Sicherheitsvokabular Flashcards
Was versteht man unter CIA(AA)?
Confidentiality Integrity Availability Authenticity Accountability
Was ist eine Bedrohung?
Eine Bedrohung ist eine m¨ogliche Gefahr, die eines der Schutzziele
beeintr¨achtigen k¨onnte
Was können Bedrohungen verursachen?
- Elementarschaden, Feuer, Wasser
- Fehlbedienung
- Malware
- Systemausfall aufgrund b¨oswilliger Handlung
Was für auswirkungen haben Bedrohungen?
- Funktionsausfall einer Dienstleistung, z.B. wegen DoS-Attacke
- Systemmissbrauch, verborgenes Repository
- Sabotage, Mitarbeiter modifiziert Datenbank zuf¨allig
- Spionage, z.B. Dumpster Diving
Was ist ein Asset? Wir wird der Wert bemessen?
Ein Aktivposten ist etwas, womit wir einen Wert verbinden. Der Wert
ist h¨aufig subjektiv. Bsp: Wie viel Wert hat ein Notebook? (Mit oder
ohne Atomcodes drauf?) Nimmt der Wert mit dem Alter kontinuierlich ab? Nein, bei Kunstgegenst¨anden oder Wein nimmt er beispielsweise zu.
- Anschaffungswert
- Inhalt, Notebook mit oder ohne Atomcodes?
- Alter, z.B. Wein
- Wiederbeschaffbarkeit, z.B. Mona Lisa
- ideeller Wert, z.B. erster Schnuller
Was ist eine Schwäche?
Eine Schw¨ache ist ein Zustand oder eine Begebenheit, durch die ein
Asset gef¨ahrdet sein k¨onnte. Z.B. rostiges Gel¨ande einer Brucke. Ein ¨
Internetanschluss ist eine Schw¨ache aber kein Risiko.
Was ist Schadensausmass (single loss expectancy)?
Das Schadensausmass, ist ein Wert, der die H¨ohe eines Schadens bemisst. Bsp. Autounfall: Man erh¨alt nur den Wiederbeschaffungswert
zuruck und nicht den Anschaffungswert. Der Anschaffungswert ist ¨
nicht gleich dem Wiederbeschaffungswert.
Was ist die Eintrittswahrscheinlichkeit?
Die Eintrittswahrscheinlichkeit ist ein Wert, der verk¨orpert mit welcher Wahrscheinlichkeit ein bestimmte Ereignis oder ein bestimmter
Schaden eintritt. Meistens wird sie uber einen bestimmten, l ¨ ¨angeren
Zeitraum (z.B. ein Jahr) betrachtet. Wird auf 1 Element angegeben und nicht auf eine Gruppe. Es wird von einer stetigen Verteilung ausgegangen. Dies ist nicht immer richtig: Am Anfang ist die
Eintrittswahrscheinlichkeit gr¨osser aufgrund von Produktionsfehlern,
dann sinkt sie ab und gegen Ende des Lifespans des Produkts nimmt
sie wieder zu.
Was ist Risiko?
Kombination aus Schadensausmass und Eintrittsswahrscheinlichkeit.
Den Betrag, den man aus Ausgleich zahlen muss. Die Versicherungspr¨amie ist das Risiko.
Was sind Risikostrategien um Risiko zu minimieren?
Vermeidung, Ich fahre nicht Auto
• Risikoreduktion, Ich fahre nur Auto, wenn es unbedingt sein
muss
• Risikooptimierung, Ich vermeide die gef¨ahrliche Kreuzung zu
Stosszeiten
• Risikotransfer, Ich bin unfallversichert
• Festhalten an einer Risikostruktur, Ich bin schon immer hier
durchgefahren und sehe keine M¨oglichkeit es besser zu machen
Was ist der Risikograph? Für was ist er gut?
Der Risikograph ist ein Mittel, um Risiken zu quantifizieren.
Risiken im inakzeptablen Bereich (rot) werden so lange mit Risikostrategien bearbeitet, bis sie in den akzeptablen Bereich geraten (z.B.
Risiko versichern). Im ALARP (As low as reasonably practical, gelber Bereich) lass ich alle Risiken drin, die ich mit vernunftigen Mittel ¨
nicht weiter reduzieren kann. Viele Risiken, wie reduzieren? Durch
Gruppieren. Wie gruppieren? Risiken, die mit gleichen Massnahmen
reduziert werden k¨onnen, zusammenlegen. Bsp. Server wird angegriffen durch Hacker. Interne Hacker (arbeiten bei der Firma) und externe
Hacker zusammenfassen? Nein, denn die Massnahmen sind anders (gegen interne 4-Augen Prinzip, gegen externe Sicherheit/Firewall verbessern). Anderes Bsp: Server gegen Wasser- und Feuerschaden absichern? Kann zusammengelegt werden, indem Versicherung fur beides ¨
abgeschlossen wird.
