Risikomanagement, Profiling

Question 1

IT-Sicherheitsmanagement

Answer 1

Katastrophen, technische Mängel, ungeschulte MA, Hacker

Question 2

Risikomanagementprozess

Answer 2

Risiko-Assesment, R-Identifikation, R-Analyse, R-Bewertung, Risikobehandlung, Risikoakzeptanz

Question 3

Werte

Answer 3

Dinge für die ein Unternehmen einen Wert haben

Question 4

Vorfall

Answer 4

unerwünschte Vorfälle + wie man mit diesen umgeht

Question 5

Festlegen des Kontexts

Answer 5

• Anwendungsbereich + Grenzen
• Rollen und Verantwortlichkeit
• Basiskriterien

Question 6

Risikoidentifikation

Answer 6

• Identifikation der Assets, Bedrohungen, umgesetzter Maßnahmen, Schwachstellen, Schadenauswirkung

Question 7

Assets

Answer 7

Geschäftsprozesse + Informationen

Question 8

Identifikation von Bedrohungen

Answer 8

OWASP TOP 10

Question 9

Risikoanalyse

Answer 9

• Abschätzung vornehmen

- Arbeiten mir Wahrscheinlichkeit

Question 10

Risikobewertung

Answer 10

welche Risiken --> Priorisieren
BSP: 
Worst Case : 100.000€
Eintrittswahrscheinlichkeit: 0,1%
→ 100€ pro Zeitraum

Question 11

Risikoakzeptanz

Answer 11

• Kommunikation zum Management

- schriftliche Doku

Question 12

Annual Loss Expectancy (ALE)

Answer 12

SE= SW(WorstCase)/T(Eintrittswahrscheinlichkeit)

Question 13

Wirtschaftsanalyse ROSI

Answer 13

ROSI (=Return on Security Investment)
Annahme: Sicherheitsinvestition mindert Eintrittswahrscheinlichkeit eines Schadensereignis
Grundidee: Bewertung einer Gegenmaßnahme bzw. S-Investition anhand der prognostizierten Reduktion der Schadenserwartung

Question 14

Beispiel ALE ROSI

Answer 14

ALE = SW * p(SW)
ROSI = ALEvorher - ALEnachher - Investition

Question 15

Information Security Management System (ISMS)

Answer 15

Managementsystem zur konkreten Anwendung von Risikomanagement hinsichtlich Informationssicherheit in einem Unternehmen

Question 16

PDCA

Answer 16

Plan, Do, Check, Act
ISMS: 
- P: planen, festlegen
- D: instand halten, verbessern
- C: Überwachung
- A: umsetzen

Question 17

Compliance

Answer 17

Regeltreue ist in der betriebswirtschaftlichen Fachsprache der Begriff für die Einhaltung von Gesetzen und Richtlinien
→ im U. Verantwortung, Haftung
Gesetze: KontraG, Basel ll, Bundesdatenschutzgesetz

Question 18

Standards

Answer 18

ISO 27000: ISMS
ISO 31000: Risikomanagement + Methoden zum Risiko-Assessment
BSI Grundschutz: Empfehlungen zu Methoden, Prozesse, Verfahren
Common Criteria Produktzertifizierung hinsichtlich Vertrauenswürdigkeit

Question 19

Datenschutz

Answer 19

Schutz des einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit personbezogene Daten

Question 20

personbezogene Daten

Answer 20

Daten über persönliche / sachliche Verhältnisse einer bestimmten Person

Question 21

Funktion von Datenschutz

Answer 21

verstärkter Einsatz von IT- Systemen + Netzwerken führt zu riesigen Datenmengen, automatischen Analysen, Extraktion von Wissen
→ nicht jede Verarbeitung kann kontrolliert werden (Netzknoten)

Question 22

Gefahren einer Datenüberwachung

Answer 22

persönliche Datenüberwachung: Fehler durch niedrige Datenqualität, Fehlen Einwilligung zu Datenflüssen, Blacklisting
Massenüberwachung: Gefahr für Individuen, Gesellschaft

Question 23

Gefahren einer Datenüberwachung: Individuen

Answer 23

Willkür, Hexenjagd, versteckte Operationen

Question 24

Gefahren einer Datenüberwachung: Gesellschaft

Answer 24

feindliche Beziehung, ungleiche Anwendung von Gesetzen

Question 25

rechtliches

Answer 25

Bundesdatenschutzgesetz (BDSG)

! Verbotprinzip mit Erlaubnisvorbehalt, Datensparsamkeit - und vermeidung

Question 26

technische Maßnahmen

Answer 26

Individuen: wollen die Menge der von außen sichtbaren Identitätsinformationen kontrollieren, was zeigen sie wenn
Schutztechniken: Anonymisierung, Identity-Management-Tools, spontaner Wechsel zwischen Ebenen der Anonymität und Pseudonymität

Question 27

Privacy Enhancing Technologies

Answer 27

Anonymizer, Mixes and Onion RIng, Mixes, JAP, Tor, Cookie Cooker

Question 28

Anonymizer

Answer 28

Kunde wird einem “anonymity set” bestehend aus allen möglichen Proxy-Kunden geschutzt

Question 29

Mixes and Onion RIng

Answer 29

Kommunikation ist durch mehrere Mix-Server, die so genannten OnionRouter anonymisieren

Question 30

Mixes

Answer 30

Dekodieren, puffern, umsortieren + wiederversenden von eingehenden Nachrichten, Schutz vor ein/ausgehenden Nachrichten
→ Netzwerke, Kaskade, Innenansicht (anschauen!)

Question 31

Java Anonymity Proxy (JAP)

Answer 31

Nutzer können zwischen mehreren Mix- Kaskaden wählen

→ kann nicht vor globalen Angreifer schützen

Question 32

Tor Netzwerk

Answer 32

“virtueller Tunnel”
verteiltes anonymes Netzwerk → Verbindung während Sitzung ändern
Probleme: durch JS kann man viel über Client herausfinden, Hidden Services

Question 33

Cookie Cooker

Answer 33

Verwirrung von Datensammler (Cookies werden zwischen Nutzern getauscht)
Nutzung gefälschter Daten, werbeblocker, integriert in JAP

Question 34

Profiling

Answer 34

Analyse virtueller Representationen eines Benutzers durch Logfiles / Data Warehouse

Question 35

Profiling Schritte

Answer 35

1. Datensammlung, erste Stufe: physisch
2. Aufbereitung der Daten, 2.Strufe: empirisch
3. Data Mining, 3.Stufe: syntaktisch
4. Interpretaion, 4.Stufe: semantisch
5. Handlungsentscheidung, 5. Stufe: pragmatisch

Question 36

Ziel Profiling

Answer 36

Entdeckung möglicher Terroristen, Krimineller, Versicherungsrisiken

Question 37

Arten Profiling

Answer 37

Kundenanbindungsprogramme, sozialdemographisches Profil, Fingerprint (Wo war ich drin)

Question 38

Location Based Services (LBS)

Answer 38

durch Sammeln + Verwenden von Daten gegen Wille → Risiko Privatephäre