Klausurfragen Flashcards
Was ist das Ziel von „Vertraulichkeit“?
Verhindern, dass geheime Informationen für unberechtigte Dritte zugänglich sind.
Welche Aktivitäten sind im Sinne des Datenschutzes beim Kunden zu berücksichtigen?
- Einwilligung einholen
- Datensicherheit gewährleisten
- Zweckbindung beachten
Welche Aktivitäten sind im Sinne des Datenschutzes beim Unternehmen zu berücksichtigen?
- Betriebs- und Geschäftsgeheimnisse wahren
- Kontrolle des Zutrittes zum Unternehmen sichern
- Zugangsberechtigung zu Daten definieren und überwachen
- Umgang mit Daten am Arbeitsplatz regeln
Welche Aktivitäten sind im Sinne des Datenschutzes beim Mitarbeiter zu berücksichtigen?
- Führung der Personalakten
- rechtmäßiges Verhalten
- „Whistleblowing“ und „Datenschutzhotline“
Was ist das Ziel von „Pseudonymität“?
Schutz vor namentlicher Identifizierung.
Ähnlich Anonymität mit dem Unterschied, dass der Bezug zu einer Person nicht gänzlich aufgehoben ist und somit der Personenkries, der die Zuordnungsregeln kennt, die Möglichkeit hat die Personen zur Verantwortung zu ziehen.
Kompromiss aus Vertraulichkeit und Transparenz.
Was ist das Ziel von „Anonymität“?
Schutz vor Identifizierung.
…ist die Folge der Unverkettbarkeit, das bedeutet die Daten der Informationen können der Person nicht zugeordnet werden.
Anonymisieren ist das Verändern personenbezogenen Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
Nennen Sie Ziele und Maßnahmen von Integrität?
Ziel:
Korrektheit der Daten, als auch die adäquate Funktionsweise des Systems (Systemintegrität)
Garantie, dass Daten in unveränderter Form (im „Originalzustand“) vorliegen
Maßnahmen:
Hash-Funktionen (bei jeder Veränderung der Daten verändert sich auch der Hash-Wert („Elektronischer Fingerabdruck“)
Message Authentication Codes (MAC) Digitale Signaturen
Welche drei Prinzipien für die Gewährleistung der Integrität kennen Sie?
Need-to-Know-Prinzip
Jeder Anwender soll nur so viele Berechtigungen haben, wie er für die Erfüllung seiner Aufgaben unbedingt benötigt.
Separation-of-Duties-Prinzip
Jeder Geschäftsprozess soll von mehr als einem Anwender bearbeitet werden, so dass Manipulationen bemerkt werden können.
Rotation-of-Duties-Prinzip
Aufgabenbereiche zwischen den Anwendern regelmäßig tauschen, so dass ein ausgefallener Anwender durch Kollegen vertreten werden kann und dass Manipulationen durch diese Kollegen bemerkt werden können.
Was sind die Aspekte der Prozesse in der IT-Was sind die Aspekte der Prozesse in der IT-Sicherheit?
Informationssysteme Sicherheitsanforderungen
SSLA (Security Service Level Agreements) Sicherheitsfreigabe
Change-Management
Nennen Sie die 4 Ablaufschritte des Risikomanagements?
- Bestimmen von Informationswerten/Wert von Assests
- Bestimmen von Bedrohungen
- Bestimmen von Schwachstellen
- Bestimmen der Eintrittswahrscheinlichkeit eines Szenarios
Nennen Sie zwei Kriminelle „Geschäftsmodelle“?
- Manipulation von Finanztransaktionen
- Verkauf von Daten aus sozialen Netzwerken
- Vermietung von Zombie-Rechnern (Spam, DDoS Angriffe)
- „Pizzeria 2.0“
Nennen Sie 4 Angriffsvektoren?
- Angreifer führt eigenen Code aus, den er über eine Sicherheitslücke eingeschleust hat:
Viele Möglichkeiten zur Fernsteuerung über das Internet Beschreiten von Umwegen um das Ziel zu erreichen
Öffentliche Listen von Sicherheitslücken und den dazu passenden Angriffswegen im Internet/Dark-Net verfügbar
-Externe Angriffe:
Einschleusen von Schadsoftware
- Indirekte externe Angriffe:
Phishing, PDF-Viewer, schwache Passwörter, Sicherheitslücke in einem Dienst - Interne Angriffe:
Angriff aufgrund intrinsische Motivation, Social Engineering, Bestechung - Physikalische Angriffe:
Physikalische Zugangskontrolle
Was versteht man unter den Angriffsarten
a. Cross-Site Request Forgery (XSRF)?
b. Memory Corruption?
a. Cross-Site Request Forgery (XSRF)?
Cross-Site Request Forgery (CSRF oder XSRF)
- Angreifer führt eine Transaktion in einer Webanwendung durch, nicht direkt, sondern der Angreifer bedient sich dazu eines Opfers, das bei einer Webanwendung bereits angemeldet sein muss.
- Dem Webbrowser des Opfers wird ohne dessen Wissen ein maliziöser HTTP-Request untergeschoben.
- Der Angreifer wählt den Request so, dass bei dessen Aufruf die Webanwendung die vom Angreifer gewünschte Aktion ausführt.
b. Memory Corruption?
Veränderung des Inhaltes eines Speicherbereichs durch Dritte
Was ist der Unterschied zwischen Safety und Security?
- Verhindern von Gefahren, die vom System auf die Umwelt oder den Menschen ausgehen
- Gefahr wirkt von Innen nach Außen
- Ziel: Erfüllung von rechtlichen Sicherheitsstandards
- Sicherheitsmanagement während der Entwicklung
Nach welcher Verteilung strebt die Ausfallrate elektronischer Bauteile (Erklärung + Zeichnung)?
- Ausfallrate ist die Ausfallneigung eines Systems in Abhängigkeit der Zeit
- Kerngröße, die die Wahrscheinlichkeit eines Systemausfalls bezogen auf die gesamte Lebensdauer T darstellt
