Was sind die 3 Hauptaufgaben der Informationssicherheit?
Identitätssicherheit
Kommunikationssicherheit
Datensicherheit
Was ist das Ziel der Vertraulichkeit?
Verhindern, dass vertrauliche/geheime Informationen für unberechtigte Dritte zugänglich wird.
Die Vertraulichkeit eines IT-Systems ist gegebenm wenn keine unterlaubte Informationsgewinnung stattfinden kann.
Wie wird Vertraulichkeit umgesetzt?
Durch Zugriffsschutz und einer Verschlüsselung
Was sind Grundlagen der Vertraulichkeit?
Festlegung von Kontrollen und Berechtigungen, die unterbinden, dass Subjektive unauthorisiert Kentnisse von Informationen erlangen
Was ist das Ziel von Pseudonymität?
Schutz vor namentlicher Identifizierung
Ähnlich Anonymität, mit dem Unterschied, dass der Bezug zu einer Person nicht gänzlich aufgehoben ist und somit der Personenkreis, der die Zuordnungsregel kennt, die Möglichkeit hat die Person zur Verantwortung zu ziehen.
Wie wird Pseudonymität umgesetzt?
Personenbezogene Daten werden mit Hilfe einer Zuordnungsvorschrift derart verändert, sodass eine Zuordnung der Daten ohne Kenntnis der Zuordnungsvorschrift zu einem Individuen nicht erfolgen kann.
Was ist das Ziel von Anonymität?
Schutz von Identifizierung
Wie wird Anonymität umgesetzt?
Kappung der Zuordnung von Daten zu bestimmten Personen
Was ist das Ziel von Verdecktheit und Unbeobachtbarkeit?
Das Außenstehende einer Kommunikation nicht erkennen, wer Daten sendet oder empfängt
Wie wird Verdecktheit und Unbeobachtbarkeit umgesetzt?
Schutz von Kommunikationssystemen vor Aufklärung (sowohl visuell, akustisch und elektromagnetisch)
Steganographie
Hidden Volumes
Was ist das Ziel von Unverkettbarkeit und Nicht-Verfolgbarkeit?
Gewährleistung, dass mehrer aufeinander folgende Eregnisse nicht in zusammenhang gebracht werden können
Wie wird Unverkettbarkeit und Nicht-Verfolgbarkeit umgesetzt?
Durch verwendung verschiedener Pseudonyme bei verschiedenen Diensten
Was ist das Ziel von Authentizität?
Anhand von eindeutigen Charakterisitka nachweisbare Echtheit und Glaubwürdigkeit.
Nachweisliche Garantie von Integrität und Herkunft von Informationen
Wie wird Authentizität umgesetzt?
Durch verwendung mind. einer der folgenden Charakteristika:
Something you Know (Passwort)
Something you have (Passkey)
Something you are (biomethrisch)
Was ist das Ziel von Integrität?
Ziel ist dass eine korrektheit der Daten und Systeme gewährleistet werden kann, ohne das von Subjekten geändert oder Manipuliert werden können.
Somit kann garantiert werden, dass Daten in unveränderter Form vorliegen
Wie wird die Wahrung der Integrität umgesetzt?
Mittels Hash Funktionen. Bei jeder Veränderung der Daten verändert sich auch der Hash-Wert.
Zudem werden digitale Signaturen verwendet.
Was ist ein Hash Wert?
Ein elektronischer Fingerabdruck von Daten. Bldet eine Prüfsumme
Bei welchen einsatzszenarien werden Hash Verfahren verwendet?
Digitale Signaturen
Speichern von Kennwörtern
Prüfsummen bei Downloads
Integritätsprüfung
Was ist das Ziel von Verfügbarkeit?
Die Gewährleistung, dass Dienste den berechtigten Benutzern stets zur Verfügung stehen
Durch welche Angriffe kann die Verfügbarkeit beeinträchtigt werden?
(Distributed-)Denial-of-Service-Attake =>(D)DoS
Wie funktioniert eine (D)DoS Attake?
Ein Ziel wird mit so vielen Anfragen überflutet, dass diese der Last nachgibt und zusammenbricht
Was sind Maßnahmen um die Verfügbarkeit von Systemen zu gewährleisten?
Erkennen von atypschen Nutzungsmustern
Beschränkung der Ressourcenzuweisung an einzelne Nutzer
Backups der Systeme
Was ist das Ziel einer Authentifizierung?
Prüfung der Idendität eines Benutzers
Welche Verfahren können zur Authentifizierung des Benutzers verwendet werden?
Kentniss eines Geheimnisses (Kennwort)
Besitz eines Gegenstandes (Passkey)
Körperliche Merkmale
Was ist Ausfallmanagement?
Die Planung, Einführung, Testen und Umsetzen von Verfahren zur System- und Datenwiederherstellung
Was sind Sicherheitsziele im Kontext der Kryptographie?
Vertraulichkeit
Authentifizierung
Integrität
Verbindlichkeit (Empfangs-/Lesebestätigung)
Was ist Steganographie?
Unter Steganographie versteht man Verfahren um Daten zu verstecken
Bsp.: Hidden Volumes, Geheimtinte, …
Was ist Kryptographie?
Wissenschaft der Ver- und Entschlüsselung von Informationen mit Hilfe von mathematischen Verfahren
Was ist Kryptoanalyse?
Wissenschaft von Methoden und Techniken um Informationen aus verschlüsselten Texten zu gewinnen
Was besagt Kerckhoffs Prinzip in Hinblick auf die Kryptographie?
Geheimnis liegt im Schlüssel und nicht im Algorithmus
=> Daher sollten Ver-/Entschlüsselungsalgorithmen immer öffentlich sein
Was ist der Unterschied zwischen Symmetrischer Kryptographie und Asymmetrischer Kryptographie?
Bei Symmetrischer Kryptographie haben sowohl Sender als auch Empfänger den gleichen Schlüssel.
Bei Asymmetrischer Kryptographie haben Sender und Empfänger zueinander passende, aber nicht identische Schlüssel
Wie Funktioniert Symmetrische Kryptographie und welches Hauptproblem besteht?
Sender (A) verschlüsselt Daten mit Schlüssel (S).
Empänger (B) entschlüsselt Daten mit Schlüssel (S).
Empfänger (B) kann auch Daten verschlüsselt an (A) senden.
Problem:
Gemeinsamer Schlüssel muss beiden bekannt sein, ohne dass dieser unsicher übertragen worden ist.
Wie Funktioniert Asymmetrische Kryptographie und welches Hauptproblem besteht?
Sender (A) verschlüsselt Daten mit Öffentlichem Schlüssel (PubKey).
Empänger (B) entschlüsselt Daten mit Privatem Schlüssel (PrivateKey).
Empfänger (B) kann keine Daten verschlüsselt an (A) senden.
hoher Rechenaufwand
Welche WLAN Verschlüsselungs Methoden gibt es?
WEP
WPA (PSK/Enterprise)
WPA2 (PSK/Enterprise)
WPA3 (PSK/Enterprise)
Nennen Sie den Ablauf von einem digitalen Zertifikat.
Erzeugung des privaten und öffentlichen Schlüssels des Benutzers
Benutzer identifiziert sich mit Ausweis und legt öffentlichen Schlüssel vor
Zertifizierungsstelle stellt Zertifikat aus
Welche WLAN-Authentifizierungen gibt es?
Personal
Bsp.: PSK
Enterprise
Bsp.: RADIUS
Welche Methoden der “Online Reconnaissance” gibt es?
Aktiv
Passiv
Wie funktioniert passive Online Reconnaissance?
Durch die Verwendung von Tools
Bsp.: nslookup, whois, traceroute
Wie funktioniert aktive Online Reconnaissance?
Durch direkte Kommuniktation mit dem Opfer
Nennen Sie die Aspekte einer “sicheren” Architektur.
Client
dem “feindlichen” Client grundsätzlich misstrauen
Web Application Firewall
prüft Nutzung der Webanwendungen
Web Server
Prüfung aller Eingabedaten
Datenbank-Firewall
Kontrolliert DB-Abfragen
Datenbank
Berechtigungskonzept
Welche Zugriffskontrollen gibt es?
Regelbasierte Zugriffskontrolle (MAC)
Wahlfreie oder diskrete Zugriffskontrolle (DAC)
Rollenbasierte Zugriffskontrolle (RBAC)
Chinese-Wall-Modell
Welche Protokolle werden bei VPN eingesetzt?
L2TP
IPSec
TLS
Nennen Sie Vor-/Nachteile von VPN basierten Lösungen.
Nennen Sie Aufgaben einer Firewall.
Prüfung der Datenpakete
Protokollierung und Alarmierung
Schutz vor “Denial of Service”
Was versteht man unter Intrusion Detection?
Werkzeuge, die die anfälligsten Punkte in einem Netzwerk überwachen, um unerlaubte Eindringlinge zu erkennen und abzuweisen.
Was versteht man unter IP-Masquerading?
Kombination aus PAT (Port Address Translation) und NAT (Network Address Translation)
Verfahren zur Anbindung eines Intranets ans Internet über eine einize IP-Adresse
Welche Firewall Regeln gibt es?
Verbindung
Bedingung
Limit (Trigger)
Paket-Aktion
Welche Firewall Typen gibt es?
Paketfilter
Stateful-Packet-Inspection
Application Gateway
Next Generation
Nennen Sie Vorteile von VLANs.
Sicherheit
Performance
Administration
Wie kann eine dynamisch VLAN-Zuordnung realisiert werden?
Last changeda year ago