Klausurfragen

Question 1

Was ist das Ziel von „Vertraulichkeit“?

Answer 1

Verhindern, dass geheime Informationen für unberechtigte Dritte zugänglich sind.

Question 2

Welche Aktivitäten sind im Sinne des Datenschutzes beim Kunden zu berücksichtigen?

Answer 2

• Einwilligung einholen
• Datensicherheit gewährleisten
• Zweckbindung beachten

Question 3

Welche Aktivitäten sind im Sinne des Datenschutzes beim Unternehmen zu berücksichtigen?

Answer 3

• Betriebs- und Geschäftsgeheimnisse wahren
• Kontrolle des Zutrittes zum Unternehmen sichern
• Zugangsberechtigung zu Daten definieren und überwachen
• Umgang mit Daten am Arbeitsplatz regeln

Question 4

Welche Aktivitäten sind im Sinne des Datenschutzes beim Mitarbeiter zu berücksichtigen?

Answer 4

• Führung der Personalakten
• rechtmäßiges Verhalten
• „Whistleblowing“ und „Datenschutzhotline“

Question 5

Was ist das Ziel von „Pseudonymität“?

Answer 5

Schutz vor namentlicher Identifizierung.
Ähnlich Anonymität mit dem Unterschied, dass der Bezug zu einer Person nicht gänzlich aufgehoben ist und somit der Personenkries, der die Zuordnungsregeln kennt, die Möglichkeit hat die Personen zur Verantwortung zu ziehen.
Kompromiss aus Vertraulichkeit und Transparenz.

Question 6

Was ist das Ziel von „Anonymität“?

Answer 6

Schutz vor Identifizierung.
…ist die Folge der Unverkettbarkeit, das bedeutet die Daten der Informationen können der Person nicht zugeordnet werden.
Anonymisieren ist das Verändern personenbezogenen Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Question 7

Nennen Sie Ziele und Maßnahmen von Integrität?

Answer 7

Ziel:
Korrektheit der Daten, als auch die adäquate Funktionsweise des Systems (Systemintegrität)
Garantie, dass Daten in unveränderter Form (im „Originalzustand“) vorliegen

Maßnahmen:
Hash-Funktionen (bei jeder Veränderung der Daten verändert sich auch der Hash-Wert („Elektronischer Fingerabdruck“)
Message Authentication Codes (MAC) Digitale Signaturen

Question 8

Welche drei Prinzipien für die Gewährleistung der Integrität kennen Sie?

Answer 8

Need-to-Know-Prinzip
Jeder Anwender soll nur so viele Berechtigungen haben, wie er für die Erfüllung seiner Aufgaben unbedingt benötigt.

Separation-of-Duties-Prinzip
Jeder Geschäftsprozess soll von mehr als einem Anwender bearbeitet werden, so dass Manipulationen bemerkt werden können.

Rotation-of-Duties-Prinzip
Aufgabenbereiche zwischen den Anwendern regelmäßig tauschen, so dass ein ausgefallener Anwender durch Kollegen vertreten werden kann und dass Manipulationen durch diese Kollegen bemerkt werden können.

Question 9

Was sind die Aspekte der Prozesse in der IT-Was sind die Aspekte der Prozesse in der IT-Sicherheit?

Answer 9

Informationssysteme Sicherheitsanforderungen
SSLA (Security Service Level Agreements) Sicherheitsfreigabe
Change-Management

Question 10

Nennen Sie die 4 Ablaufschritte des Risikomanagements?

Answer 10

1. Bestimmen von Informationswerten/Wert von Assests
2. Bestimmen von Bedrohungen
3. Bestimmen von Schwachstellen
4. Bestimmen der Eintrittswahrscheinlichkeit eines Szenarios

Question 11

Nennen Sie zwei Kriminelle „Geschäftsmodelle“?

Answer 11

• Manipulation von Finanztransaktionen
• Verkauf von Daten aus sozialen Netzwerken
• Vermietung von Zombie-Rechnern (Spam, DDoS Angriffe)
• „Pizzeria 2.0“

Question 12

Nennen Sie 4 Angriffsvektoren?

Answer 12

• Angreifer führt eigenen Code aus, den er über eine Sicherheitslücke eingeschleust hat:
  Viele Möglichkeiten zur Fernsteuerung über das Internet Beschreiten von Umwegen um das Ziel zu erreichen
  Öffentliche Listen von Sicherheitslücken und den dazu passenden Angriffswegen im Internet/Dark-Net verfügbar

-Externe Angriffe:
Einschleusen von Schadsoftware

• Indirekte externe Angriffe:
  Phishing, PDF-Viewer, schwache Passwörter, Sicherheitslücke in einem Dienst
• Interne Angriffe:
  Angriff aufgrund intrinsische Motivation, Social Engineering, Bestechung
• Physikalische Angriffe:
  Physikalische Zugangskontrolle

Question 13

Was versteht man unter den Angriffsarten

a. Cross-Site Request Forgery (XSRF)?
b. Memory Corruption?

Answer 13

a. Cross-Site Request Forgery (XSRF)?
Cross-Site Request Forgery (CSRF oder XSRF)
- Angreifer führt eine Transaktion in einer Webanwendung durch, nicht direkt, sondern der Angreifer bedient sich dazu eines Opfers, das bei einer Webanwendung bereits angemeldet sein muss.
- Dem Webbrowser des Opfers wird ohne dessen Wissen ein maliziöser HTTP-Request untergeschoben.
- Der Angreifer wählt den Request so, dass bei dessen Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt.

b. Memory Corruption?
Veränderung des Inhaltes eines Speicherbereichs durch Dritte

Question 14

Was ist der Unterschied zwischen Safety und Security?

Answer 14

• Verhindern von Gefahren, die vom System auf die Umwelt oder den Menschen ausgehen
• Gefahr wirkt von Innen nach Außen
• Ziel: Erfüllung von rechtlichen Sicherheitsstandards
• Sicherheitsmanagement während der Entwicklung

Question 15

Nach welcher Verteilung strebt die Ausfallrate elektronischer Bauteile (Erklärung + Zeichnung)?

Answer 15

• Ausfallrate ist die Ausfallneigung eines Systems in Abhängigkeit der Zeit
• Kerngröße, die die Wahrscheinlichkeit eines Systemausfalls bezogen auf die gesamte Lebensdauer T darstellt

Question 16

Erklären Sie den Begriff „Fehler“!

Answer 16

Ein Fehler ist ein Zustand
•Nichterfüllung mindestens einer vorgegebenen Forderung
•Fehler entstehen durch Mensch, Material, Milieu (Umgebung), Methode,…

Question 17

Erläutern Sie den Unterschied zwischen Fault und Error!

Answer 17

Fault
Abweichung der tatsächlichen Ausführung von der für die Erfüllung der Anforderungsspezifikation erforderlichen konstruktiven und fertigungstechnischen Ausführung des Systems.

Error
Abweichung zwischen einem berechneten Wert und dem wahren, spezifizierten oder theoretische richtigem Wert aufgrund eines Fehlers oder einer Störung

Question 18

Wie verhält sich die Ausfallrate des dritten Bereichs der Weibull-Verteilung und erklären Sie, warum das so ist!

Answer 18

Verschleiß-/Ermüdungs-Fehler mit b > 1

Bsp. Mechanisches Bauteil

Question 19

Wie werden die Ausfallraten von Komponenten ermittelt?

Answer 19

Unternehmen und Forschungsinstitute veröffentlichen Datenbanken oder (Online-) Handbücher zur Bestimmung der Ausfallraten von Komponenten

Question 20

Nennen Sie die Chancen und Vorteile von Unternehmen bei Nutzung von Normen!

Answer 20

Kostensenkungen in Entwicklung und Produktion
•	Massenproduktion
•	Globaler Einkauf
•	Verminderte Anpassungskosten
•	Verkürzung der Entwicklungszeiten

Wettbewerbsvorteile gegenüber Konkurrenten
• Wissens- und Zeitvorteile
• Imagesteigerung
• Zugang zu neuen Märkten

Klar definierte Schnittstellen sowohl intern als auch zu Kunden und Zulieferern

Verbesserungen der Kundenkontakte und Anreize für neue Kunden

Question 21

Wie hoch sollte die Zuverlässigkeit einer mechanischen Komponente im Vergleich zu einer elektronischen Komponente sein?

Answer 21

Die Zuverlässigkeit elektronischer Systeme muss mindestens genauso groß sein, wie die vergleichbaren mechanischen Systeme

Question 22

Erläutern Sie den fail-safe Zustand!

Answer 22

• Unmittelbarer Übergang in einen sicheren Zustand

* System bleibt bis zur Reparatur im sicheren Zustand