ITT 10-2 Flashcards
Was ist Informationssicherheit?
zum Teil IT-Sicherheit, Datenschutz und Datensicherheit
Erläutern Sie die Schutzziele der Informationssicherheit 3
Vertraulichkeit,
Integrität
Verfügbarkeit
Was ist das Recht auf informationelle Selbstbestimmung?
Das Recht des Einzelnen über die Erhebung, Verabeitung, Speicherung und Weiterleitung personenbezogener Daten
Was schützt der Datenschutz?
Persönliche Daten und Angaben über dritte
Welches Schutzziel ist der Grund, dass Server 2 oder mehr Netzteile haben?
Redundanz, Ausfallsicherheit -> Verfügbarkeit
Beispiele für organisatorische vs technische Maßnahmen zur Gewährleistung der Informationssicherheit?
technische maßnahmen wären zum beispiel: türen und schlösser
organisatorische Maßnahmen wären zum Beipsiel: das abschließen dieser
was ist ein APT Angriff?
Advanced Persistent Threat
Sie werden meist von einem größeren Team von
fortgeschrittenen, gut organisierten und professionell ausgestatteten Angreifern über längere Zeit mit enormem Aufwand vorbereitet.
Im Ramhmen der Informationssicherheit: Definiere Vertraulichkeit
Schutz gegen den unbefugten Zugriff auf Daten
typische Sicherheitsmaßnahme: Verschlüsselung
Im Ramhmen der Informationssicherheit: Definiere verfügbarkeit
Zuverlässigkeit und Funktionsfähigkeit von IT-Systemen,
Verhinderung von Systemausfällen
typische Sicherheitsmaßnahme: Redundanz
Im Ramhmen der Informationssicherheit: Definiere Integrität
Unversehrtheit und Vollständigkeit der Daten,
Schutz gegen die unbefugte Veränderung von Daten
typische Sicherheitsmaßnahme: kryptografische Prüfsumme (Hash-Wert)
Im Ramhmen der Informationssicherheit: Definiere Authentizität
eindeutige und nachweisbare Zuordnung
einer Nachricht zu einem Sender
(die Authentizität wird vom BSI der Integrität zugerechnet)
typische Sicherheitsmaßnahme: Passwort
Ablauf des Informationssicherheitsprozesses? 4
Planung (plan)
Umsetzung der Planung bzw. Durchführung des Vorhabens (do)
Erfolgskontrolle bzw. Überwachung der Zielerreichung (check)
Beseitigung von erkannten Mängeln und Schwächen bzw. Optimierung sowie Verbesserung (act)
was sind organisatorische Maßnahmen zur gewährleistung der Informationssicherheit? 4
- ISMS + Informationssicherheitsbeauftragter (ISB)
- Datenschutzbeauftragter (DSB)
- Sensibilisierung und Schulung der MitarbeiterInnen (Awareness)
- IT-Notfallteam (CERT - Computer Emergency Response Team)
Was sind Ziele, Möglichkeiten und Probleme der Verschlüsselung?
Ziel: Vertraulichkeit gewährleisten
Verschlüsselungs-Möglichkeiten
- symmetrische V. ein Schlüssel für Ver- und Entschlüsselung, z.B. AES
- asymmetrische V. zwei verschiedene Schlüssel, einer für Ver- und einer zur Entschlüsselung,
Public/Private-Key-Verfahren, z.B. RSA
- hybride V. Kombination von asymmetrischer und symmetrischer V., z.B. TLS
- Hash-Verfahren kryptografische Prufsumme, Einwegverschlüsselung, z.B. SHA
Probleme
- Schlüsselaustausch bei sym. V.
- hoher Rechenaufwand bei asym. V.
woran erkennt man symmetrische verschlüsselung?
beide schlüssel sind gleich!
Woran erkennt man Asymmetrische Verschlüsselung?
Man unterscheided zwei verschiedene Schlüssel: Public und Private key
Wie funktioniert das Hybride Schlüsselverfahren?
- Schlüssel für symmetische Verschlüsselung erzeugen und diesen mit asymmetrischer Verschlüsselung übertragen
- Nachricht wird mit symmetrischer Verschlüsselung übertragen
Was ist ziel der Digitalen Signatur?
Ziel: Authentizität gewährleisten
die digitale Signatur verbindet den Unterzeichner sicher mit einem digitalen Dokument
(auch: Elektronische Unterschrift, elektronische Signatur)
Was ist das Grundproblem des Digitalen Zertifikatens?
: Der Empfänger eines öffentlichen Schlüssels (Public Key) muss
darauf vertrauen, dass der Absender des öffentlichen Schlüssels derjenige ist,
für den er sich ausgibt (==Authentizität)
Definiere Datenschutz. welche gesetzlichen regelungen?
ist der gesetzlich geregelte Schutz personenbezogener Daten
gewährleistet das Recht auf informationelle Selbstbestimmung
sichert jedem zu, über
- Erhebung, Speicherung,
- Verwendung, Weitergabe
der über ihn gespeicherten Daten selbst zu bestimmen
personenbezogene Daten: sind es dann, wenn die Information einer bestimmten
lebenden Person zugeordnet werden kann
die wichtigsten gesetzlichen Regelungen: DSGVO, BDSG
Wie funktioniert die DSGVO? 5 punkte
Verbot mit Erlaubnisvorbehalt
Verarbeitung nur, wenn es durch ein Gesetz erlaubt ist oder der Betroffene einwilligt
Zweckbindung
der vorher festgelegte Verarbeitungszweck darf später nicht verändert werden
Transparenz
Verarbeitung muss nachvollziehbar sein, Informationspflichten zu Zweck und Umfang
Datensparsamkeit
Datenmenge muss dem Zweck angemessen und auf das notwendige Maß beschränkt sein
Sicherheit der Verarbeitung
Vertraulichkeit, Integrität, Verfügbarkeit durch
technische u. organisatorische Maßnahmen (TOM in Artikel 32 DSGVO
Was ist ISMS? Erkläre ISMS -> 3 wichtige zwecke
Information Security Management System
Management der Informationssicherheit
Aufstellung von Verfahren und Regeln innerhalb einer Organisation,
die dazu dienen, die Informationssicherheit dauerhaft
- zu definieren
- zu kontrollieren und aufrecht zuerhalten
- und fortlaufend zu verbessern
Wesentliche Schritte beim erstellen des Sicherheitskonzeptes? 6
- Strukturanalyse: Erfassen und festlegen aller Schutzobjekte (Assets)
bei Kern-Absicherung: nur die kritischen Schutzobjekte (Kronjuwelen) festlegen - Schutzbedarfsfeststellung: für jedes festgelegte Schutzobjekt
die Höhe des benötigten Schutzes (Schutzbedürftigkeit) bestimmen - Modellierung: genau die passenden IT-Grundschutz-Bausteine bestimmen,
die auf die festgelegten Schutzobjekte anzuwenden sind - IT-Grundschutz-Check: “Prüfplan” für einen Soll-Ist-Vergleich um herauszufinden,
welche Sicherheits-Anforderungen durch die Modellierung bereits erfüllt sind,
und welche noch nicht erfüllt sind - nur bei hohem Schutzbedarf: Risikoanalyse und Festlegung weiterer Maßnahmen
- Umsetzungsplanung: z.B. mit Kosten- und Aufwandsabschätzung, Festlegung der
Umsetzungsreihenfolge der Sicherheitsmaßnahmen sowie Festlegen der Aufgaben
Was ist RAID? 5 punkte
RAID steht für Redundant Array of Inexpensive oder Independant Disks
Grundidee von RAID war,
anstatt einer sehr teuren Festplatte,
mehrere preiswerte Festplatten zu einem
- größeren und / oder
- leistungsstärkeren und / oder
- ausfallsicheren
Gesamtsystem zusammenzuschalten
mit RAID kann die Datenübertragungsgeschwindigkeit gesteigert werden,
da die Plattenzugriffe gleichzeitig erfolgen
mit RAID kann die Datensicherheit erhöht werden,
indem Daten mehrfach, d.h. redundant gespeichert werden
ACHTUNG: RAID ersetzt kein Backup!
Erkläre RAID-0
striping -> mehr geschwindigkeit
Fällt bei RAID-0 eine Platte aus,
sind alle Daten verloren!
Erkläre RAID-1
mirroring -> höhere Ausfallsicherheit
Erkläre RAID-5
parity striping -> geschwindigkeit + Ausfallsicherheit
Erkläre RAID 6
parity striping mit 2 Paritätsplatten
Erkläre RAID 10
striping + mirror
erst ein raid 0 dann ein RAID 1
RAID 50
striping Parity
erst ein raid 0 dann raid 5 mit paritätsplatten
Unterschiede Hardware-RAID vs Software-RAID?
HW-RAID
- belastet die CPU nicht
- meist schnell und stabil
- unabhängig vom Betriebssystem
- hot swap und rebuild im laufenden Betrieb
- Enterprise-Platten nötig wegen TLER
- teuer: ca. 100 € pro Platten-Anschluss
SW-RAID
- belastet die CPU
- evtl. langsamer
- evtl. stabiler (Controllertausch)
- hot swap und rebuild im laufenden Betrieb
- preiswerte Platten möglich
- meist keine TLER-Probleme
- oft im Mainboard-Chipsatz integriert
Was sind DAS, NAS und SAN?
DAS
Direct Attached Storage
NAS
Network Attached Storage
SAN
Storage Area Network
Was ist Direct Attached Storage?
Direct Attached Storage (DAS) bedeutet, dass die benutzten Massenspeicher direkt (d.h. ohne Speichernetzwerk) angeschlossen sind. DAS-Protokolle sind blockorientiert, z.B. ATA, S-ATA, SCSI, SAS.
Was ist SCSI?
Das Small Computer System Interface definiert Schnittstellen und Protokolle zur Datenübertragung
zwischen Massenspeichern und Computersystemen. Inzwischen wird nur noch die serielle Variante SAS
(serial attached SCSI) verwendet, die dem ebenfalls seriell übertragenen S-ATA sehr ähnlich ist.
NAS einfach erklärt?
NAS steht für Network Attached Storage und bezieht sich auf ein Gerät, das an ein Netzwerk angeschlossen wird und dessen primärer Zweck darin besteht, Daten zu speichern und zu teilen. Es funktioniert ähnlich wie eine externe Festplatte, aber mit dem Unterschied, dass es über das Netzwerk erreichbar ist und von mehreren Geräten gleichzeitig genutzt werden kann.
SAN einfach erklärt?
Ein Storage Area Network (SAN) ist ein dediziertes Netzwerk, das die Verwaltung von Datenspeichern ermöglicht. Es verbindet Computer mit Speichergeräten und ermöglicht es ihnen, auf Daten in einer gemeinsamen Speicherumgebung zuzugreifen.
Ein SAN nutzt in der Regel Fibre Channel-Protokolle, um hohe Übertragungsgeschwindigkeiten und eine geringe Latenzzeit zu gewährleisten. Dies ermöglicht es den Anwendungen, auf die Datenspeicher zu zugreifen, als ob sie lokal angebunden wären, was eine hohe Performance und Verfügbarkeit garantiert.
Ein wichtiger Vorteil eines SAN ist die Trennung von Datenspeicherung und Computernetzwerk, was es ermöglicht, die Speicherressourcen unabhängig von den Computern zu verwalten und zu skalieren. Dies kann bei der Verwaltung großer Datenmengen sehr hilfreich sein.