LE 1

Question 1

Was war besonders an Stuxnet?

Answer 1

• Schadsoftware verlässt digitalen Raum
  Erstens greift Stuxnet Steuerungssysteme (SCADA-Systeme von Siemens) an und ist
  damit in der Lage, physischen Schaden an Industrieanlagen anzurichten. Bis dahin haben Schadprogramme die IT-Systemebene nicht verlassen.
• Verwendung mehrerer ZeroDays
  Zweitens ergaben Analysen, dass für Stuxnet vier bis dahin unveröffentlichte Sicherheitslücken (sog. ZeroDays) verwendet wurden. Solche Lücken werden für sehr viel
  Geld auf dem Schwarzmarkt gehandelt. Bisher kannte man Schadprogramme, die ein
  oder zwei solcher Lücken verwendeten.

-Extrem komplexe Schadsoftware
Drittens ist insgesamt der notwendige personelle und finanzielle Aufwand, einen solchen Schädling gezielt zu entwickeln, so gewaltig, dass davon auszugehen ist, dass eine
Gruppe mit sehr großen finanziellen Ressourcen dahinter steht

Question 2

ISO Standard 270001

Answer 2

ISO 270001

• Maßnahmenkatalog
• spezifiziert die Anforderungen an Information Security Management System (ISMS) und ist Grundlage zur Zertifizierung von Organisationen in diesem Bereich.
• Herstellung, Einführung, der Betrieb, die Überwachung, Wartung und Verbesserung eines Informationssicherheitssystems berücksichtigt.
• Das primäre Ziel ist die Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung der Informationssicherheit.

Question 3

Safety und Security

Answer 3

Safety bezieht sich meist auf die Zuverlässigkeit und Ausfallsicherheit von Systemen oder auf die Unversehrtheit von Menschen. Auf der systemtechnischen Ebene bezieht sich Safety also auf die Zuverlässigkeit und Betriebssicherheit von Systemen, indem das System stabile und überprüfbar korrekte Ergebnisse liefert und eine gewisse Fehlertoleranz aufweist.

Security wird häufig mit Angriffssicherheit übersetzt, also dem Schutz vor beabsichtigten Angriffen. Dementsprechend definiert auch die International Standards Organisation (ISO) Security als die “Minimierung der Verwundbarkeit von Werten und Ressourcen” (Eckert 2014 ). Auf der systemtechnischen Ebene geht es bei der Security also um den Schutz vor Angriffen wie z. B. die Störung der Funktionalität durch Schadsoftware, das unbefugte Auslesen oder Manipulieren von Daten oder das Abfangen von Daten bei deren Übertragung.

Question 4

Sicherheitsdifferenzierung nach Eckert

Answer 4

Funktionssicherheit (safety) im Sinne erwartungskonformer Funktionalität,

Informationssicherheit (security)

Datensicherheit (protection).

Question 5

Unterscheidung zur Bewertung von Systemen in …

Answer 5

… zwischen Schwachstellen, Bedrohungen und Risiken

Question 6

Schwachstelle Definition

Answer 6

beschreibt eine Eigenschaft eines Systems, die einen Missbrauch ermöglicht,
also eine Eigenschaft, die das System verwundbar macht

Question 7

Zero-day Vulnerability, Zero Days oder 0days.

Answer 7

Ausnutzung einer Lücke am gleichen Tag

Question 8

Bedrohung (threat)

Answer 8

beabsichtigte oder unbeabsichtigte Einwirken auf ein System, eine Ressource oder auch auf eine Person mit unerwünschten Effekten (Schaden).

Das BSI-GS spricht von einem “Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann”.

Beispiele für Bedrohungen:

• Zufällige Ereignisse (z. B. höhere Gewalt); diese sind der Sicherheit im Sinne der Safety zuzuordnen.
• Unbeabsichtigte Fehler (z. B. Übertragungs- oder Bedienungsfehler) beziehen sich auf die Zuverlässigkeit eines Systems und sind ebenfalls der Safety zuzuordnen.
• Passive Angriffe ohne Änderung am laufenden IT-System (z. B. Abhören oder Mitlesen).
• Aktive Angriffe mit Änderungen am Daten-Zustand des Systems (z. B. Datenverfälschung).

Question 9

Risiko

Answer 9

die Wahrscheinlichkeit, dass ein Schaden durch eine Bedrohung eintritt, als auch die Höhe des Schadens, also die unerwünschten Folgen selbst.

Das Risiko umfasst also auch eine “Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist

• ergibt sich aus einer Schwachstelle, dem Bedrohungspotential und der Schadenshöhe, wodurch Risiko die Relevanz eines bestimmten Schadensszenarios beschreibt

Question 10

5 Schutzziele

Answer 10

1. Integrität
2. Authentizität
3. Verfügbarkeit
4. Verbindlichkeit
5. Vertraulichkeit

Question 11

Integrität (von Daten oder Ressourcen)

Answer 11

dass diese unverfälscht sind, d.h. sie nicht geändert oder gelöscht wurden, oder ihnen etwas hinzugefügt wurde.

Question 12

Authentizität

Answer 12

Echtheit der Quellen

von Daten, also dass die (übertragenen) Daten vom angegebenen Absender oder System stammen.

Question 13

Integrität

Answer 13

dass diese unverfälscht sind, d.h. sie nicht geändert oder gelöscht wurden, oder ihnen etwas hinzugefügt wurde.

Question 14

Authentizität

Answer 14

Die Authentizität (engl. authenticity) beschreibt hauptsächlich die Echtheit der Quellen von Daten, also dass die (übertragenen) Daten vom angegebenen Absender oder System stammen.

Authentizität kann sich damit einerseits auf Personen beziehen: Bei der Übertragung von Nachrichten, zum Beispiel per Mail, bedeutet Authentizität dann, dass die Mail tatsächlich von der Person gesendet wurde, die als Absender eingetragen ist.

Question 15

Verbindlichkeit

Answer 15

dass ein bestimmtes Ereignis oder eine bestimmte Aktion stattgefunden hat und dass diese einer (natürlichen oder juristischen) Person zurechenbar ist. Manche Autoren sprechen hier auch von Nicht-Abstreitbarkeit (engl. non-repudiation).

Question 16

Vertraulichkeit

Answer 16

stellt die Geheimhaltung von Informationen gegenüber unberechtigten Dritten sicher

Wer Vertraulichkeit gewährleistet, verhindert eine “unautorisierte Informationsgewinnung

Question 17

Verfügbarkeit

Answer 17

Verfügbarkeit (engl. availability) von Ressourcen wie Daten oder Dienste ist gewährleistet, wenn sie erreichbar und erwartungskonform nutzbar sind.

Question 18

Schützenswerte Daten

Answer 18

• Personenbezogene Daten
• Maschinendaten
• Metadaten

Question 19

Aufgaben Identity Management

Answer 19

• Identität von Personen und deren Rechte mit technischen Mitteln prüfen
• Schutz von Systemen, Systemfunktionen und Daten

wer eigentlich befugt ist für was, und wie sichergestellt werden kann, dass sich unbefugte Personen nicht als befugte ausgeben können

Question 20

Identität

Answer 20

• (technische) Repräsentation einer Person, aber auch ein Objekt
• braucht Eigenschaften zum Wiedererkennen

Question 21

5 Komponenten Authentifizierungsprozess

Answer 21

1. ein Satz Daten zur Authentisierung (A), also mit denen Personen ihre Identität nachweisen;
   
   2. ein Satz im System gespeicherter Referenzdaten (R), mit denen die Authentisierungsdaten abgeglichen werden;
   3. eine Extraktionsfunktion (FE), mit der die Authentisierungsdaten in die Referenzdaten überführt werden können;
   4. Vergleichsfunktion (FV), mit der die Identität nachgewiesen wird;
   5. Änderungsfunktionen S, mit denen eine Person Authentifzierungsdaten erstellen oder ändern kann.

Question 22

Autorisierung

Answer 22

erfolgreiche Zuweisung von Rechten zu Identitäten

Question 23

Recht auf informationelle Selbstbestimmung

Answer 23

zu bestimmen,

wann und in welchem Umfang er persönliche Lebenssachverhalte preisgeben möchte und

zu welchem Zweck sie verwendet werden dürfen.

Question 24

Schützenswerte Daten

Answer 24

• personenbezogene Daten
  das sind Einzelangaben über persönliche oder sachliche Eigenschaften einer identifizierten oder identifizierbaren natürlichen Person.
  Telefonnummer, E-Mail-Adresse, IP-Adresse beim Surfen oder der Personalnummer, Pseudonyme.
• Maschinendaten:
  enthalten Informationen über den Zustand von Maschinen oder auch über Prozessabläufe in Industrieanlagen, zum Beispiel Temperatur, Schwingungen, Drehzahl o.ä.
• Metadaten:
  strukturierte Daten, die Inhaltsdaten beigeordnet sind und etwas über diese aussagen[3]. Metadaten gibt es überall dort, wo Daten beschrieben werden. Bei der E-Mail wäre das der Text oder die Anhänge, die versandt wurden, bei dem Buch das Buch selbst. Metadaten können sowohl personenbezogen also auch nicht-personenbezogen sein.

Question 25

Warum ist das Kerckhoffsche Prinzip wichtig?

Answer 25

• man braucht ein gutes Verfahren, nicht geheimes
• Experten können Meinung über ein Verfahren bilden.Verfahren so auf potenzielle Schwächen/Sicherheitslücken untersucht werden.
• Aufwand der Geheimhaltung
• Im Falle der Kompormittierung: nur die jeweiligen Daten, die mit dem Verfahren gesichert worden sind, befallen