Was bedeutet Informationssicherheit, IT-Sicherheit, Cyber-Sicherheit?
Informationssicherheit: Der Schutz von Informationen
IT-Sicherheit: Schutz der technischen Elemente
Cyber-Sicherheit: Gesamtheit und überschreitet die Grenzen der eigenen Firma oder Umgebung
Erläutere die CIA-Triade?
Vertraulichkeit: Daten sollen immer (Speicherung, Datenübertragung, Abruf) nur von autorisierten Benutzern eingesehen werden.
Integrität: Daten sind immer konsistent. Sie werden nicht bei der Übertragung oder anderweitig unbefugt verändert.
Verfügbarkeit: Daten sollen möglichst immer verfügbar sein. Daten sollen auf keinen Fall verloren gehen.
Wie sind Daten definiert?
Was sind personenbezogende Daten ?
Nach Strafgestztbuch: nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Nach DSVGO: personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen
identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt über die Daten identifiziert werden Kann
Was sind bekannte Angriffsgruppen?
Motivation für Cyberangriffe?
Staatsakteure
Organisierte Kriminalität/Banden
Privatpersonen
Informationsgewinnung (Spionage) Geld/Ansehen (Ransomware) Protest/Zerstörung(DDos)
Erläutere CTI, OSINT und APT?
Cyber Threat Intelligence (CTI) = Prozess der Identifizierung und Analyse von Cyberbedrohungen
Open-Source Intelligence (OSINT) = Sammlung von frei verfügbaren Informationen und Gewinnung von Erkenntnissen
Advanced Persistent Threat (APT) = Bezeichnung von professionellen Cybergruppierungen
Bennene die 14 Phasen eines Cyberangriffs nach MITRE ATT&CK
1. Reconnaissance (Aufklärung)
2. Ressource Development (Ressourcenentwicklung)
3. Intitial Access (Erster Zugriff)
4. Execution (Ausführung des Angriffs)
5. Persistence (Beständigkeit)
6. Privilege Escalation (Ausweitung der Benutzerrechte des Angreifers)
7. Defense Evasion (Entdeckungsumgehung)
8. Credential Access (Zugriff auf Anmeldeinformationen)
9. Discovery (Entdeckung)
10. Lateral Movement (Seitliche Bewegung)
11. Collection (Sammeln von Daten)
12. Command and Control (wörtlich Steuerung und Kontrolle)
13. Exfiltration (Datendiebstahl)
14. Impact (Auswirkung)
Grundlegende Begriffe der Kryptografie?
Schlüssel
(Chiffrier-)Algorithmus
Nachricht
Schlüssel: Dient der Ver-/Entschlüsselung der Nachricht
(Chiffrier-)Algorithmus: Angewandte mathematische Verfahren
Nachricht: Zu schützende Informationen
Wie läuft eine symetrische Verschlüsselung ab ?
Wie verläuft eine asymetrische Verschlüsselung?
Symetrische Verschlüsselung:
Die versendete Nachricht wird mit dem selben Schlüssel ver-und entschlüsselt
Asymmetrische Verschlüsselung:
Beide Kommunikationspartner haben ein eigenen privaten Schlüssel und einen öffentlichen Schlüssel
Der öffentliche Schlüssel kann zum Verschlüsseln von Daten verwendet werden, die jedoch nur mit dem dazugehörigen privaten Schlüssel entschlüsselt werden können, welcher geheim bleibt.
Unterschied zwischen AES (Advanced Encryption Standard) und DES (Data Encryption Standard)?
DES unzureichender Schutz aufgrund einer zu kurzen Schlüssellänge (64 (56)-Bit-Schlüssel (8 Bit für Paritätsprüfungen))
Mit Substitution und Permutation
AES gilt momentan als sicher, besitzt 128 Bit, 192 Bit oder 256 Bit Schlüssel. In jeder Verschlüsselungsrunde werden folgende Punkte ausgeführt:
Sub Byte • Shift Row • Mix Column • Key Addition
Für was ist eine HASH-Funktion ?
Sie ist zur Verifizierung von Daten um diese eindeutig zu Identifizieren und als Schutz vor Manipulation.
!Ein Hash ist keine Verschlüsselung!
Keine Rückrechnung möglich bei schwachen Algorithmen Hash-Wert Rückberechnung
Welche Anwendungsfälle haben Hash Funktionen?
Die Signatur von Nachrichten
Die Verifizierung von Inhalten
Zur Validierung von Passwörtern
Welche 5 Eigenschaften bieten Hash Funktionen
Welche Algorithmen gibt es hier ?
Determinismus = immer gleiche Ausgabe.
Nicht Rücklesbar = (Haswerte lassen sich nichtmehr Zurückwandeln)
Kollisionssicherheit = Es ist extrem schwer, zwei verschiedene Eingaben zu finden, die denselben Hashwert erzeugen.
Kontinuität bzw. Nichtkontiniutät = minimale Änderungen ändern bereits den Hashwert
Geschwindigkeit = Zur schnellen Berechnung konstruiert
MD5 = unsicher heutzutage Kollisionen erzeugbar
SHA = Üblicherweise SHA-256/512
Was versteht man unter Salt&Pepper und wofür ist es gut?
Salt&Pepper soll bei hinterlegten Passwörter gegen ein Rainbow-Table Angriff schützen. Hier wird das Passwort mit einem Systemweiten Pepper ergänzt und dazu ein individuell erzeugter Salt.
Was ist ein Message Authentication Code (MAC)?
Funktion mittels Hash-Funktion
um die Authenzität und Integrität einer Nachricht sicherzustellen
Schlüssel(geheim,zufällig) - üblich mit HMAC_SHA256 generiert
Ein MAC ist wie eine digitale „Siegelmarke“: Nur wer den geheimen Schlüssel kennt, kann das Siegel korrekt erzeugen.
Was ist ein Puplic Key Infrastructure (PKI)?
Was ist eine Zertifizierungsstelle / Certification Authority (CA)?
Was ist die Certificate Revocation List (CRL)?
PKI: Die Infrastruktur für das erstellen von Zertifikaten.
Aufgaben:
Verwaltung von Schlüsselpaaren und Zertifikaten
Sicherstellung von Authentizität, Integrität und Vertraulichkeit in der Kommunikation
Zertifizierungsstelle / Certification Authority (CA):
Eine Zertifizierungsstelle die dazu da ist um zu prüfen ob der Herausgeber eines Zertifikats vertrauenswürdig ist.
Certificate Revocation List (CRL): Eine Liste von Zertifikaten die vor Ablauf ihrer gültigkeit für ungültig erklärt wurden.
Vertauenswürdigkeit der CA sicherstellen ?
Dafür existieren Root-CA(von Herstellern) diese führen Zertifikate externen Anwendungen zu. Am Ende sind diese Vertrauenswürdig
Was ist Steganographie ?
Welche Methoden existieren?
Ein Vorgehen Nachrichten in einer Übertragung zu verstecken:
Haupttypen:
Text, Bild, Video, Audio, Netzwerk
Methoden:
LSB-Substitution (Least Significant Bit)= verändern unwichtiger Bits
Bit-Plane Complexity Segmentation (BPCS) = Erstzen von Komplexen Bildbereichen (Rauschen nicht wahrnehmbar)
Was ist die Grundlage der Bedrohungsanalyse?
Was ist ein Risiko?
Wie kommt man auf die Eintrittswahrscheinlichkeit?
Liste aller möglichen Bedrohungen
Risiko= Schaden * Eintrittswahrscheinlichkeit => Zur Bewertung der Bedrohungen
Das Wissen über Bedrohungen und möglichen Angreifer verknüpfen
Wie sind die Richtlinien für Cybersecurity gemäß der NIST?
Verwalten/steuern (Govern)= zieht sich durch alle Phasen Identifizieren (Identify) = bspw. Asset-Management, Risikobewertung, Risikomanagement
Schützen (Protect) = bspw. Identitätsmanagement, Sensibilisierung, Datensicherheit
Erkennen (Detect) = bspw. Anomalien erkennen, durchgehende Überwachung
Reagieren (Respond) = bspw. Reaktionsplanung, Analyse, Kommunikation
Wiederherstellen (Recover) = bspw. Wiederherstellung des Betriebs
Welche Möglichkeiten im Handling eines Risikos gibt es ?
Eliminieren
reduzieren
absichern
akzeptieren
Manchmal ist zu beachten ob es überhaupt Wert ist ein Risiko zu eliminieren
Kosten Nutzen abwägen
Beispiel eines Attack Tree zur Bedrohungsanalyse
Angriffsbäume sind mehrstufige Diagramme, bestehend aus einer Wurzel, Blättern und Kindern. Von unten nach oben stellen die Kindknoten Bedingungen dar, die erfüllt sein müssen, damit der direkte Elternknoten die Bedingung erfüllt; ist die Wurzel erfüllt, ist der Angriff abgeschlossen. Jeder Knoten kann nur von seinen direkten Kindknoten erfüllt werden .
Nenne Mögliche Bedrohungen für IT Systeme
Supply Chain Angriffe = Infriltration von Drittanbieter Software
Social Engineering = Infos durchs ausnutzen von menschlichem Verhalten gewinnen
Schwachstellen in Software Hardware oder vorhandenen Geräten
Offene/falsch Konfigurierte System
KI = Speziell generierte Phising Nachrichten
Ransomware = Erpressung durch Systemverschlüsselung
Wie läuft Bedrohungsmodellierung nach STRIDE?
Spoofing= Andere Identität benutzen
Tampering= Daten verändern
Repudiation= Schritte nicht nachvollziehbar
Information Disclosure= Benutzer können nicht erwünschte Informationen sehen
Denial of Service= Webserver durch Angriff unerreichabr machen
Elavation of Privalage= Erlangen erhöhter Zugriffsrechte
Was ist der Common Vulnearbilites and Exposures (CVE)?
Common Vulnerability Scoring System (CVSS Score)
CVE: Eine standartisierte Metrik zu einordnung und Identifikationvon Schwachstellen
CVSS Score: Aufzeigen der Risiken der Schwachstellen
Welche Erkennungstechniken für Sicherheitsvorfälle gibt es ?
Durch Externe gewarnt
Durch Mitarbeiter gemeldet
Durch System automatisch erkannt:
Signatur-basiert = Vergleich mit bekannten Virensignaturen = Alarm Heuristisch/Anomalie-basiert = Analyse nach typischen Merkmalen von Schadsoftware
Schwellwert überschritte = Alarm
Emulations-basiert/Verhaltensanalyse =Simulation der Ausführung Verdächtige Systemzugriffe = Alarm
Mittels KI (noch nicht flächendeckend)
Was ist das Securiety and Event Managment (SIEM)?
SIEM wird für die Überwachungen von Plattformen und Geräten eingesetzt und schlägt Alarm sobald in der Analyse eine potentielle Bedrohung erkannt wird.
Daten werden in Echtzeit analysiert
Ein Alarm kann entweder automatisch mittels SOAR(Security Orchestration, Automation and Response) => sofern Muster erkannt werden
oder manuell mittels SOC (Security Operation Center
Was sind typische Schritte eines Notfallplans?
Identifizierung von kritischen Prozessen
Plan für Notbetrieb sowie Wiederaufbau
Alternative Kommunikationsmöglichkeiten
Kontaktdaten offline vorhalten
Regelmäßige Notfallübungen
Wie sieht der Incident Response Plan aus ?
Incident Response Plan:
Vorbereitung (Preparation)
Identifizierung (Identification)
Eindämmung (Containment)
Beseitigung (Eradication)
Wiederherstellung (Recovery)
Nachbesprechung (Lessons Learned)
Mögliche Schritte: Kritische Prozesse erkennen => Plan für Notbetrieb sowie Wiederaufbau => alternative Kommunikationsmöglichkeiten => Kontaktdaten offline vorhalten => Regelmäßiges üben der Notfallsituation
Was sind Fragen der Vorfallsbearbeitung?
Was ist wo und wann passiert?
Wer war es
Wie kann eine Wiederholung verhindert werden
Wie läuft Digitale Forensik?
Prüft Glaubwürdigkeit von Methoden, Wiederholbarkeit bei erneuter Anwendung, Integrität, Ist Ursdache und Auswirkung nachvollziehbar, Dokumentation der Untersuchung
Wie sieht der Deming-Cycle (PDA-Zyklus aus)?
Deming-Cycle (oder PDCA-Zyklus)
Plan (Ziele definieren)
Do (Umsetzung der Maßnahmen)
Check (Überprüfung der Ergebnisse)
Act (Neue Prozesse / bestehende Prozesse optimieren)
Was ist ein ISMS?
Was ist ein IT-Sicherheitskonzept?
1=Ein ISMS ist ein Managment System zu um Informationssicherheit im Unternehmen zu planen und auszuführen
2= Teil eines ISMS, Konzept mit welchem technischen Mitteln Informationen zu schützen sind mit dem Ziel Schaden abzuwehren oder zu minimieren
Was bedeutet BSI
Was ist der BSI IT-Grundschutz?
Was sind deren Hauptbestandteile?
1= Bundesamt für Sicherheit in der Informationstechnik
2= Empfehlungen für ein umfassendes Informationssicherheits Systems
Hauptsbestandteile sind die BSI-Standards und das IT-Grundschutz-Kompendium
Was beeinhaltet der BSI IT-Grundschutz?
(g) = sind Elementare Gefährdungen (Feuer,Abhören, Manipulation von Hard-Software etc.)
Enthält 2 essenzielle Bausteingruppen Prozess-Bausteine und System-Bausteine
Diese Anforderungen werden in Basis(müssen), Standard(sollten) und bei erhöhtem Schutzbedarf sollten abhängig von Risikoanalyse)
Zuständigkeiten und Rollen werden definiert
Welche Kategorien technischer und organisatorischer Maßnahmen gibt es?
Präventiv = Vor Bedrohung um sie möglichst zu vermeiden
Detektiv = Während eines Angriffs (z.B Anomalieerkennung
Reaktiv = Nach Bedrohung
Technische Maßnahmen in jeder Kategorie
Organisatorische meist eher präventiv
Was ist ein 3-2-1 Backup ?
3= Es sollten 3 Kopien der wichtigen Daten existieren
2 = Diese auf mindest zwei Seperaten Datenträgern
1= Eine davon an einem Seperaten Ort
So wird Sichergestellt das die Daten in jedem Fall sicher sind
Was ist MFA?
Was gehört dazu ?
Zugangsberechtigung Überprüfung mittels mehrerer unabhängige Merkmale (Faktoren)
Was man Weiß (Wissen) = Passwort
Was man hat (Besitz) = On Time, Token, Mobiltelefon
Was an einem haftet (Inhärenz) = Fingerabdruck, Gesich, Irisscan
Was man ist (Ort) = Standort bei Anmeldung
Welche Phising Arten gibt es und was sind die Ziele ?
Clone-Phishing: Orginal Mails werden Kopiert Anhänge mit gefährlicher Software ausgetauscht. Ziel ist das einschleusen von Schadsoftware
Spear-Phishing: Personengruppen oder einzelne Personen eines Unternehmen. Ziel ist das erhalten von Geldsummen eines Unternehmens
Whaling: Hochrangige Führungskräfte mit dem Ziel große finanzielle Transaktionen zu tätigen
Menschen verleiten auf Betrügerische Inhalte einzugehen = Phising
Was sind Ziele eines Cyber-Sicherheitsmodells?
Sicherstellung der CIA-Ziele
Oft absierend auf Erfahrungen und Theorien
Sicherheitsrichtlinien festlegen und durchsetzten
Was bedeutet Zero Trust Architektur?
Bei Zero Trust wird jeder Nutzer vorerst als nicht vertrauenswürdig angesehen und erhält erst nach erfolgter Prüfung gewisse Rechte.
Dazu gehören weiterhind das Logging und Monitoring aller Aktivitäten
Was ist das IAAA Modell ?
I = Identifizierung
A = Authentifizierung
A = Autorisierung
A = Zurechenbarkeit (Accountability)
Nennen Sie bekannte Sicherheitsmodelle der Zugriffskontrolle
Bell-LaPadula
Vertraulichkeit (kein „Lesen nach oben“, kein „Schreiben nach unten“)
Biba
Integrität (kein „Schreiben nach oben“, kein „Lesen nach unten“)
Clark-Wilson
Integrität durch kontrollierte Transaktionen und Rollen
Brewer-Nash
„Chinese Wall“-Modell, verhindert Interessenkonflikte bei Zugriffen
Welche Zugriffsmodelle gibt es ?
RBAC: Rolen basierte Zugriffskontrolle. Beispielsweise werden Berechtigung nach der Gruppe Student vergeben
ABAC: Hier werden die Rechte nach gewissen Attributten vergebn. Beispielsweise nach dem zeitraum und ob die Person im Office ist.
MAC: Abhängig von der allgemeinen Benutzterfreigabe und der sensibilität der Datei
DAC: Wird vom Eigentümer der Ressource vergeben
Was sind Windows-Security Event Logs?
Windows-Security Event Logs sind spezielle Protokolle im Windows-Betriebssystem, die sicherheitsrelevante Ereignisse wie erfolgreiche und fehlgeschlagene Anmeldungen, Rechteänderungen oder sicherheitskritische Aktionen dokumentieren. Sie dienen der Überwachung, Analyse und forensischen Nachvollziehbarkeit von Aktivitäten
Was ist Netzwerksegmentierung und für was ist es gut ?
Wie kann ich Netwerksegmentierung aufteilen?
Bei der Segmentierung wird ein Netzwerk in mehrere Teilbereiche aufgeteilt um mehr Sicherheit zu gewährleisten, beispiel durch ein extra Firewall.
Außerdem lassen sich so Probleme leichter lokalisieren und die Performance in einem Segment erhöhen
Was ist OT ?
Operational Technolgy bezeichnet die verwendung von Hardware und Software zur Kontrolle von industriellen Equipment
Meist nicht resilent gegen Cyberangriffe
OT und IT verknüpft da OT Daten generiert bereitstellt und IT Daten verarbeitet
Was ist IDS/IPS/IDPS?
IDS: Intrusion Detection System
IPS: Intrusion Prevention Systm
IDPS: Intrusion Detection and Prevention System
Angriffe erkennen (IDS) und teil-automatisiert abwehren (IPS)
IDPS überwacht den Netzwerkverkehr, um bösartige Aktivitäten zu erkennen und zu blockieren
Was ist SSL/TLS/HTTPS?
SSL= Secure Socket Layers Verschlüsselung von Daten zwischen Server und Client oder zwischen zwei Servern
TLS= Transport Layer Security Weiterentwicklung von SSL
HTTPS= HyperTextTransferProtocol Secure Webseiten Protokoll, zeigt Absicherung durch SSL/TLS
Was ist eine Replay Attacke
Der Angreifer fängt einen Hash Wert ab und kann sich so als eine andere Person ausgeben.
Eine Gegenmaßnahme währe das verwenden von Einmalpasswörtern
Was ist OAuth 2.0?
OAuth 2.0 ist ein Autorisierungsprotokoll (kein Authentifizierungsprotokoll), das es Anwendungen ermöglicht, im Namen eines Benutzers auf Ressourcen zuzugreifen, ohne dessen Passwort direkt weiterzugeben.
Standard zur delegierten Autorisierung: Benutzer erlaubt einer App Zugriff auf seine Daten ohne Passwort weiterzugeben (z. B. „Login mit Google“).
Resource Owner: Benutzer
Client: App, die Zugriff möchte
Authorization Server: gibt Tokens aus
Resource Server: stellt die Daten bereit
Access Token: Kurzlebiges Zugriffstoken
Refresh Token: Holt neue Access Tokens
Authorization Code: Sicherster Standard (Web-Apps)
Client Credentials: Server-zu-Server
Implicit: Veraltet
Password Flow: Unsicher, nicht nutzen
Delegierter Zugriff
Feine Rechtevergabe
Passwörter bleiben geheim
Industriestandard (RFC 6749/6750)
Was ist die OWASP Top 10?
Das Open Worldwide Application Security Project.
Non Profit mit Ziel Anwendungssicherheit zu erhöhen.
Gibt in einem 4 Jahres zyklus die Top 10 Risiken an
Was ist Cross Site Scripting was sind mögliche Gegenmaßnahmen?
Hier wird das Ziel verfolgt bösartigen Code in eine Webseite einzubringen der dazu führen soll das jeder der auf die Webseite geht auch den Code lädt
Eine Gegenmaßnahme liegt in der Implementierung einer Eingabevalidierung
Was ist eine SQL-Injection und wie kann man sich dagegen schützen ?
Hier versucht ein Angreifer Datenbankanfragen zu manipulieren, als gegenmaßnahme könnten Prepared Statements( Trennung der Abfrage und SQL Code) verwendet werden.
Was ist DDoS und welche Formen gibt es und wie kann man sich Schützen ?
Bei einer DDoS-Attacke wird eine Webanwendung oder ein Server durch massive Mengen an Anfragen überlastet.
Verschiedene Formen einer DDoS-Attacke:
• Ping Flooding: Gewaltige Mengen an Anfragen, ob System erreichbar
• E-Mail-Bombing: Tausende E-Mail, um E-Mail-Server unerreichbar zu machen
• Syn Flooding: Fehlerhafter Verbindungsaufbau vortäuschen, benötigt sehr viel Zeit
Mit einem Syn-Cookie schützt Server vor SYN-Flood-Angriffen, indem er die Speicherung von Verbindungsstatusinformationen für halbgeöffnete Verbindungen überflüssig macht
Wie ist Datenschutz definiert?
Das Recht auf informationelle Selbstbestimmung, also das Recht jeder Person, selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen, ist Teil des Allgemeinen Persönlichkeitsrechts aus Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 Grundgesetz.
Was sind Personelle Rechte bei der GDPR/DSVGO für Betroffene?
Auskunft gespeicherte Infos
Unrichtige Infos berichtigen
Löschung verlangen
Datenübertrag an Dritte verlangen
Was ist Linddun
Ein weiteres Thread Modeling Framework zur Erkennung von Datenschutzrisiken
Linking (dt. Verlinkung) = Kann man durch die Verknüpfung der Daten Rückschlüsse auf eine Person ziehen ?
Identifying (dt. Identifizieren) = Kann mit den Daten eine Person Identiät ermittelt werden ?
Non-repudiation (dt. Nicht-Abstreitbarkeit) = Kann eine Person abstreiten bei z.B der Abfrage dabei gewesen zu sein
Detecting (dt. Erkennen) = Sind Rückschlüsse auf einer Beteiligung einer Person durchführbar?
Data Disclosure (dt. Offenlegung von Daten) = Werden zu viele personbezogene Daten, gesammelt und gespeichert?
Unawareness (dt. Unkenntnis) = Unseinsichtlich wie Personenbezogende Daten genutzt werden?
Non-compliance (dt. Nichteinhaltung von Vorschriften) = Abweichung von Rechtlichen vorschriften vorhanden ?
Was sind Embedded Systems ?
Immer wenn Hard+Software komponenten bestehendes Computersystem in ein technisches Produkt integriert ist
Bestandteile:
Hardware
Mikroprozessor (mehrere Bestandteile) oder Mikrocontroller (geschlossenes System)
Software
Einfache Software mit wenig Speicherbedarf
Firmware
Software mit Hardware verbinden
Firmware wird in Speicher des Geräts geschrieben
Phasen eines Ransomware Angriffes?
Einbruch (Initial Access)
Rechteerweiterung (Privilage Escalation)
Ausbreitung (Lateral Movement)
Datenabfluss (Exfiltration)
Verschlüsselung (Impact)
Was ist ein Penatrationstest?
Was ist ein Hackerparagraph?
Ein Penetrationstest ist ein Sicherheitsscheck der IT-Systeme unter Nutzung von Tools und Techniken von Cyberkriminellen
202c Vorbereiten des Ausspähens und Abfangens von Daten StGB = Straftat danach Freiheitssystrafe bis zwei Jahre und Geldstrafe
Was ist Passwordless Authentication?
Zugriff auf ein System ohne Passwort
Teschniche Umsetetzung nach FIDO2 (Fast Identification Online) = Sammlung diverser Standards
anderweitig werden Berechtigungen nachgewiesen: Tokens, Zertifikate und Biometirie etc
Zuletzt geändertvor 13 Tagen
