Was ist Härtung? Wie unterscheidet sie sich von Patching? Wieso härtet man?
Wiederstandsfähigkkeit gegen Hacker erhöhen
Härtung ist die Reduktion von offenen Angriffsvektoren, beim Patching werden bekannte Schwachstellen gestopft
Warum? Schutz,…
Wie lauten die Grudsätzlichen Prinzipien der Systemhärtung?
Least Privilege (PoLP): Jeder Benutzer/Prozess erhält nur die unbedingt notwendigen Berechtigungen.
Defense-in-Depth: Mehrere Sicherheitsebenen einsetzen (z. B. Firewall, Segmentierung, Authentifizierung, Monitoring).
Zero Trust: Niemandem automatisch vertrauen – jede Verbindung wird geprüft, authentifiziert und protokolliert.
Secure by Design: Sicherheit wird von Anfang an in die Systementwicklung integriert.
Wie geht man bei der Systemhärtung vor?
Risikobewertung
Schwachstellenaufdeckung zur Netzwerkhärtung
Patch-Management
Entfernen unnötiger Software und Dienste (Komplexität
reduzieren)
Konfigurationsmanagement
Zugriffskontrollen
Sicherheitsüberwachung und Überprüfung
Datensicherung und Notfallwiederherstellung
Sicherheitsbewusstsein und Schulung
Was ist das Ziel der Risikobewertung?
Bedrohungen systematisch identifizieren und bewerten, um Sicherheitsmaßnahmen nach dem tatsächlichen Risiko zu priorisieren.
Woraus setzt sich ein Risiko zusammen?
Bedrohung × Schwachstelle × Auswirkung.
Wofür steht CVSS?
Common Vulnerability Scoring System.
Wofür wird CVSS verwendet?
CVSS ist ein Industriestandard zur Bewertung der Schwere von Sicherheitslücken und zur Priorisierung von Patches.
Was bedeuten die wichtigsten CVSS-Abkürzungen?
AV:N (Attack Vector: Network): Angriff ist über das Netzwerk möglich.
AC:L (Attack Complexity: Low): Angriff ist leicht durchzuführen, keine besonderen Bedingungen nötig.
PR:N (Privileges Required: None): Keine Benutzerrechte oder Anmeldung erforderlich.
UI:N (User Interaction: None): Das Opfer muss nichts tun (z. B. nichts anklicken).
C:H / I:H / A:H (Confidentiality, Integrity, Availability: High): Hohe Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Warum erhielt EternalBlue einen CVSS-Score von 9,8?
Weil die Schwachstelle über das Netzwerk ausnutzbar war, leicht ausgenutzt werden konnte, keine Rechte oder Benutzerinteraktion erforderte und hohe Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit hatte.
Warum ist die Risikobewertung in der Logistik schwierig?
Durch komplexe Lieferketten, neue Schwachstellen durch Systeminteraktionen, schwer patchbare OT/ICS-Systeme und Zero-Day-Lücken.
Was ist MITRE ATT&CK bzw. T1195?
MITRE ATT&CK ist eine Wissensdatenbank über Angreifer-Taktiken und -Techniken. T1195 beschreibt die Kompromittierung der Lieferkette, z. B. über Software-Abhängigkeiten oder Lieferanten.
Was ist Typosquatting und wie schützt man sich davor?
Ein bösartiges Paket imitiert den Namen eines legitimen Pakets. Schutz bieten kryptografische Herkunftsnachweise und die Überprüfung von Softwareartefakten.
Was sind häufige Fehlannahmen bei der Risikobewertung?
Eine Zertifizierung (z. B. ISO 27001 oder PCI-DSS) macht ein Unternehmen nicht automatisch sicher.
Auch kleine Unternehmen sind attraktive Angriffsziele.
Eine Firewall allein schützt nicht vor allen Angriffen.
Antivirenprogramme erkennen neue Schadsoftware häufig nicht.
Angriffe bleiben oft lange unentdeckt (durchschnittlich ca. 204 Tage).
Wieso brauch man Schwachstellenaufdeckung?
Weil nur bekannte Schwachstellen abgesichert und nach Risiko priorisiert werden können.
Welche Methoden? —> Angriffsgraphen, Bug-Bounty-Programme und Honeypots.
Wie sehen Angriffsdiagramme aus?
Was stellen Knoten und Kanten in einem Angriffsgraphen dar?
Knoten stellen Systemzustände, Sicherheitsbedingungen oder Schwachstellen dar. Kanten zeigen die möglichen Übergänge bzw. Angriffsschritte zwischen diesen Zuständen.
Welche Schritte umfasst die Erstellung eines Angriffsgraphen?
Netzwerk inventarisieren, Schwachstellen identifizieren, Umfang und Datenquellen festlegen, den Graphen modellieren sowie Knoten und Kanten erstellen.
Wozu dient die Analyse eines Angriffsgraphen?
Sie identifiziert mögliche Angriffspfade, zeigt welche Schwachstellen gehärtet werden müssen und hilft, besonders wirksame Verteidigungsmaßnahmen (Chokepoints) zu finden.
Wie läuft die Erstellung eines Angriffsgraphen in der Netzwerkanalyse ab?
Ausgehend vom Angreifer werden schrittweise alle möglichen Exploits und erreichbaren Systemzustände analysiert und als Angriffspfade in den Graphen aufgenommen, bis keine neuen Bedingungen oder Angriffsmöglichkeiten mehr gefunden werden.
Was sind die Grenzen von Angriffsgraphen?
Sie bieten keine automatische Lösung zur Netzwerkhärtung, sind bei großen oder virtuellen Netzwerken nur begrenzt skalierbar und viele Maßnahmen müssen manuell umgesetzt werden.
Welche Vorteile bietet Machine Learning für Angriffsgraphen?
Es verbessert die Skalierbarkeit, ermöglicht Echtzeitanalysen und kann aus früheren Angriffen lernen, um zukünftige Angriffe vorherzusagen.
Was ist ein Bug-Bounty-Programm?
Ein Programm, bei dem Sicherheitsforscher unbekannte Schwachstellen melden und dafür belohnt werden, sodass Sicherheitslücken schneller gefunden und behoben werden.
Was ist ein Honeypot?
Ein Honeypot ist ein Scheinsystem, das Angreifer anlockt, ihre Aktionen protokolliert und so hilft, Angriffsmethoden zu analysieren und geeignete Gegenmaßnahmen zu entwickeln.
Wofür sind Patches wichtig?
Patches schließen Sicherheitslücken, beheben Fehler, verbessern Leistung und Stabilität und können neue Funktionen bereitstellen.
Nenne die wichtigsten Schritte im Patch-Management. Patches identifizieren, bewerten, priorisieren, testen, bereitstellen und anschließend überwachen.
Welche Risiken gibt es beim Patch-Management?
Patches können Inkompatibilitäten oder neue Sicherheitslücken verursachen. Bei OT-/ICS-Systemen sind Patches oft nur verzögert möglich.
Warum sollten Dienste und Software minimiert werden?
Jeder aktive Dienst, Port oder Prozess erhöht die Angriffsoberfläche. Deshalb sollten nur notwendige Dienste betrieben und unnötige deaktiviert oder deinstalliert werden.
Was ist Konfigurationsmanagement?
Die Entwicklung, Dokumentation, Umsetzung und Überwachung sicherer Konfigurationen, damit Systeme sicher und einheitlich betrieben werden.
Was sind CIS-Benchmarks?
Best-Practice-Standards für sichere Systemkonfigurationen. Level 1 bietet grundlegende Härtung, Level 2 erhöht die Sicherheit mit möglichen Auswirkungen auf den Betrieb.
Welche Maßnahmen gehören zur Netzwerk- und Systemhärtung?
Netzwerksegmentierung, Zero Trust, Firewalls, IDS/IPS, VPN, Verschlüsselung, Deaktivierung ungenutzter Ports sowie aktuelle Firmware, Festplattenverschlüsselung und lokale Firewalls.
Was sind die drei Zugriffssteuerungsmodelle?
RBAC (Role-Based Access Control): Rechte über Rollen • ABAC (Attribute-Based Access Control): Rechte anhand von Attributen (z. B. Uhrzeit, Ort, Gerät) • MAC (Mandatory Access Control): zentral festgelegte Sicherheitsklassifizierungen (z. B. SELinux, AppArmor).
Welche Maßnahmen gehören zum Lebenszyklus von Benutzerkonten?
Regelmäßige Zugriffsrechts-Reviews (Rezertifizierung), sofortiges Offboarding (Sperrung aller Rechte) und Erkennung verwaister Konten (Orphaned Accounts).
Was besagt das Prinzip der minimalen Rechte (PoLP – Principle of Least Privilege)?
Jeder Nutzer erhält nur die notwendigen rechte.
Welche Aufgaben übernimmt PAM (Privileged Access Management)?
Kontrolle privilegierter Konten, JIT (Just-in-Time) Access für zeitlich begrenzte Berechtigungen und Session Recording zur Protokollierung privilegierter Sitzungen.
Wie werden Service Accounts sicher verwaltet?
Keine persönlichen Zugangsdaten verwenden; Passwörter und Schlüssel über Secrets Management (z. B. HashiCorp Vault) verwalten.
Was sind die wichtigsten Systeme zur Netzwerküberwachung?
SIEM (Security Information and Event Management): zentrale Log-Auswertung • IDS (Intrusion Detection System): erkennt Angriffe • IPS (Intrusion Prevention System): erkennt und blockiert Angriffe • EDR (Endpoint Detection and Response): verhaltensbasierte Endgeräteüberwachung.
Welche Phasen umfasst der Incident Response Process nach NIST SP 800-61 (National Institute of Standards and Technology – Special Publication 800-61)?
Vorbereitung → Erkennung → Eindämmung → Bereinigung → Wiederherstellung.
Was sind die wichtigsten Anforderungen an Backups?
Air-Gap (physisch/logisch vom Netzwerk getrennt), Verschlüsselung, nur Administratorzugriff sowie regelmäßige Restore- und Integritätstests.
Was besagt die 3-2-1-Backup-Strategie und wofür stehen RTO (Recovery Time Objective) und RPO (Recovery Point Objective)?
3 Kopien der Daten, 2 verschiedene Speichermedien, 1 Kopie off-site/air-gapped. RTO: maximale Wiederherstellungszeit. RPO: maximal zulässiger Datenverlust.
Warum sind Sicherheitsbewusstsein und Schulungen wichtig?
Welche Arten technischer Sicherheitsschulungen gibt es?
Der Mensch ist häufig das schwächste Glied der Sicherheitskette. Schulungen sollen Phishing verhindern, das Sicherheitsbewusstsein stärken und richtiges Verhalten im Notfall vermitteln.
Angriffs-Training: Schwachstellen ausnutzen lernen (z. B. Penetrationstests) • Forensik-Training: Angriffe analysieren und Beweise sichern • Verteidigungs-Training: Schutzmaßnahmen entwickeln und umsetzen.
Zuletzt geändertvor 8 Tagen