IT-Sicherheit und Datenschutz, Ergonomie

Question 1

Was sollte man beim Verschrotten von Datenträgern unbedingt beachten?

Answer 1

Alle Daten sind vor der Verschrottung eines Datenträgers durch technische Verfahren, wie zum Beispiel durch mechanische, magnetische oder thermische Verfahren nach DIN 66399 sicher zu löschen. Anschließend sind die Datenträger umwelt- und fachgerecht durch ein zertifiziertes Entsorgungsunternehmen zu entsorgen.

Question 2

Was bedeutet der Begriff MFA (Multi-Factor-Authentication) und wo kommt sie zum Einsatz?

Answer 2

Die Multi-Factor-Authentication (MFA) ist eine erweiterte Form der Zugangsberechtigung, die durch mehrere unabhängige Merkmale (Faktoren) überprüft wird und erst nach Eingabe eines starken Passworts sowie der Eingabe einer Nummer (via SMS oder App) oder Angabe einer Zerifikatsdatei erteilt wird.

Einsatzbereiche sind:
* Online-Banking
* Debit- oder Kreditkartenzahlung
* Online-Ausweisfunktion des Personalausweises
* Absicherung jeglicher öffentlich zugänglicher Onlinezugänge

Question 3

Beschreibe den begriff Datensicherheit und nenne deren Schutzziele.

Answer 3

Datensicherheit, oftmals auch Informationssicherheit genannt, beinhaltet alle technischen und nicht-technischen Maßnahmen zur Sicherstellung der 3 Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität.

Ein weiteres Schutzziel ist noch die Authentizität. Hier geht es um die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.

Datensicherheit oder Informationssicherheit unterscheidet nicht nach Art der Daten (siehe Datenschutz, wo es um personenbezogene Daten geht).

Es geht hier in erster Linie um den Schutz vor Gefahren/Bedrohungen bzw. der Vermeidung von wirtschaftlichen Schäden sowie der Minimierung von Risiken im IT-Bereich.

Question 4

Worin untescheiden sich Datensicherheit und Datenschutz?

Answer 4

Die Datensicherheit bzw. Informationssicherheit verfolgt die 3 Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sowie ausßerdem die Authentizität. Hier wird nicht nach der Art der Daten (z.B. personenbezogene o.Ä.) unterscheiden.

Der Datenschutz verfolgt das Ziel, **personenbezogene Daten ** zu schützen sowie die Informationspflichten und Rechte der Personen, von denen Daten erhoben werden, zu gewährleisten.

Question 5

Nenne die wesentlichen Vorteile einer ISO/IEC 27001 Zertifizierung für Unternehmen.

Answer 5

Die internationale Norm ISO/IEC 27001 beschreibt die Anforderungen an ein funktionsfähiges Informationssicherheits-Managementsystem (ISMS). Die Anforderungen geben vor, wie ein ISMS in Unternehmen zu errichten, umzusetzen und kontinuierlich weiterzuentwickeln ist.

Eine erfolgreiche Zertifizierung trägt dazu bei, IT-Risiken zu minimieren, IT-Sicherheitsverfahren zu etablieren sowie die Qualität der IT-Systeme nachhaltig zu optimieren.

Weitere Vorteile sind:
* IT-Risiken, mögliche Schäden und Folgekosten abschätzen bzw. minimieren
* Wettbewerbsvorteil durch anerkannten internationalen Standard
* Steigerung des Vertrauens gegenüber Partnern, Kunden sowie der Öffentlichkeit
* Compliance-Anforderungen werden sichergestellt
* Systematisches Aufdecken von Schwachstellen

Question 6

In der Informationssicherheit kommt es neben Sicherheits- und Datenschutzaspekten auch auf die Datenminimierung an.

Welches sind die Ziele bei der Datenminimierung?

Answer 6

Datenminimierung und Datensparsamkeit sind grundlegende Regeln im Bereich des Datenschutzes. Diese Regel besagt, dass bei der Datenverarbeitung nur so viele personenbezogene Daten gesammelt werden, wie für die jeweiligen Verarbeitungszwecke unbedingt notwendig sind.

Es gilt hier der Grundsatz: “So viele Daten wie nötig, so wenige Daten wie möglich.”

Betroffene sollen dadurch vor einer übermäßigen Speicherung personenbezogener Daten geschützt werden.

Question 7

Der Datenschutz ist auf erupäischer Ebene in Verordnungen in der DSGVO beschrieben.

Welche Rechte hat eine Person betreffend ihrer personenbezogenen Daten?

Answer 7

In Kapitel 3 der DSGVO sind folgende Vorschriften enthalten:

-Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
* Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
* Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
* Auskunftsrecht der betroffenen Person

-Recht auf Berichtigung und Löschung
* Recht auf Berechtigung
* Recht auf Löschung (“Recht auf Vergessenwerden”)
* Recht auf Einschränkungen der Verarbeitung
* Mitteilungspflicht im zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
* Recht auf Datenübertragbarkeit

-Wiederspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Question 8

Was ist eine PKI (Public Key Infrastructure)?

Answer 8

Mit einer Public-Key-Infrastruktur (PKI, englisch Public Key Infrastructure) wird ein kryptologisches System bezeichnet, welches innerhalb einer Infrastruktur digitale Zertifikate ausstellen, verteilen und prüfen kann. Zum Einsatz kommt ein Asymmetrisches Kryptosystem, welches zur Absicherung des Datenverkehrs innerhalb eines Nezwerks dient und das die Daten digital signiert und verschlüsselt.

Zu den Bestandteilen einer PKI gehören unter anderem die Zertifizierungsstellen (CAs), untergeordnete Registrierungsstellen, digitale Zertifikate, Verzeichnisdienste für Zertifikate, Zertifikatssperrlisten sowie Validierungsservices. Es gibt einstufige und mehrstufige Modelle einer Public Key Infrastructure (PKI).

Question 9

Was versteht man unter einem digitalen Zertifikat?

Answer 9

Als digitales Zertifikat wird ein digitaler Datensatz bezeichnet, der mit Hilfe von kryptografischen Schlüsselpaaren beispielsweise die Authentizität von Webseiten, Einzelpersonen oder Organisationen überprüfen kann.

Ein typisches digitales Zertifikat basiert in der Regel auf dem X.509 Standard (Public-Key-Zertifikat).

Das digitale Zertifikat besteht aus einem öffentlichen Schlüssel und einem privaten Schlüssel sowie anderen Informationen zur Identität der mit dem Zertifikat verknüpften Entität sowie Informationen über die ausstellende Zertifizierungsstelle.

Ein digitales Zertifikat soll die Schutzziele der Datensicherheit, wie Vertraulichkeit sowie Authentizität gewährleisten.

Question 10

Was ist eine SPI (Stateful Packet Inspection) Firewall?

Answer 10

Im Gegensatz zur klassischen Firewall (paketorientiert), nutzt eine Stateful Packet Inspection Firewall eine zustandsorientierte Paketüberprüfung, bei der jedes Datenpaket auf der Vermittlungsschicht (3. Schicht des OSI-Modells) einer bestimmten aktiven Sitzung zugeordnet wird und der Verbindungsstatus in dynamischen Zustandstabellen zwischengespeichert wird. Mit Hilfe des Zustands der Verbindungen werden bei TCP die SYN-, ACK-, FIN- und RST-Bits ausgewertet und über die Weiterleitung von Datenpaketen entschieden. Die eigentlich zustandslosen Datenpakete UDP (User Datagram Protocol) können auch stateful behandelt werden.

Question 11

Was versteht man unter dem Begriff Endpoint-Security?

Answer 11

Als Endpoint-Security-Management werden alle Maßnahmen und Richtlinien bezeichnet, bei denen Endgeräte, die auf ein Netzwerk zugreifen, vor schädlichen Angriffen bzw. Zugriffen seitens Dritter geschützt werden.

Zu den Maßnahmen zählen unter anderem sowohl die Anwendungsisolation von E-Mail- und Office-Programmen als auch Überwachung bzw. Verwaltung von externen Datenträgern, die über eine Art Whitelist geregelt wird.

Question 12

Welche Anwendungen oder Verfahren verwenden kryptografische Hashfunktionen?

Answer 12

Bei folgenden Anwendungen oder Verfahren kommt es zum Einsatz von kryptografischen Hashfunktionen:
* Integritätsprüfungen
* Erzeugung von Prüfsummen
* Erzeugung von Sitzungsschlüsseln
* Generatoren für Einmal-Passwörter
* Verfahren zur Authentifizierung mit digitalen Signaturen
* Speichern von Passwörtern

Question 13

Nenne Einsatzbereiche und Verfahren von symmetrischen Schlüsseln.

Answer 13

TABELLE KARTE NO 207

Question 14

Erläutere den Unterschied zwischen einem differentiellen und inkrementellen Backup.

Answer 14

Differentielle Backup
Ein differentielles Backup ist eine Datensciherungsform bei der, ausgehend von einem Vollbackup, alle Dateien kopiert werden, die seit der letzten vollständigen Sicherung verändert wurden oder neu hinzugekommen sind.
Beim vollständigen Wiederherstellen der Daten benötigt man zuerst das letzte Vollbackup und danach das letzte differentielle Backup.

Inkrementelles Backup
Ein inkrementelles Backupp ist eine Datensicherungsform bei der, ausgehen von einem Vollbackup, nur die Dateien, die seit der letzten inkrementellen Sicherung verändert wurden oder neu hinzugekommen sind, kopiert werden.
Beim vollständigen Wiederherstellen der Daten benötigt man zunächst das letzte Vollbackup und danach in der richtigen Reihenfolge die jeweiligen inkrementellen Backups.

Question 15

Wie gestaltet sich ein vollständiger Backup-Plan nach dem Großvater-Vater-Sohn-Prinzip?

Answer 15

Beim Großvater-Vater-Sohn-Prinzip geht es um ein Rotationsschema zur Datensicherung auf Speichermedien.

Im Rahmen einer 5-Tage Woche kommen dabei 20 Speichermedien zum Einsatz.

4x Sohn-Medien -> tägliche Datensicherung (inkrementelles Backup)

4x Vater-Medien -> wöchentliche Datensicherung (Vollbackup)

12x Großvater-Medien -> monatliche Datensicherung (Vollbackup)

Question 16

Unterscheide die Begriffe Malware, Ransomware und Trojaner.

Answer 16

Malware = Schadsoftware oder Schadprogramme. Es handelt sich hier um einen Oberbegriff für die Begriffe wie Adware, Spyware, Viren, Botnets, Trojaner, Würmer, Rootkits und Ransomware.

Ransomware = Erpressersoftware. Bei Ransomware werden Daten z.B. auf einem Computer in Geiselhaft genommen, durch bestimmte Verschlüsselungsmethoden verschlüsselt und es wird zur Zahlung eines Lösegelds (z.B. via Bitcoin) aufgefordert, wenn man diese Daten wieder entschlüsselt haben möchte.

Trojaner = Harmlos wirkendes Computerprogramm, welches im Hintergrund ohne Wissen des Anwenders weitere Schadsoftware nachlädt und beispielsweise Backdoorprogramme oder Rootkits installiert.

Question 17

In der datenverarbeitenden Industrie kommt dem Datenschutz große Bedeutung zu.

Welchem Zweck die das IT-Sicherheitsmanagement?

Answer 17

Das IT-Sicherheitsmanagement beschreibt den permanenten Prozess innerhalb einer Unternehmung oder Organisation zur Gewährleistung der IT-Sicherheit und des Datenschutzes. Es sollen Gefahren oder Bedrohungen für die Informationssicherheit sowie den Datenschutz eines Unternehmens oder einer Organisation verhindert oder abgewehrt werden.

Question 18

Welche Kriterien muss eine sichere Passwortrichtlinie erfüllen?

Answer 18

Zur Absicherung der Daten bzw. zur Absicherung der Zugriffe auf IT-gestützte Systeme muss eine sichere Passwortrichtlinie folgende Kriterien erfüllen:
* Mindestlänge des Passworts, z.B. 10-15 Zeichen
* Das Passwort muss aus mindestens einem Groß- und Kleinbuchstaben, einem Sonderzeichen und eine Ziffer bestehen, z.B. 4+D&:(f7<d0Q
* Es dürfen keine Logindatenbestandteile im Passwort enthalten sein, wie z.B. meyer2012
* Passwortänderung alle 30-90 Tage vollziehen
* Das wiederholte Benutzern von alten Passwörtern ist eingeschränkt
* Loginversuche werden auf maximal 3 Versuche innerhalb einer Minute begrenzt
* Es wird optional eine MFA (Multi-Factor-Authentification) angeboten
* Bei mehr Loginversuchen als zulässig, wird das Zugangskonto für 24 Stunden gesperrt
* Wörter aus dem Dude oder ähnlichen Werken sind nicht zugelassen

Question 19

Erläutere, bezogen auf den Bereich der Entwicklung, den Begriff Security by Design.

Answer 19

Der Begriff Security by Design bedeutet, dass die allgemeinen Sicherheitsanforderungen an Soft- und Hardware bereits während der Entwicklungsphase eines Produktes berücksichtigt werden sollen, um spätere Sicherheitslücken auszuschließen. Die nachträgliche Beseitigung von Sicherheitslücken würde den Projektfortschritt behindern und die Kosten dafür in die Höhe treiben.

Question 20

Benenne je 2 Vor- und Nachteile des Sicherheitstyps WPS2-Personal und WPA2-Enterprise.

Answer 20

TABELLE KARTE NO 214

Question 21

Welche Funktionen übernehmen dedicated und global Hotspare bei Datenspeichersystemen?

Answer 21

In der Regel haben Speichersysteme eine Fehlertoleranz, z.B. mit RAID 1, RAID 5, RAID 6 oder RAID 10, um Daten redundant zu speichern. Beim Ausfall einer Disk eines RAID-Verbundes sind zwar die Daten noch verfügbar, jedoch gibt es dann keine Redundanz mehr und würde, wenn es zum weiteren Verlust eines Datenträgers kommt, somit zum Verlust der Daten führen.

Datenspeichersysteme können mit Hilfe der Hotspare-Funktion bzw. Hotspare-Laufwerke oder Standby-Laufwerke vollautomatisch defekte Laufwerke ersetzen.

Hierbei unterscheidet man in:

dedicated Hotspare -> ist nur bei bestimmten RAID-Verbund (eine vDisk) verfügbar

globale Hotspare -> ist für alle RAID-Verbunde (alle vDisk) verfügbar

BILDER KARTE NO 215

Question 22

Welche Sicherheitsmaßnahmen sind beim Einsatz eines E-Mail-Systems zu beachten?

Answer 22

Beim Einsatz eines Mailsystems sind folgende Sicherheitsmaßnahmen zu beachten:
* E-Mails sollten zentral verschlüsselt und digital signiert werden
* Einsatz von TLS/SSL-Zertifikaten
* POP3 Verbindungen nur über SSL/TLS Port 995 zulassen
* IMAP Verbindungen nur über SSL/TLS Port 993 zulassen
* SMTP Verbindungen nur über SSL/TLS Port 465/587 zulassen

Question 23

Welche Bedingungen muss ein ergonomischer PC-Arbeitsplatz erfüllen?

Answer 23

Allgemeine Ergonomie-Richtlinien sind in der Richtlinie 90/270/EWG geregelt. Diese Richtlinie enthält Mindestvorschriften bezüglich der Arbeit an Bildschirmgeräten.

Folgende Bedingungen muss ein ergonomischer PC-Arbeitsplatz erfüllen:
* Die oberste Bildschirmzeile des Monitors ist leicht unterhalb der Sehachse des Mitarbeitenden.
* Der Mindestabstand von 50 cm zum Bildschirm ist zu gewährleisten.
* Der Bildschirm sollte so eingerichtet sein, dass er frei von störenden Reflexionen und Blendungen ist.
* Der Bildschirm muss frei stehen und muss leicht drehbar sowie neigbar sein.
* Arbeitshöhe und Sitzhöhe müssen sich an die Körperhöhe anpassen lassen.
* Ein Winkel von 90° zwischen Ober- und Unterarm sowie Ober- und Unterschenkel ist optimal.
* Genug Bewebungsspielraum für die Beine.
* Eine natürliche Körperhaltung muss möglich sein.

Des Weiteren gelten die Bestimmungen der Arbeitsstättenverordnung (ArbStättV).

Question 24

Welche Aussagen trifft die Arbeitsstättenverordnung (ArbStättV) in Bezug auf Bildschirm und Tastatur?

Answer 24

Die Arbeitsstättenverordnung (ArbStättV) enthält im Anhang wesentliche Regelung zum Einrichten eines Bildschirmarbeitsplatzes.

Insbesondere folgende Punkte sind dabei zu beachten:
* Die Zeichen auf dem Bildschirm müssen scharf, deutlich und ausreichend groß dargestellt sein
* Das Bild muss stabil, flimmerfrei und ohne Verzerrungen dargestellt werden.
* Die Helligkeit sowie der Kontrast des Bildschirms müssen einstellbar sein.
* Der Bildschirmarbeitsplatz muss so eingerichtet sein, dass er frei von störenden Reflexionen und Blendungen ist.
* Das Bildschirmgerät muss frei stehen und leicht drehbar sowie neigbar sein.
* Die Tastatur muss vom Bildschirmgerät getrennt und neigbar sein, damit eine ergonomische Arbeitshaltung eingenommen werden kann.
* Die Tastatur muss eine Auflagemöglichkeit für die Hande bieten.
* Die PC-Tastatur muss eine reflexionsarme Oberfläche besitzen.
* Die Tastaturbeschriftung muss vom Untergrund deutlich abheben und bein normaler Arbeitshaltung lesbar sein.

Question 25

Was ist der PDCA-Zyklus und aus welchen Schriten besteht er?

Answer 25

Es handelt sich um eine Vorgehensweise im kontinuierlichen Verbesserungsprozess im Qualitätsmanagement.

Folgende Schritte gehören zum Zyklus:
* PLAN (Analyse/Planen/Ziele formulieren)
* DO (Tun/Durchführen)
* CHECK (Überprüfen/Soll-Ist-Vergleich)
* ACT (Aktion/Reagieren/Verbessern)

Question 26

Beschreibe die fünf Punkte der SMART-Methode im Projektmanagement.

Answer 26

Im Projektmanagement wird die SMART-Methode eingesetzt, um Zielsetzungen des Projekts zu definieren.

Folgende Bestandteile sind enthalten:
Spezifisch: Die Projektziele sind so konkret wie möglich zu formulieren.
Messbar: Die Projektziele müssen messbar sein.
Aktivierend/Attraktiv: Projektziele müssen auch Motivation zur Umsetzung machen.
Realistisch: Die Projektziele müssen innerhalb des gesetzten Zeitrahmens auch umsetzbar sein.
Terminiert: Die Projektziele müssen zeitlich bindend sein. Welche Aufgaben sind bis wann zu erledigen?

Question 27

Welche Maßnahmen im Unternehmen haben einen positiven Effekt auf die Arbeitsqualität?

Answer 27

Um die Arbeitsqualität und Mitarbeiterzufriedenheit im Unternehmen zu erhöhen, sind folgende Maßnahmen hilfreich:
* Einsatz flexibler Arbeitszeitmodelle
* Ermöglichen von Homeoffice
* Weiterbildungs- und Fortbillldungsmöglichkeiten anbieten
* variable Zusatzvergütung für das Erreichen von vereinbarten Zielen
* Gewinnbeteiligung am Erfolg des Unternehmens
* Altersteilzeitangebote für ältere Arbeinehmer

Question 28

Mit welchen Maßnahmen kann man im Unternehmen die Produktqualität entscheidend verbessern?

Answer 28

Folgende Maßnahmen können zur Verbesserung der Produktqualität beitragen:
* Einführung einer permanenten Qualitätssicherung, um gleichbleibend hohe Qualität der Produkte zu gewährleisten
* wiederkehrende Kundenbefragungen zur Qualität der Produkte
* Produktionsprozesse kontinuierlich verbessern
* Mitarbeiterschulungen zum Thema Produktqualität anbieten
* qualitativ hochwertige Ausgangsmaterialien nutzen
* Prozessfehler ermitteln und für Abhilfe sorgen

Question 29

Welches sind die allgemeinen Kriterien einer Schutzbedarfsanalyse von IT-Systemen?

Answer 29

Folgende Kriterien sind für eine Schutzbedarfsanalyse wichtig:
* Wie hoch ist das Risiko, dass IT-Infrastrukturen angegriffen werden?
* Welche Objekte müssen in der IT-Infrastruktur besonders abgesichert werden?
* Welchen konkreten Bedrohungsszenarien ist die IT-Infrastruktur ausgesetzt?
* Wie groß sind mögliche Schäden durch Angriffe auf produktive IT-Infrastrukturen?
* Wie hoch ist das aktuelle Gefährdungspotenzial?
* Welche Maßnahmen sind geeignet, die IT-Infrastruktur gegen interne und externe Bedrohungen zu schützen?
* Wie sieht die Kosten-Nutzen Betrachtung bzw. Risikoberechnung aus?

Question 30

Beschreibe die Schutzbedarfskategorien (normal, hoch, sehr hoch) lt. BSI IT-Grundschutz.

Answer 30

Normal
* Bei Verstößen gegen Gesetze, Vorschriften oder Verträge drohen nur geringfügige juristische Konsequenzen.
* Der Missbrauch peronenbezogener Daten hätte nur minimale Auswirkungen für die Betroffenen und auf das Ansehen bei Kunden und Geschäftspartnern.
* Der finanzielle Schaden liegt unter 50.000,00 Euro.

Hoch
* Bei Vertößen gegen Gesetze, Vorschriften oder Verträge drohen schwerwiegende juristische Konsequenzen.
* Der Missbrauch personenbezogener Daten hätte massive Auswirkungen für die Betroffenen und auf das Ansehen bei Kunden und Geschäftspartnern.
* Der finanzielle Schaden kann zwischen 50.000,00€ und 500.000,00€ liegen.

Sehr hoch
* Bei Vertößen gegen Gesetze, Vorschriften oder Vertäge drohen existenzbedrohende juristische Konsequenzen.
* Der Missbrauch personenbezogener Daten hätte existenzdrohende Auswirkungen auf die Betroffenen und würde das Ansehen bei Kunden und Geschäftspartnern schwer und nachhaltig erschüttern.
* Der finanzielle Schaden liegt über 500.000,00€.

Question 31

Welcher Schutzbedarf bzw. welche Schutzziele gelten für einen Router nach BSI IT-Grundschutz?

Answer 31

TABELLE KARTE NO 225

Question 32

Welche Maßnahmen sind geeignet, um Schäden an der IT-Infrastruktur zu vermeiden bzw. Die Sicherheit der IT-Systeme zu erhöhen?

Answer 32

Die folgenden Maßnahmen sind geeignet, potenzielle Schäden an der IT-Infrastruktur zu vermeiden:
* Datenverschlüsselung der Datenträger
* Konzept für Netzwerksegmentierung im Unternehmen, Einsatz von VLANs
* mehrstufiges Firewallkonzept sowie Regeln für die Endpoint-Security auf den Clientsystemen
* Rechtekonzept für Mitarbeitendee und Administratoren
* regelmäßiges Patchen der IT-Systeme
* permanentes Logging und Auditing (Penetrationtest, kurz: Pentest)
* Einsatz einer Passwortrichtlinie sowie einer Multi-Factor-Authentication
* Verfahrensanweisung oder Vier-Augen-Prinzip
* regelmäßige Schulungen der Mitarbeitenden, um das Bewusstesein zu erhöhen bzw. Bedrohungen zu erkennen

Question 33

Aus welchen Phasen besteht der Sicherheitsprozess laut BSI IT-Grundschutz?

Answer 33

Im Rahmen des IT-Grundschutzes (BSI-Standard 100-2) besteht der Sicherheitsprozess aus folgenden Phasen:

1.Initiierung des Sicherheitsprozesses
* 1.1 Übernahme der Verantwortung durch die Leitungsebene
* 1.2 Konzeption und Planung des Sicherheitsprozesses
* 1.3 Erstellung der Leitlinie zur Informationssicherheit
* 1.4 Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement
* 1.5 Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen
* 1.6 Einbindung aller Mitarbeitenden in den Sicherheitsprozess

2.Erstellung einer Sicherheitskonzeption

3.Umsetzung der Sicherheitskonzeption

4.Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und kontinuierliche Verbesserung

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1002.pdf?\_\_blob=publicationFile&v=1

Question 34

Welche Themen sind für einen TÜV geprüften IT-Sicherheitsbeauftragten für die IT-Sicherheit im Unternehmen von Bedeutung?

Answer 34

Als TÜV geprüfter IT-Sicherheitsbeauftragter (Information Security-Officer) sind folgende Themen für die IT-Sicherheit in Unternehmen von Bedeutung:
* Informationssicherheit und Informationssicherheitsmanagement
* IS-Management-System nach ISO 27001
* IS-Management-System nach BSI IT-Grundschutz
* Konzepte der Informationssicherheit
* Aktuelle Themenbereiche und Konzepte der Informationssicherheit
* Sicherheitsmaßnahmen/Konzepte im Hinblick auf Organisation, Infrastruktur, Netzwerksicherheit, Systemsicherheit und Anwendungssicherheit

Question 35

Welche sind die Inhalte einer Zertifizierung nach ISO 27001?

Answer 35

Gesetzliche, regulatorische und vertragliche Regelungen eingeschlossen, definiert die ISO 27001 die Anforderungen, die an den Aufbau, die Einführung, Umsetzung, betriebliche Überwachung und Dokumentation des Information Security Management Systems gestellt werden. Dabei werden vorhandene Risiken eines Unternehmens identifiziert, analysiert und durch qualifizierte Maßnahmen behoben. Das betrifft neben Hackerangriffen auch andere Störungen, die zu ungeplanten Unterbrechungen von Prozessen führen oder gar das Unternehmen zum Stillstand bringen können.

Die ISO 27001 ist nicht auf IT-Prozesse beschränkt. Sie berücksichtigt auch Aspekte der Infrastruktur, wie Organisation, Personal und Gebäude. Die Datensicherheit im Unternehmen hat sich zu einem immer bedeutsameren Wettnewerbsfaktor entwickelt. Das gilt insbesondere für Betreiber Kritischer Infrastrukturen (KRITIS), die laut BSI-Gesetz dazu verpflichtet sind, ein Mindestmaß an IT-Sicherheit zu gewährleisten.

Question 36

Was sind die Vorteile einer Zertifizierung nach ISO 27001?

Answer 36

Folgende Vorteile ergeben sich für ein nach ISO 27001 zertifiziertes Unternehmen:
* Ein wirksamer Schutz von Informationen, Daten und Geschäftsprozessen des Unternehmens wird dadurch gewährleistet.
* Die Zertifizierung ist ein Vertrauensnachweis gegenüber Kunden, Geschäftspartnern und Investoren.
* Die IT-Prozesse und Geschäftsprozesse werden kontinuierlich verbessert (PDCA-Zyklus).
* Durch die Vermeidung von Sicherheitsvorfällen werden die Kosten gemindert.
* Durch die Beseitigung von Schwachstellen beim Umgang mit Daten wird eine Risiko- und Chancenoptimierung erreicht.
* Das Sicherheitsbewusstseins der Mitarbeiter kann gefördert werden.