Risikomanagement, Profiling Flashcards

1
Q

IT-Sicherheitsmanagement

A

Katastrophen, technische Mängel, ungeschulte MA, Hacker

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Risikomanagementprozess

A

Risiko-Assesment, R-Identifikation, R-Analyse, R-Bewertung, Risikobehandlung, Risikoakzeptanz

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Werte

A

Dinge für die ein Unternehmen einen Wert haben

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Vorfall

A

unerwünschte Vorfälle + wie man mit diesen umgeht

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Festlegen des Kontexts

A
  • Anwendungsbereich + Grenzen
  • Rollen und Verantwortlichkeit
  • Basiskriterien
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Risikoidentifikation

A
  • Identifikation der Assets, Bedrohungen, umgesetzter Maßnahmen, Schwachstellen, Schadenauswirkung
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Assets

A

Geschäftsprozesse + Informationen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Identifikation von Bedrohungen

A

OWASP TOP 10

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Risikoanalyse

A
  • Abschätzung vornehmen

- Arbeiten mir Wahrscheinlichkeit

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Risikobewertung

A
welche Risiken --> Priorisieren
BSP: 
Worst Case : 100.000€
Eintrittswahrscheinlichkeit: 0,1%
→ 100€ pro Zeitraum
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Risikoakzeptanz

A
  • Kommunikation zum Management

- schriftliche Doku

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Annual Loss Expectancy (ALE)

A

SE= SW(WorstCase)/T(Eintrittswahrscheinlichkeit)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Wirtschaftsanalyse ROSI

A

ROSI (=Return on Security Investment)
Annahme: Sicherheitsinvestition mindert Eintrittswahrscheinlichkeit eines Schadensereignis
Grundidee: Bewertung einer Gegenmaßnahme bzw. S-Investition anhand der prognostizierten Reduktion der Schadenserwartung

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Beispiel ALE ROSI

A
ALE = SW * p(SW)
ROSI = ALEvorher - ALEnachher - Investition
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Information Security Management System (ISMS)

A

Managementsystem zur konkreten Anwendung von Risikomanagement hinsichtlich Informationssicherheit in einem Unternehmen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

PDCA

A
Plan, Do, Check, Act
ISMS: 
- P: planen, festlegen
- D: instand halten, verbessern
- C: Überwachung
- A: umsetzen
17
Q

Compliance

A

Regeltreue ist in der betriebswirtschaftlichen Fachsprache der Begriff für die Einhaltung von Gesetzen und Richtlinien
→ im U. Verantwortung, Haftung
Gesetze: KontraG, Basel ll, Bundesdatenschutzgesetz

18
Q

Standards

A

ISO 27000: ISMS
ISO 31000: Risikomanagement + Methoden zum Risiko-Assessment
BSI Grundschutz: Empfehlungen zu Methoden, Prozesse, Verfahren
Common Criteria Produktzertifizierung hinsichtlich Vertrauenswürdigkeit

19
Q

Datenschutz

A

Schutz des einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit personbezogene Daten

20
Q

personbezogene Daten

A

Daten über persönliche / sachliche Verhältnisse einer bestimmten Person

21
Q

Funktion von Datenschutz

A

verstärkter Einsatz von IT- Systemen + Netzwerken führt zu riesigen Datenmengen, automatischen Analysen, Extraktion von Wissen
→ nicht jede Verarbeitung kann kontrolliert werden (Netzknoten)

22
Q

Gefahren einer Datenüberwachung

A

persönliche Datenüberwachung: Fehler durch niedrige Datenqualität, Fehlen Einwilligung zu Datenflüssen, Blacklisting
Massenüberwachung: Gefahr für Individuen, Gesellschaft

23
Q

Gefahren einer Datenüberwachung: Individuen

A

Willkür, Hexenjagd, versteckte Operationen

24
Q

Gefahren einer Datenüberwachung: Gesellschaft

A

feindliche Beziehung, ungleiche Anwendung von Gesetzen

25
Q

rechtliches

A

Bundesdatenschutzgesetz (BDSG)

! Verbotprinzip mit Erlaubnisvorbehalt, Datensparsamkeit - und vermeidung

26
Q

technische Maßnahmen

A

Individuen: wollen die Menge der von außen sichtbaren Identitätsinformationen kontrollieren, was zeigen sie wenn
Schutztechniken: Anonymisierung, Identity-Management-Tools, spontaner Wechsel zwischen Ebenen der Anonymität und Pseudonymität

27
Q

Privacy Enhancing Technologies

A

Anonymizer, Mixes and Onion RIng, Mixes, JAP, Tor, Cookie Cooker

28
Q

Anonymizer

A

Kunde wird einem “anonymity set” bestehend aus allen möglichen Proxy-Kunden geschutzt

29
Q

Mixes and Onion RIng

A

Kommunikation ist durch mehrere Mix-Server, die so genannten OnionRouter anonymisieren

30
Q

Mixes

A

Dekodieren, puffern, umsortieren + wiederversenden von eingehenden Nachrichten, Schutz vor ein/ausgehenden Nachrichten
→ Netzwerke, Kaskade, Innenansicht (anschauen!)

31
Q

Java Anonymity Proxy (JAP)

A

Nutzer können zwischen mehreren Mix- Kaskaden wählen

→ kann nicht vor globalen Angreifer schützen

32
Q

Tor Netzwerk

A

“virtueller Tunnel”
verteiltes anonymes Netzwerk → Verbindung während Sitzung ändern
Probleme: durch JS kann man viel über Client herausfinden, Hidden Services

33
Q

Cookie Cooker

A

Verwirrung von Datensammler (Cookies werden zwischen Nutzern getauscht)
Nutzung gefälschter Daten, werbeblocker, integriert in JAP

34
Q

Profiling

A

Analyse virtueller Representationen eines Benutzers durch Logfiles / Data Warehouse

35
Q

Profiling Schritte

A
  1. Datensammlung, erste Stufe: physisch
  2. Aufbereitung der Daten, 2.Strufe: empirisch
  3. Data Mining, 3.Stufe: syntaktisch
  4. Interpretaion, 4.Stufe: semantisch
  5. Handlungsentscheidung, 5. Stufe: pragmatisch
36
Q

Ziel Profiling

A

Entdeckung möglicher Terroristen, Krimineller, Versicherungsrisiken

37
Q

Arten Profiling

A

Kundenanbindungsprogramme, sozialdemographisches Profil, Fingerprint (Wo war ich drin)

38
Q

Location Based Services (LBS)

A

durch Sammeln + Verwenden von Daten gegen Wille → Risiko Privatephäre