ITT 10-2

Question 1

Was ist Informationssicherheit?

Answer 1

zum Teil IT-Sicherheit, Datenschutz und Datensicherheit

Question 2

Erläutern Sie die Schutzziele der Informationssicherheit 3

Answer 2

Vertraulichkeit,

Integrität

Verfügbarkeit

Question 3

Was ist das Recht auf informationelle Selbstbestimmung?

Answer 3

Das Recht des Einzelnen über die Erhebung, Verabeitung, Speicherung und Weiterleitung personenbezogener Daten

Question 4

Was schützt der Datenschutz?

Answer 4

Persönliche Daten und Angaben über dritte

Question 5

Welches Schutzziel ist der Grund, dass Server 2 oder mehr Netzteile haben?

Answer 5

Redundanz, Ausfallsicherheit -> Verfügbarkeit

Question 6

Beispiele für organisatorische vs technische Maßnahmen zur Gewährleistung der Informationssicherheit?

Answer 6

technische maßnahmen wären zum beispiel: türen und schlösser
organisatorische Maßnahmen wären zum Beipsiel: das abschließen dieser

Question 7

was ist ein APT Angriff?

Answer 7

Advanced Persistent Threat
Sie werden meist von einem größeren Team von
fortgeschrittenen, gut organisierten und professionell ausgestatteten Angreifern über längere Zeit mit enormem Aufwand vorbereitet.

Question 8

Im Ramhmen der Informationssicherheit: Definiere Vertraulichkeit

Answer 8

Schutz gegen den unbefugten Zugriff auf Daten
typische Sicherheitsmaßnahme: Verschlüsselung

Question 9

Im Ramhmen der Informationssicherheit: Definiere verfügbarkeit

Answer 9

Zuverlässigkeit und Funktionsfähigkeit von IT-Systemen,
Verhinderung von Systemausfällen
typische Sicherheitsmaßnahme: Redundanz

Question 10

Im Ramhmen der Informationssicherheit: Definiere Integrität

Answer 10

Unversehrtheit und Vollständigkeit der Daten,
Schutz gegen die unbefugte Veränderung von Daten
typische Sicherheitsmaßnahme: kryptografische Prüfsumme (Hash-Wert)

Question 11

Im Ramhmen der Informationssicherheit: Definiere Authentizität

Answer 11

eindeutige und nachweisbare Zuordnung
einer Nachricht zu einem Sender
(die Authentizität wird vom BSI der Integrität zugerechnet)
typische Sicherheitsmaßnahme: Passwort

Question 12

Ablauf des Informationssicherheitsprozesses? 4

Answer 12

Planung (plan)

Umsetzung der Planung bzw. Durchführung des Vorhabens (do)

Erfolgskontrolle bzw. Überwachung der Zielerreichung (check)

Beseitigung von erkannten Mängeln und Schwächen bzw. Optimierung sowie Verbesserung (act)

Question 13

was sind organisatorische Maßnahmen zur gewährleistung der Informationssicherheit? 4

Answer 13

• ISMS + Informationssicherheitsbeauftragter (ISB)
• Datenschutzbeauftragter (DSB)
• Sensibilisierung und Schulung der MitarbeiterInnen (Awareness)
• IT-Notfallteam (CERT - Computer Emergency Response Team)

Question 14

Was sind Ziele, Möglichkeiten und Probleme der Verschlüsselung?

Answer 14

Ziel: Vertraulichkeit gewährleisten

Verschlüsselungs-Möglichkeiten
- symmetrische V. ein Schlüssel für Ver- und Entschlüsselung, z.B. AES
- asymmetrische V. zwei verschiedene Schlüssel, einer für Ver- und einer zur Entschlüsselung,
Public/Private-Key-Verfahren, z.B. RSA
- hybride V. Kombination von asymmetrischer und symmetrischer V., z.B. TLS
- Hash-Verfahren kryptografische Prufsumme, Einwegverschlüsselung, z.B. SHA

Probleme
- Schlüsselaustausch bei sym. V.
- hoher Rechenaufwand bei asym. V.

Question 15

woran erkennt man symmetrische verschlüsselung?

Answer 15

beide schlüssel sind gleich!

Question 16

Woran erkennt man Asymmetrische Verschlüsselung?

Answer 16

Man unterscheided zwei verschiedene Schlüssel: Public und Private key

Question 17

Wie funktioniert das Hybride Schlüsselverfahren?

Answer 17

1. Schlüssel für symmetische Verschlüsselung erzeugen und diesen mit asymmetrischer Verschlüsselung übertragen
2. Nachricht wird mit symmetrischer Verschlüsselung übertragen

Question 18

Was ist ziel der Digitalen Signatur?

Answer 18

Ziel: Authentizität gewährleisten
die digitale Signatur verbindet den Unterzeichner sicher mit einem digitalen Dokument
(auch: Elektronische Unterschrift, elektronische Signatur)

Question 19

Was ist das Grundproblem des Digitalen Zertifikatens?

Answer 19

: Der Empfänger eines öffentlichen Schlüssels (Public Key) muss
darauf vertrauen, dass der Absender des öffentlichen Schlüssels derjenige ist,
für den er sich ausgibt (==Authentizität)

Question 20

Definiere Datenschutz. welche gesetzlichen regelungen?

Answer 20

ist der gesetzlich geregelte Schutz personenbezogener Daten

gewährleistet das Recht auf informationelle Selbstbestimmung

sichert jedem zu, über
- Erhebung, Speicherung,
- Verwendung, Weitergabe
der über ihn gespeicherten Daten selbst zu bestimmen

personenbezogene Daten: sind es dann, wenn die Information einer bestimmten
lebenden Person zugeordnet werden kann

die wichtigsten gesetzlichen Regelungen: DSGVO, BDSG

Question 21

Wie funktioniert die DSGVO? 5 punkte

Answer 21

Verbot mit Erlaubnisvorbehalt
Verarbeitung nur, wenn es durch ein Gesetz erlaubt ist oder der Betroffene einwilligt

Zweckbindung
der vorher festgelegte Verarbeitungszweck darf später nicht verändert werden

Transparenz
Verarbeitung muss nachvollziehbar sein, Informationspflichten zu Zweck und Umfang

Datensparsamkeit
Datenmenge muss dem Zweck angemessen und auf das notwendige Maß beschränkt sein

Sicherheit der Verarbeitung
Vertraulichkeit, Integrität, Verfügbarkeit durch
technische u. organisatorische Maßnahmen (TOM in Artikel 32 DSGVO

Question 22

Was ist ISMS? Erkläre ISMS -> 3 wichtige zwecke

Answer 22

Information Security Management System

Management der Informationssicherheit

Aufstellung von Verfahren und Regeln innerhalb einer Organisation,
die dazu dienen, die Informationssicherheit dauerhaft
- zu definieren
- zu kontrollieren und aufrecht zuerhalten
- und fortlaufend zu verbessern

Question 23

Wesentliche Schritte beim erstellen des Sicherheitskonzeptes? 6

Answer 23

• Strukturanalyse: Erfassen und festlegen aller Schutzobjekte (Assets)
  bei Kern-Absicherung: nur die kritischen Schutzobjekte (Kronjuwelen) festlegen
• Schutzbedarfsfeststellung: für jedes festgelegte Schutzobjekt
  die Höhe des benötigten Schutzes (Schutzbedürftigkeit) bestimmen
• Modellierung: genau die passenden IT-Grundschutz-Bausteine bestimmen,
  die auf die festgelegten Schutzobjekte anzuwenden sind
• IT-Grundschutz-Check: “Prüfplan” für einen Soll-Ist-Vergleich um herauszufinden,
  welche Sicherheits-Anforderungen durch die Modellierung bereits erfüllt sind,
  und welche noch nicht erfüllt sind
• nur bei hohem Schutzbedarf: Risikoanalyse und Festlegung weiterer Maßnahmen
• Umsetzungsplanung: z.B. mit Kosten- und Aufwandsabschätzung, Festlegung der
  Umsetzungsreihenfolge der Sicherheitsmaßnahmen sowie Festlegen der Aufgaben

Question 24

Was ist RAID? 5 punkte

Answer 24

RAID steht für Redundant Array of Inexpensive oder Independant Disks

 Grundidee von RAID war,
anstatt einer sehr teuren Festplatte,
mehrere preiswerte Festplatten zu einem
- größeren und / oder
- leistungsstärkeren und / oder
- ausfallsicheren
Gesamtsystem zusammenzuschalten

 mit RAID kann die Datenübertragungsgeschwindigkeit gesteigert werden,
da die Plattenzugriffe gleichzeitig erfolgen

 mit RAID kann die Datensicherheit erhöht werden,
indem Daten mehrfach, d.h. redundant gespeichert werden

 ACHTUNG: RAID ersetzt kein Backup!

Question 25

Erkläre RAID-0

Answer 25

striping -> mehr geschwindigkeit
Fällt bei RAID-0 eine Platte aus,
sind alle Daten verloren!

Question 26

Erkläre RAID-1

Answer 26

mirroring -> höhere Ausfallsicherheit

Question 27

Erkläre RAID-5

Answer 27

parity striping -> geschwindigkeit + Ausfallsicherheit

Question 28

Erkläre RAID 6

Answer 28

parity striping mit 2 Paritätsplatten

Question 29

Erkläre RAID 10

Answer 29

striping + mirror
erst ein raid 0 dann ein RAID 1

Question 30

RAID 50

Answer 30

striping Parity
erst ein raid 0 dann raid 5 mit paritätsplatten

Question 31

Unterschiede Hardware-RAID vs Software-RAID?

Answer 31

HW-RAID
- belastet die CPU nicht
- meist schnell und stabil
- unabhängig vom Betriebssystem
- hot swap und rebuild im laufenden Betrieb
- Enterprise-Platten nötig wegen TLER
- teuer: ca. 100 € pro Platten-Anschluss

SW-RAID
- belastet die CPU
- evtl. langsamer
- evtl. stabiler (Controllertausch)
- hot swap und rebuild im laufenden Betrieb
- preiswerte Platten möglich
- meist keine TLER-Probleme
- oft im Mainboard-Chipsatz integriert

Question 32

Was sind DAS, NAS und SAN?

Answer 32

DAS
Direct Attached Storage
NAS
Network Attached Storage
SAN
Storage Area Network

Question 33

Was ist Direct Attached Storage?

Answer 33

Direct Attached Storage (DAS) bedeutet, dass die benutzten Massenspeicher direkt (d.h. ohne Speichernetzwerk) angeschlossen sind. DAS-Protokolle sind blockorientiert, z.B. ATA, S-ATA, SCSI, SAS.

Question 34

Was ist SCSI?

Answer 34

Das Small Computer System Interface definiert Schnittstellen und Protokolle zur Datenübertragung
zwischen Massenspeichern und Computersystemen. Inzwischen wird nur noch die serielle Variante SAS
(serial attached SCSI) verwendet, die dem ebenfalls seriell übertragenen S-ATA sehr ähnlich ist.

Question 35

NAS einfach erklärt?

Answer 35

NAS steht für Network Attached Storage und bezieht sich auf ein Gerät, das an ein Netzwerk angeschlossen wird und dessen primärer Zweck darin besteht, Daten zu speichern und zu teilen. Es funktioniert ähnlich wie eine externe Festplatte, aber mit dem Unterschied, dass es über das Netzwerk erreichbar ist und von mehreren Geräten gleichzeitig genutzt werden kann.

Question 36

SAN einfach erklärt?

Answer 36

Ein Storage Area Network (SAN) ist ein dediziertes Netzwerk, das die Verwaltung von Datenspeichern ermöglicht. Es verbindet Computer mit Speichergeräten und ermöglicht es ihnen, auf Daten in einer gemeinsamen Speicherumgebung zuzugreifen.

Ein SAN nutzt in der Regel Fibre Channel-Protokolle, um hohe Übertragungsgeschwindigkeiten und eine geringe Latenzzeit zu gewährleisten. Dies ermöglicht es den Anwendungen, auf die Datenspeicher zu zugreifen, als ob sie lokal angebunden wären, was eine hohe Performance und Verfügbarkeit garantiert.

Ein wichtiger Vorteil eines SAN ist die Trennung von Datenspeicherung und Computernetzwerk, was es ermöglicht, die Speicherressourcen unabhängig von den Computern zu verwalten und zu skalieren. Dies kann bei der Verwaltung großer Datenmengen sehr hilfreich sein.