IT Sicherheit und Datenschutz Flashcards
Was ist Security by Design?
Sicherheitsanforderungen an Hard- und Software bei der Entwicklung berücksichtigen
Was ist WPA2-Personal
Es nutzt einen pre shared key (PSK) und die
Was ist WPA2-Enterprise
Die Zulassung zu dem Netzwerk findet über einen Radius Server statt und es ist kein Pre-Shared Key nötig
Was ist beim Verschrotten von Datenträgern wichtig zu beachten?
Daten sollten unwiederbringlich zerstört werden. Z.B. durch technische, mechanische oder magnetische Verfahren
Was ist Multi-Factor-Authentication?
Das bei dem Einloggen nicht nur das klassische Passwort nötig ist, sondern auch eine Authentifizierung über ein anderes Gerät, z.B. durch die Eingabe eines live generierten Codes.
Beschreibe Datensicherheit
Die 3 Schutzziele, Vertraulichkeit, Verfügbarkeit und Integrität sollen erfüllt werden. Außerdem muss die Echtheit eines Objektes überprüft werden. Es geht vor allem um die Vermeidung von wirtschaftlichen Schäden
Unterschied Datensicherheit und Datenschutz
Datensicherheit bezieht sich vor allem auf das Schützen von Daten in einem Netzwerk.
Bei Datenschutz geht es darum, die personenbezogenen Daten einer Person vor Verbreitung zu schützen.
Was ist eine technisch-organisatorische Maßnahme?
Personenbezogene Daten werden nur für den jeweiligen Verarbeitungszweck herangezogen und ausgewertet
Was ist Zutrittskontrolle?
Unbefugten ist der Zutritt zur DV-Anlage zu verwehren
Was ist Zugangskontrolle
Unbefugten ist der Zugang zur DV-Anlage zu verwehren
Was ist Zugriffskontrolle?
Durch Rechte- und Rollenmanagment Nutzern den Zugriff auf bestimmte Datensensitiven Bereichen verwehren.
Was ist Weitergabekontrolle
Sicherstellung, dass bei der Weitergabe der Daten diese nicht von dritten gelesen werden können,
Was ist Eingabekontrolle
Es muss überprüfbar sein, ob Daten nachträglich verändert oder entfernt wurden.
Was ist Auftragskontrolle
Personenbezogene Daten werden nur im Rahmen des Auftrages verarbeitet
Was ist Verfügbarkeitskontrolle
Personenbezogene Daten werden vor Verlust oder Zerstörung geschützt
Was ist Trennungsgebot?
Personenbezogene Daten werden ihrem Zweck nach getrennt gespeichert
Welches sind die Ziele bei der Datenminimierung?
Bei der Erhebung von personenbezogenen Daten wird immer nur so viel gesammelt, wie für diesen Zweck unbedingt nötig.
“So viele Daten wie nötig, so wenige wie möglich.”
Welche Rechte eine Person laut der DSGVO
-Informationspflicht: warum werden die Daten erhoben, wurden die Daten erfolgreich erhoben? Auskunft geben, was mit den Daten geschehen ist
-Recht auf Berichtigung und Löschung
-Widerspruchsrecht
Was ist eine Public Key Infrastructure?
Ein kryptologisches System, mit dessen Hilfe digitale Zertifikate ausgestellt werden und diese dann überprüft werden. So kann der Datenverkehr abgesichert werden.
Es gibt Zertifizierungsstellen (CA), Registrierungsstellen, Validierungsservices
Was ist ein digitales Zertifikat?
Ein digitaler Datensatz, mit dessen Hilfe Daten kryptografisch verschlüsselt werden und so die Authentizität von Webseiten, Einzelpersonen oder Organisationen überprüft werden kann.
Was versteht man unter Endpoint-Security
Alle Maßnahmen, die Endgeräte in einem Netzwerk vor dem Zugriff dritter schützen. Z.B. Anwendungsisolation, Überwachung von externen Datenträgern
Welche Anwendungen oder Verfahren verwenden Hashfunktionen
Speichern von Passwörtern, bilden von Prüfsummen, erzeugen von Sitzungsschlüsseln.
Nenne Einsatzbereiche von symmetrischen Schlüsseln
Bei WPA2 kommen symmetrische Schlüssel mit dem Advanced Encryption Standard zum Einsatz
andere: VPN, wie Open VPN, WLAN
Was zeichnet ein differentielles Backup aus?
Es werden alle Änderungen gespeichert, die seit dem letzten Vollbackup gemacht wurden.
Vollbackup - BU1 - BU1/2 - BU1/2/3 etc.
Was zeichnet ein inkrementelles Backup aus?
Es werden alle Änderungen gespeichert, die auf dem letzten Inkrement aufbauen.
Vollbackup - BU1 - BU2 - BU3 etc
Was ist das Großvater-Vater-Sohn Prinzip
Großvater ist das monatliche Vollbackup (benötigt 12 Speichermedien)
Vater ist das wöchentliche Vollbackup (benötigt 4 Speichermedien
Sohn das tägliche Backup, inkrementell (benötigt 4 Speichermedien)
Unterschied zwischen Malware, Ransomware und Trojaner
-Malware: Oberbegriff von Schadsoftware wie Ransomware, Viren, Trojanern
-Ransomware: Schadsoftware, die deine Daten verschlüsselt. Meist mit einer Lösegeldforderung zum Entschlüsseln.
-Trojaner: Eine Schadsoftware getarnt in einer nützlichen Software, die bei Ausführung deinen Computer infiziert und meist ein Einfalltor für den Hacker schafft.
Welchen Zweck dient das IT-Sicherheitsmanagement?
Der Prozess innerhalb eines Unternehmens oder Organisation zur Gewährleistung von IT-Sicherheit und Datenschutz
Welche Kriterien muss eine sichere Passwortrichtlinie erfüllen?
-mindestlänge eines PW’s festlegen
-bestimmte Menge an Sonderzeichen erzwingen
- Zahlen erzwingen
-Passwort mit einer Datenbank von bekannten Passwörtern abgleichen
-MFA anbieten
-Loginversuche auf 3 beschränken
Welche Sicherheitsmaßnahmen sind beim Einsatz eines E-Mails Systems zu beachten?
-zentral verschlüsselt und digital signiert
-Einsatz von TLS/SSL Zertifikaten
-IMAP nur über SSL/TLS Port 993
Was muss ein ergonomischer Arbeitsplatz erfüllen?
-50 cm Bildschirmabstand zum Mitarbeiter
-Bildschirm sollte frei von Reflexionen und Blendung sein
-Arbeitshöhe muss an Körperhöhe angepasst sein
-Eine natürliche Körperhaltung muss möglich sein
Was steht im Anhang des Arbeitsstättenverordnung?
-Bildschirm muss scharf, groß, flimmerfrei und ohne Verzerrung sein
-Es muss möglich sein eine ergonomische Arbeitshaltung einzunehmen
Was ist der PDCA-Zyklus?
Plan - DO - Check - Act
Wofür steht SMART im Projektmanagement?
Spezifisch: Ziele konkret formulieren
Messbar: Ziele müssen messbar sein
Attraktiv: Ziele müssen motivieren
Realistisch: Ziele müssen im Zeitrahmen
Terminiert: Ziele sind zeitlich bindend
Wie kann man die Arbeitsqualität verbessern?
-flexible Arbeitszeit
-Homeoffice
-Fortbildung
-Zusatzvergütung
-Benefits
Wie kann man die Produktqualität verbessern?
-QA Abteilung
-Kundenbefragungen
-Produktprozesse verbessern
-qualitativ hochwertige Ausgangsmaterialien verwenden
Was sind die allgemeinen Kriterien einer Schutzbedarfsanalyse?
-Risiko eines Angriffs abwägen
-Welche Objekte sind besonders schützenswert
-Welche Bedrohungsszenarien gibt es
-Risikoberechnung (Kosten Nutzen Betrachtung)
Beschreibe die Schutzbedarfskategorien
Normal:
der Missbrauch der personenbezogenen Daten hat nur minimale Auswirkungen auf den Kunden. Schaden unter 50.000€
Hoch:
Missbrauch hat massive Auswirkungen auf den Kunden.
Schaden zwischen 50.000 und 500.000€
Sehr hoch:
existenzbedrohende Auswirkungen
Schaden über 500.000€
Welcher Schutzbedarf gilt für einen Router?
Vertraulichkeit = hoch -> da eine sicherer Kommunikation durch Verschlüsselung von außen nötig ist
Integrität = normal -> Fehlerhafte Daten werden vom Router erkannt
Verfügbarkeit = normal -> Ausfall des Routers wird für kurze Zeit toleriert
Wie können Schäden an der IT-Infrastruktur vermieden werden?
-Datenverschlüsselung der Datenträger
-mehrstufiges Firewallkonzept
-Rechtekonzept
-regelmäßiges Patchen der IT-Syteme
-Vier-Augen-Prinzip
