Was sind die zentralen Merkmale der vier Schritte eines Sicherheitscheks?
Dokumentensichtung
Fokus: geplante Prozesse und Strukturen (Soll-Zustand)
Typische Methode / Werkzeug: Analyse von Netzplänen, Sicherheitsrichtlinien, Inventarlisten
Interviews
Fokus: gelebte Prozesse, Verantwortlichkeiten, Awareness
Typische Methode / Werkzeug: Gespräche mit IT-Verantwortlichen und der Geschäftsleitung
Technische Überprüfung
Fokus: objektive, technische Schwachstellen
Typische Methode / Werkzeug: Schwachstellenscanner, Port-Scanner, manuelle Konfigurations-Checks
Physische Begehung
Fokus: physische und umgebungsbezogene Sicherheit
Typische Methode / Werkzeug: Inspektion von Serverräumen und Arbeitsplätzen
Was ist das primäre Ziel einer Ist-Analyse im Rahmen einer Sicherheitsberatung?
a) Den Verkauf neuer Hardware zu rechtfertigen.
b) Eine Grundlage für einen Soll-Ist-Vergleich zu schaffen und einen Maßnahmenplan abzuleiten.
c) Ausschließlich die Mitarbeiter auf ihr Sicherheitsbewusstsein zu testen.
d) Die schnellstmögliche Installation eines Virenscanners.
Ein IT-Berater nutzt das Tool "Nessus", um ein Netzwerk auf veraltete Software und offene Ports zu überprüfen. Welchem Schritt des Sicherheitschecks ist diese Tätigkeit zuzuordnen?
a) Dokumentensichtung
b) Interviews
c) Technische Überprüfung
d) Physische Begehung
In welchem Schritt der Ist-Analyse wird typischerweise die Frage gestellt: "Wann wurde die letzte Datenwiederherstellung aus dem Backup erfolgreich getestet?"
a) In der physischen Begehung, um das Backup-Medium zu finden.
b) In der Dokumentensichtung, um das Notfallkonzept zu lesen.
c) In den Interviews, um den gelebten Prozess zu verstehen.
d) In der technischen Überprüfung, um die Backup-Software zu scannen.
Die Überprüfung, ob Mitarbeiter ihre Bildschirme bei Abwesenheit sperren und keine sensiblen Dokumente offen liegen lassen, ist Teil welches Schrittes?
a) Der physischen Begehung (Überprüfung der Arbeitsplätze).
b) Der technischen Überprüfung (Scan der Bildschirmschoner-Einstellungen).
c) Der Interviews (Befragung der Mitarbeiter).
d) Der Dokumentensichtung (Prüfung der Clean-Desk-Policy).
Ordnen Sie die folgenden praktischen Tätigkeiten der korrekten Phase des Sicherheitschecks zu.
Dokumentationssichtung:
Analyse des bestehenden Notfallkonzepts auf Vollständigkeit.
Interviews:
Ein Gespräch mit dem Geschäftsführer über die strategische Bedeutung der IT-Sicherheit.
Physische Begehung:
Die Überprüfung, ob der Serverraum abgeschlossen und klimatisiert ist.
Technische Überprüfung:
Der Einsatz eines Port-Scanners, um offene Dienste auf einem Server zu finden.
Sie sind als Fachinformatiker bei einem IT-Dienstleister angestellt und besuchen zum ersten Mal einen neuen Kunden, eine mittelständische Anwaltskanzlei, um deren IT-Sicherheit zu bewerten. Der Kunde hat bisher kaum Dokumentation und ist sich über den Zustand seiner IT unsicher.
Aufgabe:
a. Welcher der vier Schritte des Sicherheitschecks ist in dieser Situation besonders wichtig, um die "gelebten Prozesse" und das tatsächliche Sicherheitsbewusstsein zu verstehen, da eine Dokumentation fehlt?
b. Nennen Sie zwei konkrete Prüfpunkte, die Sie bei der physischen Begehung der Kanzleiräume überprüfen würden.
c. Nennen Sie ein konkretes Werkzeug, das Sie bei der technischen Überprüfung einsetzen würden, und erklären Sie, was Sie damit herausfinden möchten.
Aufgabe a:
Besonders wichtig sind die Interviews, da bei fehlender Dokumentation nur durch gezielte Gespräche mit den Verantwortlichen und Mitarbeitern die tatsächlichen Prozesse, Verantwortlichkeiten und das vorhandene Sicherheitsbewusstsein ermittelt werden können.
Aufgabe b:
Zwei Prüfpunkte bei der physischen Begehung wären:
Serverraum/Technikschrank: Ist dieser abgeschlossen und nur für autorisierte Personen zugänglich?
Arbeitsplätze: Liegen sensible Mandantenakten offen herum oder werden Bildschirme bei Abwesenheit gesperrt (Clean-Desk-Policy)?
Aufgabe c:
Ein Werkzeug für die technische Überprüfung wäre ein Schwachstellenscanner (z.B. OpenVAS). Damit möchte man herausfinden, ob auf den Systemen der Kanzlei veraltete Software mit bekannten Sicherheitslücken läuft oder ob unsichere Konfigurationen vorhanden sind.
Das wichtigste zum Thema Durchführung eines Sicherheitschecks (Ist-Analyse)
Durchführung eines Sicherheitschecks (Ist-Analyse)
Der Sicherheitscheck ist der erste Schritt jeder professionellen Sicherheitsberatung. Ziel ist es, den aktuellen Zustand (Ist-Zustand) systematisch zu erfassen, um daraus Abweichungen zum Soll-Zustand und notwendige Maßnahmen ableiten zu können.
1. Dokumentensichtung
Analyse vorhandener Unterlagen (Richtlinien, Netzpläne, Notfallkonzepte, Inventar, Datenschutz-Dokus)
Ziel: Überblick über den angestrebten Soll-Zustand erhalten
2. Interviews
Gespräche mit IT-Verantwortlichen, Geschäftsleitung, Key-Usern
Ziel: Verstehen der realen Prozesse, Verantwortlichkeiten und Sicherheitskultur
Beispielhafte Fragen zu Backups, Mitarbeitereinweisung, Umgang mit Phishing
3. Technische Überprüfung
Einsatz von Tools (z. B. Schwachstellenscanner, Port-Scanner) und manuellen Checks
Ziel: Objektive Erkennung technischer Schwachstellen
4. Physische Begehung
Prüfung der Umgebung vor Ort (Serverräume, Zutritt, Brandschutz, Stromversorgung, Arbeitsplatzsicherheit)
Ziel: Bewertung der physischen Sicherheit als Teil des Gesamtschutzes
Ergebnis: Ist-Analyse-Bericht
Dokumentation aller Schwachstellen und Abweichungen
Grundlage für Risikoanalyse und Maßnahmenplanung
Last changeda month ago