Lernfeld 4 Flashcards
Übersetzen auf Vietnamesisch:
*Art. 12: Transparente Information, Kommunikation und Modalitäten zur Ausübung der Rechte
* Art. 13: Informationspflicht bei Erhebung von personenbezogenen Daten
* Art. 14: Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden
* Art. 15: Auskunftsrecht der betroffenen Person
* Art. 16: Recht auf Berichtigung
* Art. 17: Recht auf Löschung, „Recht auf Vergessenwerden“
*Art. 18: Recht auf Einschränkung der Verarbeitung
* Art. 19: Mitteilungspflicht im Zusammenhang mit Berichtigung, Löschung, Einschränkung
* Art. 20: Recht auf Datenübertragbarkeit
* Art. 21: Widerspruchsrecht
* Art. 22: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
* Art. 23: Beschränkungen der Rechte verhältnismäßig in besonderen Fällen
- Điều12: Thông tin, truyền thông và phương thức minh bạch để thực hiện quyền
- Điều 13: Nghĩa vụ cung cấp thông tin khi thu thập dữ liệu cá nhân
- Điều 14: Nghĩa vụ cung cấp thông tin nếu dữ liệu không được thu thập từ chủ thể dữ liệu
- Điều 15: Quyền truy cập của chủ thể dữ liệu
- Điều 16: Quyền cải chính
- Điều 17: Quyền xóa, quyền được lãng quên
- Điều18: Quyền hạn chế xử lý
- Điều 19: Nghĩa vụ thông báo khi sửa chữa, xóa bỏ, hạn chế
- Điều 20: Quyền di chuyển dữ liệu
- Điều 21: Quyền phản đối
- Điều 22: Quyết định tự động trong trường hợp cá nhân bao gồm cả việc lập hồ sơ
- Điều 23: Hạn chế quyền tương ứng trong trường hợp đặc biệt
(BfDI)
- Bundesbeauftragte für Datenschutz und Informationsfreiheit
- unabhängige Datenschutzbehörde. Er ist zuständig für die Informationsfreiheit und Überwachung des Datenschutzes bei öffentlichen Stellen des Bundes und bei Unternehmen, die Telekommunikations- und Postdienstleistungen.
BSI Aufgaben
Schutz der Netze des Bundes, Erkennung und Abwehr von Angriffen auf die Regierungsnetze.
Prüfung & Zertifizierung von IT-Produkten und -Dienstleistungen.
Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen.
(DsiN)
-Deutschland sicher im Netz e. V.
-ein gemeinnütziger Verein, unter der Führung des Bundesinnenministeriums, und bietet Verbrauchern und Unternehmen konkrete Hilfestellungen im sicheren Umgang mit dem Internet.
Was ist der Inhalt von IT-Grundschutz-Kompendium von BSI?
Drafts): Beschreibung vonElementaren Gefährdungen und Bausteinen zur Erstellung vonInformationssicherheitssystemen (ISMS) in Unternehmen und Organisationen. 10 Schichten
Schicht INF (Infrastruktur) enthält Bausteine zum Gebäude, zu Räumen und weiterer Infrastruktur
Schicht NET (Netze und Kommunikation)
Schicht CON enthält Bausteine, die sich mit Konzepten und Vorgehensweisen befassen
Schicht DER: Detektion und Reaktion
Schicht IND: Industrielle IT
Schicht ORP: Organisation und Personal
14 Gebote für Datensicherheit und Datenschutz
- Zugangskontrolle: Verwehrung des Zugangs zu Verarbeitungsanlagen
- Datenträgerkontrolle: Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern
- Speicherkontrolle: Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten
- Benutzerkontrolle: Verhinderung der Nutzung mithilfe von Einrichtungen zur Datenübertragung durch Unbefugte
- Zugriffskontrolle: Gewährleistung, dass ausschließlich Berechtigte zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben
- Übertragungskontrolle: Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten übermittelt oder zur Verfügung gestellt wurden oder werden können
- Eingabekontrolle: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zuwelcher Zeit und von wem eingegeben oder verändert worden sind
- Transportkontrolle: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden
- Wiederherstellbarkeit: Gewährleistung, dass Systeme im Störungsfall wiederhergestellt werden können
- Zuverlässigkeit: Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden
- Datenintegrität: Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können
- Auftragskontrolle: Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
- Verfügbarkeitskontrolle: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind
- Trennbarkeit: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können
47 elementare Gefährdungen
💖 Wasser, Feuer, Verschmutzung
💖 Diebstahl von Geräten, Datenträger und Dokumenten
💖 Unbefugtes Eindringen in System
💖 Software-Schwachstellen oder – Fehler
💖 Identitätsdiebstahl
Direkte, materielle Schadensszenarien vs Indirekte, immaterielle Schadenszenarien
Direkte: finanzielle Auswirkungen wie Gewinn-/Umsatzrückgang, Verlust der Kreditwürdigkeit oder von Marktanteil, Beeinträchtigungen der Aufgabenerfüllung oder negative Auswirkungen, z.B. Absatz- und Umsatzeinbußen, Bußgelder, Rechtanwaltskosten und kostenintensive Sicherheitsdienstleistungen, kostenintensivePressearbeit, Verlust vonKunden, Entlassungen, Geschäftsunterbrechungen und Geschäftsstillstand, Insolvenz.
Indirekte: Verstöße gegen Gesetze, Vorschriften und Verträge, negative Innen- und Außenwirkung (Imageschaden), Beeinträchtigung der persönlichen Unversehrtheit und des informationellen Selbstbestimmungsrechts der Betroffenen bei personenbezogenen Daten, Rückgang der Mitarbeitermotivation.
Faktoren, von dem die Bewertungen von Schadenskategorien abhängig sind
Bewertungen abhängig von:
* tolerierbaren Ausfallzeiten
* Schnelligkeit der Regelung/Qualität der Notfallpläne
* negativen Kumulationseffekten von Schäden
* positiven Verteilungseffekten (Lastausgleich)
* existenziell bedrohlichen Maximalfällen
Erklären Credential Stuffing
Credential Stuffing ist ein Cyber-Angriff, bei dem gestohlene Benutzeranmeldeinformationen automatisiert gegen andere Websites oder Dienste ausprobiert werden, um auf Benutzerkonten zuzugreifen.
Was ist Trojaner
Schadprogramm, kein Virus, täuschen echte Anwendungen vor, öffnen in der Regel eine Hintertür im Computersystem, damit andere Schadprogramme darauf zugreifen können, vermehren sich nicht selbstständig.
Die Verbreitung von Schadsoftware erfolgt durch?
- Herunterladen infizierter Anhänge, die meist als Bestandteil Interesse weckender E-Mails übermittelt werden ;
- Drive-by-Infection: cyberkriminelle Webseiten im Internet sind so präpariert, dass Schadsoftware bei Aufruf der präparierten Webseite automatisch heruntergeladen wird ;
- Soziale Netzwerke, in denen infizierte Anhänge und entsprechende Links geteilt werden ;
- Spear-Infection: Cyberkriminelle nehmen mittels persönlich adressierter Phishing- oder Infektionsmails gezielt zu bestimmten Personen Kontakt auf, um auf diesem Wege an Daten zu gelangen bzw. den Rechner des Opfers zu infizieren.
Was ist Spam
Unter Spam versteht man unerwünschte Nachrichten, die massenhaft und ungezielt per E-Mail oder über andere Kommunikationsdiensteversendet werden. In der harmlosen Variante enthalten Spam-Nachrichten meist unerwünschte Werbung. Häufig enthält Spam jedoch auch Schadprogramme im Anhang, Links zu verseuchten Webseiten oder wird für Phishing-Angriffe genutzt, sog. Malware-Spam.
Z.B. Spearing oder Spear- Phishing (gezielt mit beschafften persönlichen Daten nach weiteren Gewinnmöglichkeiten wie mit einem Speer jagen, engl. spear), Hoaxes (Falsch- und Scherzmeldungen einsetzen) und Skimming (Mails mit Gewinnversprechen) unterteilen.
Begriffe Social Engineering und Beispiele
Combosquatting
Über Social Engineering versuchen Cyberkriminelle, Opfer dazu zu bewegen, ihre Daten preiszugeben, um Schutzmaßnahmen umgehen zu können, Datenzuerspähen, zu Falschhandlungen zu animieren oder Schadprogramme installieren zu können.
Combosquatting ist eine Form des Cybersquatting, bei dem Angreifer Domainnamen registrieren, die eine Kombination aus dem Namen einer bekannten Marke oder Organisation und anderen Begriffen enthalten.
CEO-Fraud
Email-Phising
Single Sign-on
oder „Einmalanmeldung“): Sie ermöglicht über ein SSO-System, dass der Arbeitsplatznutzer sich nur einmal anmelden muss und Zugriff auf alle Dienste und sonstige Ressourcen hat, die er im SSO-System hinterlegt hat. Er muss sich somit für die einzelnen Programme oder Dienste nicht extra anmelden.
