Ein kommunales Jugendhaus unterliegt welchen Gesetzen?
Den Landesdatenschutzgesetzen. (LDSG)
Wie werden besondere Infrastrukturen im Bezug zu Wasser, Elektrizität etc. genannt und welches Kürzel nutzt man dafür? (6p)
Kritische Infrastruktur. KRITIS.
Auf was sollte man achten, wenn man ein mobiles Gerät unbeaufsichtigt lässt und den Raum verlassen muss? (8p)
Mobile Endgeräte sollten in einem Behältnis weggeschlossen sein.
An Sicherheitsschloss an Gegenständem (z.B. Heizkörper, Möbelstück etc.) geschlossen sein
Computrace Dienste nutzen, damit man es Orten kann, falls es verloren geht
Daten eines LMS sind vertraulich zu behandeln und sollen nur für Studierende zuänglich sein. Was bedeutet Vertraulichkeit in dem Zusammenhang und wie kann man diese gewährleisten? (8p)
Sie sollten verschlüsselt sein mit einem Kennwort.
Nenne zwei konkrete Beispiele für Gefährdungen durch höhere Gewalt und eine Maßnahme dagegen. (10p)
Brand. Maßnahme: Installation von Brandmelde- und Feuerlöschanlagen
Stromausfall. Maßnahme: Unterbrechungsfreie Stromversrgung ggf. Notstromaggregat
Nenne zwei konkrete Beispiele für die Gefährdung "Negative Innen- und Außenwirkung" aus der Schutzbedarfsfestellung und ordne sie einem Schutzziel zu. (10p)
Schutzbedarf: Beeinträchtigung der Vertraulichkeit, Integrität oder Verfügbarkeit
Schutzziel: Vertraulichkeit. Veröffentlichung von Kundendaten.
Schutzziel: Verfügbarkeit: Nichtverfügbarkeit IT-Systeme.
Backups werden in Cloud gespeichert. Was muss man bzgl. Ransomware-Angriffe beachten?
Wenn ein Anwender auf eine Ransomware klickt, installiert sich eine Schadsoftware und alle Lokalen und Cloud Daten werden gesperrt. Deshalb sollten unbekannte Anhänge und Links nicht geöffnet werden.
Was ist Botnets und wie davor schützen?
Botnets sind Gruppe von Netzwerkgeräten, welche Ferngesteuert werden. Diese werden genutzt um DDOS-Angriffe durchzuführen.
Schutzmaßnahme:
· Unnötige Dienste abschalten.
· Sperrlisten durchführen wie Blacklisting oder Whitleisting.
· Lastverteilung.
· IPS installieren. Dieser wird im Netzwerk installiert und erkennt Angriffe und löst Gegenmaßnahmen aus.
Whitelisting im Kontext der Firewall; Vor- und Nachteile?
Vorteile:
Erhöhte Sicherheit, da es nur Traffic zulässt was zugelassen ist.
Nachteil:
Hoher Administrationsaufwand. Da jede neue verbindung etc. freigeschaltet werden muss.
2 konkrete Fälle nennen bei der man gegen Gesetze/Vorschriften/Verträge verstößt (nicht Datenschutz) und welches Schutzziel es angreift?
Beim Datenschutz sind u. a. Zugangs-, Zugriffs- und Zutrittsschutz gefordert. Auf welche dieser Schutzmechanismen legen die Bausteine zur Infrastruktur im IT-Grundschutz besonderen Wert?
Im IT-Grundschutz legen die Bausteine zur Infrastruktur besonderen Wert auf den Zutrittsschutz.
Welches Thema wird in ISO/IEC 27033 behandelt?
Netzwerksicherheit
Wovon hängt der Schutzbedarf eines Systems gemäß IT-Grundschutz ab?
Im IT-GS definiert man drei Schutzbedarfskategorien: normal, hoch und sehr hoch. Schutzbedarf eines Systems hängt von dem potenziellen schäden von Vertraulichkeit, Integrität und Verfügbarkeit ab.
Was versteht man im IT-Grundschutz unter dem Schutzbedarf eines IT-Systems? In welchem Fall kann man beim Vorgehen nach IT-Grundschutz für ein vorhandenes IT-System auf eine Schutzbedarfsfeststellung verzichten?
Schutzbedarf: Maß für die Schadenshöhe bei Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit
Man kann auf die Schutzbedarfsfeststellung verzichten wenn der Schutzbedarf durchgängig auf Normal vorliegt.
Wie kann man sich als Anwender am besten gegen Brute-Force-Angriffe auf ein Passwort schützen?
Erhöhung der Passwort länge.
Verwenden von Sonderzeichen.
Nutzen von Zwei Faktor Authentifizierung
Ein Unternehmen möchte die Vertraulichkeit seiner Daten messen als Prozentsatz der Daten, die vertraulich gehalten wurden. Welche Anforderungen gibt es an eine „informierte Einwilligung“ in die Erhebung und Speicherung personenbezogener Daten? Nennen Sie mindestens drei erforderliche Eigenschaften.
Bedeutung der Einwiligung
Zweck der Erhebung oder Verwendung
Recht und Folgen der Verweigerung
In der IT-Sicherheit und im Datenschutz unterscheidet man zwischen Zutritts-, Zugangs- und Zugriffskontrolle. Erläutern Sie den Unterschied zwischen diesen drei Kontrollformen.
Zutrittskontrolle: Zutritt zu schützenswerten Räumen regeln. z.b. mit Schloss oder Fingerabdruckscanner
Was wird nicht unbedingt benötigt, um eine Einwilligung zu geben?
Gemäß DSGVO benötigt es nicht schriftlich zu erfolgen. Es muss nur sichergestellt werden, dass es eindeutig und bewusst abgegeben wurde.
In welchem Gesetzbuch wird der Datenschutz NICHT geregelt?
In StGB wird der Datenschutz nicht gergelt
offene: Alarmstrategie bei IDS? Auswirkung von Datensicherung auf die Schutzziele?
IDS sucht nach Angriffsmustern und alarmiert bei Treffern sofort per E-Mail, SMS etc. den Administrator. Alarme enthalten Details zu Art, Ort und Zeit des Vorfalls.
1. Datenträgerarchiv: Welche Sicherheitsmaßnahme ist für ein Datenträgerarchiv NICHT sinnvoll?
IDS, da es nur bei laufenden IT-Systemen Sinn ergibt
2. DoS-Angriff: Was braucht ein Angreifer?
Port des Opfers
Was ist eine DDOS Attacke
Eine DDoS-Attacke ist ein verteilter Angriff, bei dem viele Systeme gleichzeitig Anfragen an ein Ziel senden, um dessen Verfügbarkeit zu beeinträchtigen oder vollständig zu verhindern.
4. IPS-Heuristik: Was bedeutet heuristisch, wie das heuristische Verfahren, das bei IPS eingesetzt wird?
Heuristisch = auf Erfahrungswerten und typischem Angriffsverhalten basierend, nicht auf festen, bekannten Mustern.
6. TCP/UDP-Protokolle: Zwei Fragen zu den Protokollen (TCP, UDP usw.) - zum Ankreuzen und einfach gehalten
TCP=
· Verbidnungsorientiert
· Dient der zuverlössigen und verbindungsorientierten datenübertragung mit routern
UDP:
· Verbindungslos
· Ohne Sicherstellung der Vollständigkeit einer Datenübertragung
· Wird für Bild und Tonübertragungen oder VoIP verwendet
7. WLAN-Standard: Welcher WLAN-Standard? (802.3 oder 802.11?)
802.11
8. Firewall-Integrität: "Welche Maßnahmen helfen NICHT bei dem Erhalt der Integrität von durchgeleiteten Daten einer Firewall"
Redundatens Nrzteil weil es keinen Einfluss darauf hat ob die Daten unterwegs manipulationsfrei bleiben.
Schadsoftware E-Mail: Was kann sich nicht alleine per E-Mail verbreiten?
Virus
Backup-Schutz: Welche Angriffe kann man durch Backups verhindern?
DDoS
Man-in-the-middle
Keinem
Brandstiftung
: Wie kann man einen DoS-Angriff verhindern?
Ports abschalten
Wasserrohrbruch Serverraum: Risiko bei Wasserrohrbruch bei einem Serverraum. Schutzmaßnahmen betreffen...?
Safety
Woran wird der Schutzbedarf einer Anwendung gemessen?
Schadenshöhe
Welche Schutzbedarfe von Anwendungen sind bzgl. der Schutzziele der IT-Sicherheit durch das Maximumprinzip von Anwendungen auf IT-Systeme übertragbar?
Alle drei Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) - Das Maximumprinzip gilt für alle drei Grundwerte der IT-Sicherheit.
Wann im Ablauf wird der IT-GS-Check durchgeführt?
Nach Auswahl der Maßnahmen
Was liefert die Informationen, um die Bausteine des IT-GS auswählen zu können?
Strukturanalyse
BIA-Ergebnis: Was ist NICHT Ergebnis einer BIA?
Serverraum ist nicht abschließbar
Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen zu Mindeststandards und Meldepflichten bei IT-Sicherheitsvorfällen
GoBD
COBIT
COBIT ist ein Governance-Framework für IT mit fünf Domänen (EDM, APO, BAI, DSS, MEA). Was ist zu tun nicht wie
Verteilungseffekt
Der Verteilungseffekt kann den Schutzbedarf eines IT-Systems niedriger machen als den der zugeordneten Anwendungen, wenn die Anwendung auf mehrere Systeme verteilt ist.
Ransomware: Was ist ein Ransomwareangriff
Verschlüsselung von Daten oft mit Lösegeldforderung
Hackertools: Jemand kauft Hard- und Software um damit Daten abzufangen. Zu welchem Paragrafen gehört die Straftat / oder nicht strafbar?
§ 202c StGB - Vorbereiten des Ausspähens und Abfangens von Daten.
Bell-LaPadula
Nur Personen mit höchster oder entsprechender Sicherheitsstufe dürfen es lesen (no read up). Schreiben ist nach no write down nur auf gleicher oder niedrigerer Stufe erlaubt.
Bell-LaPadula-Modell: Schutzziel beim Bell-LaPadula-Modell
- Das Bell-LaPadula-Modell schützt primär die Vertraulichkeit durch no read up und no write down Regeln.
Bell-LaPadula: 2 Fragen zu Bell-LaPadula. Mitarbeiter und Datei sind nach Sicherheitsstufe eingeordnet. Wer darf mit der Datei was machen?
Mitarbeiter dürfen nur Dateien ihrer Stufe oder niedriger lesen (no read up) und nur auf ihrer Stufe oder höher schreiben (no write down).
StGB-Zuordnung: Zuordnung von Straftaten zu den Auszügen aus dem StGB
§ 202a (Ausspähen von Daten), § 303a (Datenveränderung), § 303b (Computersabotage), § 263a (Computerbetrug).
Onlinehändler wurden Kundendaten gestohlen. Hat er sich strafbar gemacht?
: Nein, wenn Sicherheitsmaßnahmen angemessen waren - Bei angemessenen Schutzmaßnahmen liegt keine Strafbarkeit vor.
Onlineshop Datenklau Haftung: Onlineshop werden Daten geklaut, ist er haftbar?
Antwort: Ggf. wenn nicht genügend Schutz vorhanden - Haftung besteht bei unzureichenden technischen und organisatorischen Maßnahmen.
Verarbeitung Daten Ausland: Verarbeitung von Daten im Ausland
Antwort: Nur mit Angemessenheitsbeschluss der EU-Kommission oder geeigneten Garantien wie Standarddatenschutzklauseln zulässig.
Videoüberwachung Supermarkt: Ist die Videoüberwachung im Supermarkt erlaubt und wie?
Antwort: Ja, in öffentlich zugänglichen Bereichen nach § 4 BDSG mit Hinweisschildern und unter Beachtung des Datenschutzes.
Adressdaten-Änderung: Was eine Änderung von Adressdaten NICHT ist (Verarbeitung, Verwendung, etc.)
Antwort: Eine Adressdaten-Änderung ist eine Form der Verarbeitung nach DSGVO Art. 4 Abs. 2.
Datengeheimnis: Was ist das Datengeheimnis?
Antwort: Verpflichtung für Mitarbeiter, personenbezogene Daten nicht unbefugt zu erheben oder zu verwenden, gilt auch nach Ende der Tätigkeit.
Mindestalter Einwilligung: Mindestalter Einwilligung zur Fotoveröffentlichung
Antwort: 16 Jahre - Nach DSGVO ist das Mindestalter für wirksame Einwilligung 16 Jahre.
Bäcker PLZ-Frage: Der Bäcker verkauft Brötchen und fragt nach der PLZ um es irgendwie statistisch auszuwerten
Antwort: Nein darf er nicht, da es nicht zweckmäßig ist - Die PLZ-Erhebung ist für den Brötchenverkauf nicht erforderlich und verstößt gegen das Erforderlichkeitsprinzip.
Modellbahn Club: Modellbahn Club gibt Daten an Händler weiter, erlaubt ja/nein?
Antwort: Nein - Ohne Rechtsgrundlage (z.B. Einwilligung) oder berechtigtes Interesse ist die Weitergabe nicht erlaubt.
BSI Passwort-Empfehlung: Was ist die aktuelle Empfehlung des BSI zum Wechseln von Passwörtern?
Antwort: Nicht regelmäßig wechseln weil es zu schwachen Passwörtern führt - BSI empfiehlt nur noch bei bekannten Datenlecks zu wechseln.
Nicht-Abstreitbarkeit: Was ist die Nicht-Abstreitbarkeit von Daten?
Antwort: Integrität - Non-Repudiation gehört zu den erweiterten Schutzzielen und ist eng mit Authentizität und Integrität verwandt.
Versicherung Zuordnung: Zu was gehört eine Versicherung?
Antwort: Reaktion - Versicherungen sind Reaktionsmaßnahmen (Risikotransfer) und greifen nach eingetretenem Schaden
Schutzbedarf Raum: Wovon hängt der Schutzbedarf eines Raumes ab?
Antwort: IT-Systeme und Netzwerk - Der Schutzbedarf eines Raumes ergibt sich aus dem höchsten Schutzbedarf der darin befindlichen IT-Systeme und Netzwerkkomponenten (Maximumprinzip).
Energieversorgungsunternehmen Hackerangriff: Ein großes Energieversorgungsunternehmen bemerkt, dass Hacker in die IT-Infrastruktur eingedrungen sind. Was muss das Unternehmen tun und in welchem Gesetz findet sich die Grundlage dazu?
Antwort: Das Unternehmen muss den Vorfall unverzüglich an das BSI melden (IT-Sicherheitsgesetz). Als kritische Infrastruktur unterliegt es besonderen Meldepflichten. Zusätzlich müssen bei personenbezogenen Daten die Datenschutzaufsichtsbehörde und ggf. die Betroffenen informiert werden (DSGVO Art. 33/34).
Firewall nicht vertrauenswürdiger Lieferant: Welche Risiken entstehen für ein Unternehmen, wenn eine Firewall von einem nicht vertrauenswürdigen Lieferanten bezogen wird?
Antwort: Risiken umfassen: Backdoors oder Schwachstellen in der Hardware/Software, mangelnde oder verzögerte Sicherheitsupdates, Spionage oder Sabotage, fehlende Vertrauenskette, unzureichender Support bei Sicherheitsvorfällen, mögliche Kompromittierung der gesamten Netzwerksicherheit.
IT-Sicherheit bei höherer Gewalt: IT-Sicherheit bei höherer Gewalt
Antwort: Maßnahmen umfassen: Notfallpläne, redundante Systeme, geografisch getrennte Backups, Business Continuity Management, Versicherungsschutz, regelmäßige Tests der Notfallprozeduren, alternative Standorte und Kommunikationswege.
Onlinehändler Kundeninfizierung: Liegt ein Gesetzesverstoß vor, wenn ein Onlinehändler seinen IT-Verbund nicht ausreichend abgesichert hat und infolgedessen die Clients seiner Kunden infiziert wurden?
: Ja, möglicherweise Verstoß gegen § 19 TTDSG (technische und organisatorische Maßnahmen zum Schutz der Kundensysteme) und DSGVO (Datenschutz). Zivilrechtliche Haftung für Schäden möglich.
Website-Angriff: Online Website schützt sich nicht vor Angriffen und betreibt Kundendaten, daraufhin wurde erwähnt dass diese Website halt angegriffen wurde und die Frage war dann ob ein Verstoß vorliegt mit Erklärung
Ja, Verstoß gegen Art. 32 DSGVO (technische und organisatorische Maßnahmen) und § 19 TTDSG. Webseitenbetreiber müssen angemessene Sicherheitsmaßnahmen implementieren. Meldepflicht bei Datenschutzverletzungen.
Ransomware-Schutz: Unternehmen will sich gegen Ransomware-Angriffe schützen, nenne Maßnahmen (10 Punkte)
Antwort:
Regelmäßige, getrennte Backups
Aktuelle Software und Patches
Mitarbeiterschulungen
E-Mail-Sicherheit und Spam-Filter
Netzwerksegmentierung
Zugriffsbeschränkungen
Endpoint Protection
Incident Response Plan
Offline-Backups
Monitoring und Anomalieerkennung
Brute Force-Schutz: Was hilft gegen Brute Force-Attacken?
Antwort: Starke Passwörter, Kontosperrung nach Fehlversuchen, Zeitverzögerung zwischen Anmeldeversuchen, 2-Faktor-Authentisierung, IP-Blocking, CAPTCHA, Monitoring und Alerting, sichere Übertragung (HTTPS).
Laptop-Sicherung: Wie muss ein Laptop gesichert werden wenn man den Raum kurz verlässt?
Antwort: Bildschirmsperre aktivieren, bei längerer Abwesenheit herunterfahren oder sperren, physisch sichern (Kensington-Schloss), sensible Daten nicht offen lassen, Clean-Desk-Prinzip befolgen.
Zugriffsrechte reduzieren: Warum macht es Sinn mit reduzierten Rechten zu arbeiten und bei Bedarf mit Admin-Rechten zu arbeiten?
: Principle of Least Privilege: Minimiert Angriffsfläche, reduziert Schäden bei Malware-Befall, verhindert versehentliche Systemänderungen, erschwert Privilege Escalation, verbessert Systemstabilität.
Zugriffsrechte einschränken: Was für Vorteile hat es, einen Benutzer die Zugriffsrechte einzuschränken?
Antwort: Schutz vor Malware, Reduzierung versehentlicher Änderungen, bessere Kontrolle über Systemressourcen, Compliance-Erfüllung, einfacheres Audit, Schutz sensibler Daten.
Zugangsdaten IT-Mitarbeiter: Ein neuer Mitarbeiter aus der IT (den Sie nicht kennen) möchte Ihre Zugangsdaten haben, um Funktionstests durchzuführen. Wie verhalten Sie sich?
Antwort: Niemals Zugangsdaten weitergeben! Vorgesetzten informieren, Identität überprüfen lassen, eigene Test-Accounts verwenden lassen, Vier-Augen-Prinzip anwenden, offizielle Genehmigung einholen.
Mitarbeiter-Protokollierung: Um die IT-Sicherheit seiner Daten zu erhöhen, möchte ein Unternehmen alle Zugriffe seiner Mitarbeiter protokollieren. Welche rechtliche Schwierigkeit ergibt sich hier? Erläutern.
Antwort: Datenschutzrechtliche Probleme: Überwachung der Mitarbeiter nach § 26 BDSG nur bei Erforderlichkeit für das Beschäftigungsverhältnis, Betriebsrat-Mitbestimmung nach § 87 BetrVG, Verhältnismäßigkeitsprüfung, Zweckbindung der Daten.
IT-Geräteverlust: Worin besteht der größte Schaden bei Verlust oder Diebstahl von IT-Geräten (mobil)? Wie kann man entgegenwirken? (10 Punkte)
Antwort: Größter Schaden: Verlust vertraulicher Daten und Identitätsdiebstahl. Gegenmaßnahmen: Verschlüsselung, Remote Wipe, Backups, Gerätesperre, VPN, Clean-Desk-Prinzip, Tracking-Software, Versicherung, Mitarbeiterschulungen, physische Sicherung.
Last changeda month ago
