Buffl
Buffl
LF 4

Klausur 1

BB
by Bernd B.

Grundwerte

  • Vertraulichkeit: vertrauliche Informationen unberechtig angesehen oder weitergegeben werden

  • Integrität: Korrektheit der Daten und Funktionsweise von Systemen ist nicht mehr gegeben

  • Verfügbarkeit: die Systeme down sind bzw. nicht verfügbar sind

  • Dann Netzplan erstellen und Gruppen bilden, durch z. B. änhliche Aufgaben oder gleiche Rahmenbedingungen und co

  • Dannach Schutzbedarffeststellen für Prozesse und Anwendungen, IT-Systeme, Gebäude und Räume und Kommunikationsverbindungen

  • Definition der Schutzbedarfskategorie nach normal, hoch sehr hoch

  • über Schadensszenarien nachdenken, alos Gesetze, Selbstbestimmung, persönliche Unversehrtheit, Imageschaden, Aufgaben erfüllung und finzanzielle Auswirkungen (jede Kategorie zuordnen)

  • Vererben auf Informationen -> Anwendungen -> IT-Systeme -> Netze/Infrastruktur


DSGVO

  1. DSGVO für eu und BDSG für Deutschland, dabei wird in in BDSG mehr für Arbeitnehmer geregelt

  2. Auch regelt BDSG mehr vorschriften für Videoüberwachung

  • DSGVO hat Anwendungsvorrang vor BDSG, BDSG greift nur, wenn DSGVO nicht dazu Daten regelt

  • DSGVO: daten dürfen nur so lange gespeichert werden, wie es für die Zwecke für die sie erforderlich sind, gebraucht werden

  • Infos dazu müssen in einfacher Sprache bereitgestellt werden und so verfügbar gemacht werden

  • personenbezoge Daten sind alle Infos, durch welche man eine Person indentifizieren kann, dazu gehören Daten wie Name, Adresse, iP und co

  • Personenbezoge Daten nur für eindeutigt festgelegten Zweck

  • Wenn Datenleak, dann Daenbehördebeauftragter und Behörde und Leute innerhalb von 72 Stunden informieren


ISO 27001

  • ist eine weltweite Norm für Informationssicherheitmanagementsysteme, ist dabei wirklich ein Schema und keine Norm

  • Dabei hat die Organisation dann ein ordentliches aktives ISMS und verbessert diese kontinuierlich, um neue Normen einzupflegen

  • Kunden können darauf vertrauen, dadurch stärker gegenüber konkurenten

  • Reduziert Risiken



elementare Gefahren BSI

  • z. B feuer, Wasser, elektromagnetsiche Störstrahlung, Abhören, Diebstahl von Geräten, Verlust von Geräten


Schutzbedarfanalyse


    1. Maximumprinzip: Der Schutzbedarf des IT-Systems richtet sich nach der wichtigsten Anwendung, die darauf läuft.

    2. Abhängigkeiten beachten: Wenn eine Anwendung Ergebnisse von einer anderen braucht, übernimmt sie deren Schutzbedarf. Das gilt auch, wenn die Anwendungen auf verschiedenen IT-Systemen laufen.

    3. Kumulationseffekt: Der Schutzbedarf des IT-Systems kann höher sein, wenn viele Anwendungen darauf laufen. Einzelne Ausfälle wären nicht schlimm, aber wenn alle gleichzeitig ausfallen, wird der Schaden groß.

    4. Verteilungseffekt: Der Schutzbedarf kann niedriger sein, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist. Einzelne Teile könnten weniger wichtig sein, z. B. pseudonymisierte Daten.

  • Netzplan erstellen und Objekte zu Gruppen formen

  • Schutzbedarffeststellen für Anwendungen, IT-Systeme, Gebäude und Räume und Kommunikationsverbindungen

  • in Gruppen einteilen, also normal, hoch und sehr hoch

  • dann nach typischen Schaden einteilen: Gesetze, Selbstbestimmung, persönliche Unversehrtheit, Imageschäden, Aufgabenerfüllung und finanzielle Auswirkungen

  • und dann nach der Vererbung schauen, also Infos -> Anwendungen -> IT-Systeme -> Netze und alles nach den drei Schutzzielen gewichten


Malwaretypen

  • Virus -> kleiner Code, der sich in Programm einniste und irgendwann gestartet wird und sein unwesen treibt

  • Trojaner -> Türöffner, braucht dabei kein Host, wie würmer, sieht auf wie vertraueneswürdig, aber ist es nicht

  • Wurm -> Nutzt Schwachstelle im OS, Repliziert sich von alleine und verbreitet sich schnell

  • Man in the Middle -> In der Mitte befindet sich der Wirt

  • Bot -> Computer, der verngesteuert wird



Malwaretypen 2

  • Spyware: Verstekt sich auf Geräten und sammelt Infos über Aktivität und co

  • Adware: gelegentliche schädliche Werbung bzw. auch einfach normale Werbung

  • Ransomware: Nutzer aus System aussperen und Lösegeld zahlen

  • Scareware: Warnt vor Virus und dann selbst Virus

  • Rootkit: Rootbereich wird infiziert und dann die Kontrolle über System


-> Brutte-Force: Spamming von Passwörtern in Anmeldemaske

-> Sniffing: Daten werden erfasst und ausgewertet

Verschlüsselung

  • Umwandlung von Infos in geheimen Text, der ver und entschlüsselt wird

  • Symetrisch: Sender und Empfänger haben den selben Schlüssel, muss nur ausgetauscht werden (einfacher für größere Datenmengen)

  • asymetrisch: Ein Schlüssel zur Verschlüselung (öffentlich) und einen zur Entschlüsselung (privat), übertragen wird dabei der öffentliche Schlüssel von Empfänger zum Sender)

  • hybrid: Datei wird symetrisch und dann der Key asymetrisch

  • PKI -> Public-Key-Infrastrukture: eig assyemetrische, aber mit Zertifikat, welchen Wer und Wem enthält

  • durch unabhängige Zertifikatstellen, welche die Ausgaben überprüfen?



sichere Passwörter

  • je länger, desto besser

  • wichtig sind Groß- und Sonderzeichen

  • keine einfachen Namen und öffentliche Informationen

  • Datenleaks prüfen, und evtl andere Mailadresse, also mehrere Accounts


Join Course
Preview

Author

Bernd B.

Information

Last changed

Report course
© 2023 Buffl GmbH