken/Schäden Risikobewertung Entwicklung Strategie zur Behandlung von Risiken Auswahl von Sicherheitsmaßnahmen

Question 62

PDCA - D

Answer 62

Do - Umsetzung Realisierungsplan für Sicherheitskonzept Umsetzung der Sicherheitsmaßnahmen Überwachung und Steuerung der Umsetzung Aufbau der Notfallvorsorge und Behandlung von Sicherheitsvorfällen Schulung uns Sensibilisierung

Question 63

PDCA - C

Answer 63

Check - Erfolgskontrolle & Überwachung Detektion von Sicherheitsvorfällen im laufenden Betrieb Überprüfung Einhaltung von Vorgaben, Effizient der Sicherheitsmaßnahmen, ... Managementberichte

Question 64

PDCA - A

Answer 64

Act - Optimierung und Verbesserung Beseitigung von Fehlern Verbesserung von Sicerheitsmaßnahmen

Question 65

Erstellung einer Sicherheitskonzeption (BASIS)

Answer 65

Geltungsbereich festlegen Auswahl & Prio relevanter Bausteine IT-Grundschutz-CHeck Realisierung der Maßnahmen Auswahl Vorgehensweisen

Question 66

Strukturanalyse

Answer 66

Erfassung der Zielobjekte Verknüpfung zwischen Zielobjekten

Question 67

Zielobjekte

Answer 67

Verbund Gebäude Raum IT-System Netz Anwendung Mitarbeiter

Question 68

Basis-Sicherheitschecks

Answer 68

Soll-Ist-Vergleich: - organisatorische Vorarbeiten - Vergleich - Ergebnissdokumentation