Definiere Ursachen und Maßnahmen in Cyber Security
Schadensursache
Erfolgreiche, kriminelle Geschäftsmodelle
Mangelndes Cybersicherheitstraining
Maßnahmen
Aufklären und schulen
Haftung von IT-Dienstleistern
Cybersicherheit-Events mit unabhängigen Experten
Definiere Ursachen und Maßnahmen seitens der Anwender in Cyber Security
Ursachen
Anwenderfehle(Phishing-E-Mails, USB-Sticks dubioser Herkunft)
Böswilliges Verhalten
Aufklärung
Identitätsmanagement
Zugriffskontrollen
Definiere Auswirkungen und Maßnahmen seitens der Computer und IT in Cyber Security
Schaden Angriff < Schaden durch Ausfallzeit Imageschäden und Bußgelder
Business- Continuity-Lösung
Disaster-Recovery-Plan
Backup
Welche Angriffsvektoren existieren bei Passwörtern?
Informationsverlust bei IT-Dienstleistern
Sniffing (Abhören) eines unverschlüsselten WLANs
Spear-Phishing in Kombination mit Social-Engineering
Welche Maßnahmen können ergriffen werden bei Angriffsvektoren von Passwörter
Prüfen der eigenen e-Mail-Adresse
Prüfen des Passworts, Passwort-Routine/Individuelles Schema, Passwort-DB
2-Faktor-Authentifizierung aktivieren
Nutzung eines VPN
Wie sieht die ganzheitliche Risikobetrachtung aus?
Nenne die 3 wesentlichen Gesetzesregelungen
Datenschutzregelungen
EU DSGVO
Buchführung & Archivierungsrichtlinien
GoBD
Risikomanagementregelungen
SOX
Basel III
Nenne die 3 Managementaufgaben
Risiken und Maßnahmenfestlegen
Sind die kritischen Anwendungen bekannt?
Sind die Risiken wirklich identifiziert?
Wirksamkeit und Aktualität prüfen
Sind die Sicherheitsmaßnahmen noch aktuell?
Risikokontrolle
Risikokontrolle gemäß Anforderungen des KonTraG
Welche 4 Schritte sind von Bedeutung beim Risikomanagement nach ISO/IEC 27001
Was ist ISMS und Aufgaben davon?
Informations-Sicherheit-Management-System
Aufgaben:
Formulierung von (Sicherheits-)Zielen
Bestimmung der Assets
Risikobeurteilung
Risikobehandlung
kontinuierliche Verbesserung
=>ISO 2700X Normenreihen + BSI-200-X Reihe beschreiben Anforderungen an ein System zum Management der Informationssicherheit
Definiere die Security Policy nach ISO 27001
Dokumentation von Zielen, Zuständigkeiten, Ressourcen
Abstraktes „Management-Dokument“
Definiere die 5 Standardbegriffe von ISO 27001
Assets
alles -> Wert für Organisation (Grundstücke, Gebäude, Maschinen und Anlagen, Geschäftsprozesse etc.)
Information Assets (Informationswerte) wie Daten, Systeme, Anwendungen
Soft Assets betrachten (Image / Kreditwürdigkeit Organisation)
Ereignis (Event)
Änderung des Zustands einer Informationsverarbeitung im Rahmen der Risikobeurteilung
Sicherheitsereignis (Security Event)
Auswirkungen auf die Sicherheit
Sicherheitsvorfall (Security Incident)
Ereignis-> hohe Wahrscheinlichkeit für Auswirkungen auf Sicherheit
genau unterschieden zwischen Events und Incidents
Sicherheits-Notfall
Sicherheitsvorfall mit gravierenden /katastrophalen Auswirkungen auf Sicherheit
Nenne 4 Optionen zur Risikobehandlung
Risikoakzeptanz -> Übernahme Risiko ohne weitere Maßnahmen
Risikoverlagerung -> Verlagerung betroffene Informationsverarbeitung sicherer Ort (qualifizierter Dienstleister/Versicherung der möglichen Schäden)
Risikoreduktion -> Einsatz Sicherheitsmaßnahmen
Risikobeseitigung -> Änderung/Einstellung fraglicher Geschäftsprozesse und der unterstützenden IT
Was ist der BSI-Grundschutz?
BSI-Standard 200-1: Managementsysteme für IT-Sicherheit (ISMS)
Managementprinzipien
Managementpflichten
reibungsloser Informationsfluss
Ressourcen
Mitarbeiter
Sicherheitsprozess
=> Erstellung Sicherheitskonzept ausgehend von Sicherheitszielen + davon abgeleiteten Sicherheitsstrategie
Vergleiche ISO 2700X:2013 und BSI Grundschutz
ISO 2700X:2013
BSI Grundschutz
Bestehend aus Managementrahmen und Controls (Anhang A ISO 27001)
Bestehend aus BSI-Standards und Gefährdungen sowie Maßnahmen aus Grundschutz-Kompendium
Vergleichsweise abstrakt, lässt viel Interpretationsspielraum
Zeigt konkrete Maßnahmen auf
Vergleiche alle Schutzziele unter den Kriterien Bedeutung und ob sie von ISMS oder DSMS gedeckt werden
Last changed10 months ago
