Per Chatgpt

IDS - Ein Intrusion Detection System ist für ein Datenträgerarchiv nicht sinnvoll, da es sich um physische Datenträger handelt, nicht um ein aktives Netzwerk. Oder umkopieren???

Ports des Opfers - Für DoS-Angriffe müssen Angreifer die Ports des Zielsystems kennen, um diese mit Anfragen zu überlasten.

DDoS (Distributed Denial of Service) sind Angriffe von mehreren Teilnehmern gleichzeitig, oft über Bot-Netze, um Dienste lahmzulegen.

Heuristisch bedeutet, dass das IPS anhand von Mustern und Verhaltensanalysen Angriffe erkennt, auch wenn diese noch nicht in der Signaturdatenbank bekannt sind.

TCP ist verbindungsorientiert und zuverlässig, UDP ist verbindungslos und schneller. TCP wird für Datenübertragung verwendet, UDP für Echtzeitanwendungen wie VoIP.

Von unten nach oben: Netzzugangsschicht, Internetschicht (IP), Transportschicht (TCP/UDP), Anwendungsschicht (HTTP, FTP, SMTP).

IEEE 802.11 - Dies ist der WLAN-Standard. IEEE 802.3 ist der Ethernet-Standard für kabelgebundene Netze.

Redundantes Netzteil

Typischerweise sind interne Benutzerauthentifizierung oder lokale Datenspeicherung nicht notwendig für externe Firewalls. Zugriffsregelung, Virenscanner

Virus - Viren benötigen einen Wirt (ausführbare Datei) und können sich nicht alleine per E-Mail verbreiten, sondern nur als Anhang.

Keinem

Ports abschalten - Unnötige Dienste und Ports sollten deaktiviert werden. Weitere Maßnahmen: Firewalls, Lastverteilung, IPS.

Safety - Wasserrohrbruch ist ein Safety-Risiko (Sicherheit der Auswirkungen), nicht Security (Sicherheit gegen Einwirkungen).

Schadenshöhe - Der Schutzbedarf wird allein an der möglichen Schadenshöhe gemessen, nicht an der Eintrittswahrscheinlichkeit.

Alle drei Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) - Das Maximumprinzip gilt für alle drei Grundwerte der IT-Sicherheit.

Nach Auswahl der Maßnahmen - Der IT-Grundschutz-Check erfolgt nach der Modellierung zur Überprüfung bereits realisierter Maßnahmen.

Strukturanalyse - Die Strukturanalyse erfasst die Bestandteile des IT-Verbundes und bildet die Basis für die Baustein-Auswahl.

Serverraum ist nicht abschließbar - Dies ist ein strukturelles Problem, kein Ergebnis einer Business Impact Analysis, die sich auf Ausfallzeiten und -auswirkungen konzentriert.

Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen zu Mindeststandards und Meldepflichten bei IT-Sicherheitsvorfällen.

GoBD regeln die ordnungsmäßige Führung digitaler Unterlagen und verlangen Verfügbarkeit und Integrität von digitalen Dokumenten.

COBIT ist ein Governance-Framework für IT mit fünf Domänen (EDM, APO, BAI, DSS, MEA). Was ist zu tun nicht wie

Der Verteilungseffekt kann den Schutzbedarf eines IT-Systems niedriger machen als den der zugeordneten Anwendungen, wenn die Anwendung auf mehrere Systeme verteilt ist.

Verschlüsselung von Daten oft mit Lösegeldforderung - Ransomware verschlüsselt Daten und fordert Lösegeld für die Entschlüsselung.

§ 202c StGB - Vorbereiten des Ausspähens und Abfangens von Daten.

Nur Personen mit höchster oder entsprechender Sicherheitsstufe dürfen es lesen (no read up). Schreiben ist nach no write down nur auf gleicher oder niedrigerer Stufe erlaubt.

Vertraulichkeit - Das Bell-LaPadula-Modell schützt primär die Vertraulichkeit durch no read up und no write down Regeln.

Mitarbeiter dürfen nur Dateien ihrer Stufe oder niedriger lesen (no read up) und nur auf ihrer Stufe oder höher schreiben (no write down).

§ 202a (Ausspähen von Daten), § 303a (Datenveränderung), § 303b (Computersabotage), § 263a (Computerbetrug).

Nein, wenn Sicherheitsmaßnahmen angemessen waren - Bei angemessenen Schutzmaßnahmen liegt keine Strafbarkeit vor.

Ggf. wenn nicht genügend Schutz vorhanden - Haftung besteht bei unzureichenden technischen und organisatorischen Maßnahmen.

Nur mit Angemessenheitsbeschluss der EU-Kommission oder geeigneten Garantien wie Standarddatenschutzklauseln zulässig.

Ja, in öffentlich zugänglichen Bereichen nach § 4 BDSG mit Hinweisschildern und unter Beachtung des Datenschutzes.

Eine Adressdaten-Änderung ist eine Form der Verarbeitung nach DSGVO Art. 4 Abs. 2.

Verpflichtung für Mitarbeiter, personenbezogene Daten nicht unbefugt zu erheben oder zu verwenden, gilt auch nach Ende der Tätigkeit.

16 Jahre - Nach DSGVO ist das Mindestalter für wirksame Einwilligung 16 Jahre.

Nein darf er nicht, da es nicht zweckmäßig ist - Die PLZ-Erhebung ist für den Brötchenverkauf nicht erforderlich und verstößt gegen das Erforderlichkeitsprinzip.

Nein - Ohne Rechtsgrundlage (z.B. Einwilligung) oder berechtigtes Interesse ist die Weitergabe nicht erlaubt.

Nicht regelmäßig wechseln weil es zu schwachen Passwörtern führt - BSI empfiehlt nur noch bei bekannten Datenlecks zu wechseln.

Integrität - Non-Repudiation gehört zu den erweiterten Schutzzielen und ist eng mit Authentizität und Integrität verwandt.

Reaktion - Versicherungen sind Reaktionsmaßnahmen (Risikotransfer) und greifen nach eingetretenem Schaden.

IT-Systeme und Netzwerk - Der Schutzbedarf eines Raumes ergibt sich aus dem höchsten Schutzbedarf der darin befindlichen IT-Systeme und Netzwerkkomponenten (Maximumprinzip).

Das Unternehmen muss den Vorfall unverzüglich an das BSI melden (IT-Sicherheitsgesetz). Zusätzlich bei personenbezogenen Daten DSGVO Art. 33/34.

Backdoors oder Schwachstellen, verzögerte Updates, Spionage oder Sabotage, fehlende Vertrauenskette, mögliche Kompromittierung.

Notfallpläne, redundante Systeme, geografisch getrennte Backups, Business Continuity Management, Versicherungsschutz.

Ja, möglicher Verstoß gegen § 19 TTDSG und DSGVO.

Ja, Verstoß gegen Art. 32 DSGVO und § 19 TTDSG.

Regelmäßige Backups, Updates, Mitarbeiterschulungen, E-Mail-Sicherheit, Netzwerksegmentierung, Zugriffsbeschränkungen, Monitoring, Incident Response Plan.

Starke Passwörter, Kontosperrung, Zeitverzögerung, 2-Faktor-Authentisierung, IP-Blocking, CAPTCHA.

Bildschirmsperre aktivieren, ggf. herunterfahren oder sperren, physisch sichern.

Principle of Least Privilege - geringere Angriffsfläche und Schadensbegrenzung.

Schutz vor Malware, Reduzierung von Fehlbedienung, bessere Kontrolle.

Niemals Zugangsdaten weitergeben, Vorgesetzten informieren.

Datenschutzrechtliche Probleme, Mitbestimmung, Verhältnismäßigkeit.

Verlust vertraulicher Daten; Schutz durch Verschlüsselung, Backups, Remote Wipe.

Log-Dateien schreiben; ACL (Access Control List).

Backups, Updates, Schulungen, Zugriffskontrolle.

Löschung außer bei gesetzlichen Aufbewahrungspflichten.

Löschung nach ca. 6 Monaten.

Informationspflichten, Zweckbindung, Sicherheit.

Nur mit Einwilligung oder berechtigtem Interesse.

Auftragsverarbeitung nach Art. 28 DSGVO.

Datenschutzerklärung, Impressum, Cookie-Consent.

Ja, Datenschutzverstoß.

Problematisch wegen Zweckbindung; Einwilligung oder Anonymisierung.

Zweckbindung, Profiling, Transparenzprobleme.

Art. 15 DSGVO.

Vertraulichkeit, Integrität, Verfügbarkeit.

Nein, Einwilligung nicht rechtens.

Aktive Zustimmung, freiwillig, informiert, widerrufbar.

Auftragsverarbeitung Art. 28 DSGVO, Informationspflicht.

Datenübertragung/Praxisübergabe, Mandanten informieren.

Wie Steuerberater-Nachfolge, zusätzlich Schweigepflicht.

Privacy by Design, Transparenz, Datenminimierung.

Bewerten, dokumentieren, ggf. beibehalten.

Serverausfall → Verfügbarkeit; falsche Daten → Integrität.

Notfallsystem im Krankenhaus.

Verschlüsselung, Authentifizierung, Zugriffskontrollen.

Feuer, Wassereinbruch, unbefugter Zutritt.

Unbefugter Zutritt, Abhören, Diebstahl.

Gebäude, Räume, Verkabelung, Stromversorgung, Klimatechnik, Brandschutz, Zutrittskontrolle.

Prävention Firewall, Detektion IDS, Reaktion Incident Response Team.

Unterschiedliche Geschäftsprozesse und Risiken.

Nach Umsetzung, bei Änderungen, regelmäßig.

Intrusion Detection System erkennt Angriffe über Signaturen und Anomalien.

Alles erlaubt außer explizit Verbotenem.

Wissen, Besitz, Eigenschaft; Bankautomat: Karte + PIN.

Verschlüsselung, Offline-Kopien, Restore-Tests.

Länge, Komplexität, Passwortmanager.

Erhöht Risiko; Ausnahme bei Sicherheitsdruckern.

Safety, Security, Privacy.

Redundant Array of Independent Disks.

Restore-Tests, geografische Trennung.

Redundante Anbindungen, Failover.

Stark eingeschränkter Informationsfluss.

Keine Kommunikation nach unten (no write down).

Nur eine Rolle aktiv, Rollenwechsel notwendig.

Schützt Integrität; Kommunikationsprobleme.

Kein Schreiben auf höhere Integritätsstufe.

Patientendaten durch Verschlüsselung und Zugriffskontrolle schützen.

Plan, Do, Check, Act.

Keine revisionssichere Archivierung.

Bundesfinanzministerium; ordnungsgemäße Buchführung.

Sinnvoll technisch, berücksichtigt aber keine Kritikalität.

Qualitativ, schwer messbar.

Systemkonfigurationsdaten, technische Logs.

Aktive Einwilligung.

Patientendaten in Arztpraxis.

Firewalls, VPN, Netzwerksegmentierung.

Tastatureingaben auslesen; Schutz durch 2FA.

Nicht erlaubt wegen Datenschutz und Integrität.

Vertraulichkeit sehr hoch, Integrität hoch.

Autohändler + Cloud-Anbieter nach Art. 28 DSGVO.