ITT 10-2 Flashcards

1
Q

Was ist Informationssicherheit?

A

zum Teil IT-Sicherheit, Datenschutz und Datensicherheit

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Erläutern Sie die Schutzziele der Informationssicherheit 3

A

Vertraulichkeit,

Integrität

Verfügbarkeit

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Was ist das Recht auf informationelle Selbstbestimmung?

A

Das Recht des Einzelnen über die Erhebung, Verabeitung, Speicherung und Weiterleitung personenbezogener Daten

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Was schützt der Datenschutz?

A

Persönliche Daten und Angaben über dritte

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Welches Schutzziel ist der Grund, dass Server 2 oder mehr Netzteile haben?

A

Redundanz, Ausfallsicherheit -> Verfügbarkeit

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Beispiele für organisatorische vs technische Maßnahmen zur Gewährleistung der Informationssicherheit?

A

technische maßnahmen wären zum beispiel: türen und schlösser
organisatorische Maßnahmen wären zum Beipsiel: das abschließen dieser

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

was ist ein APT Angriff?

A

Advanced Persistent Threat
Sie werden meist von einem größeren Team von
fortgeschrittenen, gut organisierten und professionell ausgestatteten Angreifern über längere Zeit mit enormem Aufwand vorbereitet.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Im Ramhmen der Informationssicherheit: Definiere Vertraulichkeit

A

Schutz gegen den unbefugten Zugriff auf Daten
typische Sicherheitsmaßnahme: Verschlüsselung

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Im Ramhmen der Informationssicherheit: Definiere verfügbarkeit

A

Zuverlässigkeit und Funktionsfähigkeit von IT-Systemen,
Verhinderung von Systemausfällen
typische Sicherheitsmaßnahme: Redundanz

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Im Ramhmen der Informationssicherheit: Definiere Integrität

A

Unversehrtheit und Vollständigkeit der Daten,
Schutz gegen die unbefugte Veränderung von Daten
typische Sicherheitsmaßnahme: kryptografische Prüfsumme (Hash-Wert)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Im Ramhmen der Informationssicherheit: Definiere Authentizität

A

eindeutige und nachweisbare Zuordnung
einer Nachricht zu einem Sender
(die Authentizität wird vom BSI der Integrität zugerechnet)
typische Sicherheitsmaßnahme: Passwort

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Ablauf des Informationssicherheitsprozesses? 4

A

Planung (plan)

Umsetzung der Planung bzw. Durchführung des Vorhabens (do)

Erfolgskontrolle bzw. Überwachung der Zielerreichung (check)

Beseitigung von erkannten Mängeln und Schwächen bzw. Optimierung sowie Verbesserung (act)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

was sind organisatorische Maßnahmen zur gewährleistung der Informationssicherheit? 4

A
  • ISMS + Informationssicherheitsbeauftragter (ISB)
  • Datenschutzbeauftragter (DSB)
  • Sensibilisierung und Schulung der MitarbeiterInnen (Awareness)
  • IT-Notfallteam (CERT - Computer Emergency Response Team)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Was sind Ziele, Möglichkeiten und Probleme der Verschlüsselung?

A

Ziel: Vertraulichkeit gewährleisten

Verschlüsselungs-Möglichkeiten
- symmetrische V. ein Schlüssel für Ver- und Entschlüsselung, z.B. AES
- asymmetrische V. zwei verschiedene Schlüssel, einer für Ver- und einer zur Entschlüsselung,
Public/Private-Key-Verfahren, z.B. RSA
- hybride V. Kombination von asymmetrischer und symmetrischer V., z.B. TLS
- Hash-Verfahren kryptografische Prufsumme, Einwegverschlüsselung, z.B. SHA

Probleme
- Schlüsselaustausch bei sym. V.
- hoher Rechenaufwand bei asym. V.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

woran erkennt man symmetrische verschlüsselung?

A

beide schlüssel sind gleich!

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Woran erkennt man Asymmetrische Verschlüsselung?

A

Man unterscheided zwei verschiedene Schlüssel: Public und Private key

17
Q

Wie funktioniert das Hybride Schlüsselverfahren?

A
  1. Schlüssel für symmetische Verschlüsselung erzeugen und diesen mit asymmetrischer Verschlüsselung übertragen
  2. Nachricht wird mit symmetrischer Verschlüsselung übertragen
18
Q

Was ist ziel der Digitalen Signatur?

A

Ziel: Authentizität gewährleisten
die digitale Signatur verbindet den Unterzeichner sicher mit einem digitalen Dokument
(auch: Elektronische Unterschrift, elektronische Signatur)

19
Q

Was ist das Grundproblem des Digitalen Zertifikatens?

A

: Der Empfänger eines öffentlichen Schlüssels (Public Key) muss
darauf vertrauen, dass der Absender des öffentlichen Schlüssels derjenige ist,
für den er sich ausgibt (==Authentizität)

20
Q

Definiere Datenschutz. welche gesetzlichen regelungen?

A

ist der gesetzlich geregelte Schutz personenbezogener Daten

gewährleistet das Recht auf informationelle Selbstbestimmung

sichert jedem zu, über
- Erhebung, Speicherung,
- Verwendung, Weitergabe
der über ihn gespeicherten Daten selbst zu bestimmen

personenbezogene Daten: sind es dann, wenn die Information einer bestimmten
lebenden Person zugeordnet werden kann

die wichtigsten gesetzlichen Regelungen: DSGVO, BDSG

21
Q

Wie funktioniert die DSGVO? 5 punkte

A

Verbot mit Erlaubnisvorbehalt
Verarbeitung nur, wenn es durch ein Gesetz erlaubt ist oder der Betroffene einwilligt

Zweckbindung
der vorher festgelegte Verarbeitungszweck darf später nicht verändert werden

Transparenz
Verarbeitung muss nachvollziehbar sein, Informationspflichten zu Zweck und Umfang

Datensparsamkeit
Datenmenge muss dem Zweck angemessen und auf das notwendige Maß beschränkt sein

Sicherheit der Verarbeitung
Vertraulichkeit, Integrität, Verfügbarkeit durch
technische u. organisatorische Maßnahmen (TOM in Artikel 32 DSGVO

22
Q

Was ist ISMS? Erkläre ISMS -> 3 wichtige zwecke

A

Information Security Management System

Management der Informationssicherheit

Aufstellung von Verfahren und Regeln innerhalb einer Organisation,
die dazu dienen, die Informationssicherheit dauerhaft
- zu definieren
- zu kontrollieren und aufrecht zuerhalten
- und fortlaufend zu verbessern

23
Q

Wesentliche Schritte beim erstellen des Sicherheitskonzeptes? 6

A
  • Strukturanalyse: Erfassen und festlegen aller Schutzobjekte (Assets)
    bei Kern-Absicherung: nur die kritischen Schutzobjekte (Kronjuwelen) festlegen
  • Schutzbedarfsfeststellung: für jedes festgelegte Schutzobjekt
    die Höhe des benötigten Schutzes (Schutzbedürftigkeit) bestimmen
  • Modellierung: genau die passenden IT-Grundschutz-Bausteine bestimmen,
    die auf die festgelegten Schutzobjekte anzuwenden sind
  • IT-Grundschutz-Check: “Prüfplan” für einen Soll-Ist-Vergleich um herauszufinden,
    welche Sicherheits-Anforderungen durch die Modellierung bereits erfüllt sind,
    und welche noch nicht erfüllt sind
  • nur bei hohem Schutzbedarf: Risikoanalyse und Festlegung weiterer Maßnahmen
  • Umsetzungsplanung: z.B. mit Kosten- und Aufwandsabschätzung, Festlegung der
    Umsetzungsreihenfolge der Sicherheitsmaßnahmen sowie Festlegen der Aufgaben
24
Q

Was ist RAID? 5 punkte

A

RAID steht für Redundant Array of Inexpensive oder Independant Disks

 Grundidee von RAID war,
anstatt einer sehr teuren Festplatte,
mehrere preiswerte Festplatten zu einem
- größeren und / oder
- leistungsstärkeren und / oder
- ausfallsicheren
Gesamtsystem zusammenzuschalten

 mit RAID kann die Datenübertragungsgeschwindigkeit gesteigert werden,
da die Plattenzugriffe gleichzeitig erfolgen

 mit RAID kann die Datensicherheit erhöht werden,
indem Daten mehrfach, d.h. redundant gespeichert werden

 ACHTUNG: RAID ersetzt kein Backup!

25
Q

Erkläre RAID-0

A

striping -> mehr geschwindigkeit
Fällt bei RAID-0 eine Platte aus,
sind alle Daten verloren!

26
Q

Erkläre RAID-1

A

mirroring -> höhere Ausfallsicherheit

27
Q

Erkläre RAID-5

A

parity striping -> geschwindigkeit + Ausfallsicherheit

28
Q

Erkläre RAID 6

A

parity striping mit 2 Paritätsplatten

29
Q

Erkläre RAID 10

A

striping + mirror
erst ein raid 0 dann ein RAID 1

30
Q

RAID 50

A

striping Parity
erst ein raid 0 dann raid 5 mit paritätsplatten

31
Q

Unterschiede Hardware-RAID vs Software-RAID?

A

HW-RAID
- belastet die CPU nicht
- meist schnell und stabil
- unabhängig vom Betriebssystem
- hot swap und rebuild im laufenden Betrieb
- Enterprise-Platten nötig wegen TLER
- teuer: ca. 100 € pro Platten-Anschluss

SW-RAID
- belastet die CPU
- evtl. langsamer
- evtl. stabiler (Controllertausch)
- hot swap und rebuild im laufenden Betrieb
- preiswerte Platten möglich
- meist keine TLER-Probleme
- oft im Mainboard-Chipsatz integriert

32
Q

Was sind DAS, NAS und SAN?

A

DAS
Direct Attached Storage
NAS
Network Attached Storage
SAN
Storage Area Network

33
Q

Was ist Direct Attached Storage?

A

Direct Attached Storage (DAS) bedeutet, dass die benutzten Massenspeicher direkt (d.h. ohne Speichernetzwerk) angeschlossen sind. DAS-Protokolle sind blockorientiert, z.B. ATA, S-ATA, SCSI, SAS.

34
Q

Was ist SCSI?

A

Das Small Computer System Interface definiert Schnittstellen und Protokolle zur Datenübertragung
zwischen Massenspeichern und Computersystemen. Inzwischen wird nur noch die serielle Variante SAS
(serial attached SCSI) verwendet, die dem ebenfalls seriell übertragenen S-ATA sehr ähnlich ist.

35
Q

NAS einfach erklärt?

A

NAS steht für Network Attached Storage und bezieht sich auf ein Gerät, das an ein Netzwerk angeschlossen wird und dessen primärer Zweck darin besteht, Daten zu speichern und zu teilen. Es funktioniert ähnlich wie eine externe Festplatte, aber mit dem Unterschied, dass es über das Netzwerk erreichbar ist und von mehreren Geräten gleichzeitig genutzt werden kann.

36
Q

SAN einfach erklärt?

A

Ein Storage Area Network (SAN) ist ein dediziertes Netzwerk, das die Verwaltung von Datenspeichern ermöglicht. Es verbindet Computer mit Speichergeräten und ermöglicht es ihnen, auf Daten in einer gemeinsamen Speicherumgebung zuzugreifen.

Ein SAN nutzt in der Regel Fibre Channel-Protokolle, um hohe Übertragungsgeschwindigkeiten und eine geringe Latenzzeit zu gewährleisten. Dies ermöglicht es den Anwendungen, auf die Datenspeicher zu zugreifen, als ob sie lokal angebunden wären, was eine hohe Performance und Verfügbarkeit garantiert.

Ein wichtiger Vorteil eines SAN ist die Trennung von Datenspeicherung und Computernetzwerk, was es ermöglicht, die Speicherressourcen unabhängig von den Computern zu verwalten und zu skalieren. Dies kann bei der Verwaltung großer Datenmengen sehr hilfreich sein.