level: 1 Grundlagen
Questions and Answers List
Folien VL 1
level questions: 1 Grundlagen
| Question | Answer |
|---|---|
| Schutzmaßnahme - Honeypot | Scheinbar verwundbares System, soll angreifer anlocken |
| verschlüsselter Virus | ist verschlüsselt bis auf Verschlüsselungsroutine erster Schritt zu polymorphen Viren größtenteils zufälliger String Erkennung über Verschlüsselungsroutine möglich |
| Safety | Betriebssicherheit Funktionssicherheit Schutz vor negativen Konsequenzen aus berechtigtem Handeln |
| Security | Informationssicherheit Schutz vor negativen Konsequenzen aus unberechtigtem Handeln |
| Schützenswerte Güter | Informationen Privatssphäre Privatssphäre Informationen informationelle Selbstbestimmung Finanzielle Güter Unversehrtheit |
| Daten | Repräsentation von Informationen |
| Datensicherheit | Sicherheit von Daten Sicherheit von Informationen |
| Objekt | Schützenswertes Gut |
| Subjekt | Einheiten, die auf Objekte zugreifen |
| Schutzziele | Vertraulichkeit Integrität Authentizität Verbindlichkeit Verfügbarkeit Privatheit |
| Definition: Schutzziel - Vertraulichkeit | Zugänglichkeit autorisierter Personen Schutz vor unautorisiertem Zugriff |
| Maßnahmen: Schutzziel - Vertraulichkeit | Regel für Informationsflüsse Verschlüsselung von Daten Vertrauenswürdige Kuriere Zutrittsregel Zugriffsregeln Zugriffkontrolle Infromationskontrolle |
| Definition: Schutzziel - Intrigität | Vollständigkeit von Daten Unverfälschtheit von Daten Schutz vor unautorisierter Modifikation |
| Maßnahmen: Schutzziel - Integrität | Administrative Regeln für Zugriffe Implementierung von Zugriffskontrollen Implementierung von Zugriffsrechten Manipulationserkennung Sichere Originalaufbewahrung |
| Definition: Schutzziel - Authentizität | Nachweisbarkeit der Identität von Subjekten und Objekten Urheber der Daten ist vom Empfänger eindeutig identifiziebar und nachprüfbar |
| Maßnahmen: Schutzziel - Authentizität | Vergabe von eindeutigen Identifikatoren an Subjekte und Objekte Ausstellen von Zertifikaten, Credentials, Tokens Prüfen von Zertifikaten, Credentials, Tokens Challange-Respons Protokolle Elektronische Signaturen Persönliche Übergabe |
| Definition: Schutzziel - Verbindlichkeit | Unabstreitbarkeit Schutz vor unzulässigem Abstreiten |
| Maßnahmen: Schutzziel - Verbindlichkeit | Elektronsiche Signaturen händische Unterschrift Protokollierung von Aktionen Log-Dateien auf Betriebssystem-Ebene Beweissicherheit |
| Definition: Schutzziel - Verfügbarkeit | Autorisierte Subjekte sind in der Nutzung ihrerer Berechtigungen nicht unautorisiert beeinträchtigt Schutz vor beeinträchtigung der Nutzbarkeit von Funktionen Schutz der Nutzbarkeit Warung der Verfügbarkeit von Diensten und Daten Verfügbarkeit = (Gesamtlaufzeit - Gesamtausfallzeit) / Gesamtlaufzeit |
| Maßnahme: Schutzziel - Verfügbarkeit | Datensicherung Vertretungsregeln redundante Auslegung von Komponenten Regelung und Überwachung des Ressourcenvrebrauchs von Zugriffs auf Objekte |
| Definition: Schutzziel - Privatheit | Gewährleitung des informationellem Selbstbestimmungsrechts Gewährleistung der Privatsspähre |
| Maßnahme: Schutzziel - Privatheit | Regeln zu Datenvermeidung Regeln zur Datensparsamkeit Festlegung der Zweckbindung der erhobenen Daten Datenaggregation Anonymisierungs-Verfahren Pseudonyme |
| Definition: IT-Sicherheit | Gewährleitungs von Schutzzielen für Daten, Dienste und Anwendungen |
| Defintion: Sicherheitsregel / Security-Policy | Schutzziele technischen Regeln organisatorischen Regeln Verhaltensrichtlinien Maßnahmen zur Gewährleisten der Schutzziele Festlegung von Verantwortlichkeit und Rollen |
| Gefahr | Situation mit negativen Auswirkungen kein konkreter Bezug |
| Bedrohung | Gefahr mit räumlichen, zeitlichem oder personellem Bezug |
| Schwachstelle / Vulnerability | Möglichkeit Sicherheitsdienste zum Umgehen |
| Gefährdung | mögliche Exponierung eines schützenswerten Gutes durch eine Schwachstelle räumliche und oder zeitliche Exponierung eines schützenswertes Gut durch eine Schwachstelle |
| Passiver Angriff (Ziel und Schutzziele) | Informationsgewinnung Vertraulichkeit Privatheit |
| Aktiver Angriff (Ziel und Schutzziel) | Informationsänderung Intigrität Authentizität Verbindlichkeit Verfügbarkeit |
| Angreifer | System, die Angriffe durchführt Person, die Angriffe durchführt Personengruppe, die Angriffe durchführt |
| Dolev-Yao-Angreifermodell | kann netzinterne Nachrichten abfangen ist berechtigter Teilnehmer des Netztes kann Nachrichten abfangen kann Nachrichten an Teilnehmer unter falscher Identität senden kann KEINE kryptischen Verfahren brechen |
| Welcher Hacker gibt es? | White-Hat Grey-Hat Black-Hat |
| White-Hat-Hacker | Decken Sicherheitslücken auf Handeln nach dem Gesetz und Hackerethik |
| Grey-Hat-Hacker | verstoßen gegen Gesetze, um höhere Ziele zu erreichen brücksichtigt Hackerethik |
| Black-Hat-Hacker | handeln meist kriminell |
| Motivation von Angreifern | Spionage, Sabotage und Überwachung Wirtschaftsspionage, Zusammenarbeit mit Geheimdiensten monetäre Gründe, Erpressung, Identitätsdiebstahl Veröffentlichung geheimer Informationen |
| Risiko eines Schadens | Risiko = Eintrittswahrscheinlichkeit * potentieller Schaden Risiko Dient der Einordnung der Maßnahmen Risikobewertung anhand des Angreifermodells |
| Welche Schadenszenarien gibt es? Verstöße, Beeinträchtigungen, Auswirkungen | Verstöße gegen Gesetze Beeinträchtigung des informationellem Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung Negative Innen- oder Außenwirkung Finanzielle Auswirkungen |
| Informationsverbund | Gesamtheit von - infrastrukturellen, - organisatorischen, - personellen und - technischen Objekten, die der Aufgabenerfüllung in einem besimmen Anwendungsbereich der Informatonsverarbeitung dienen. |
| verdeckter Kanal (Vertraulichkeit) | - Informationskontrolle häufig wünschenswert - Alice darf schreiben - Bob nicht Ausgangslage: Vorgesetzter schreibt vertrauliche Infos in Datei_A Regeln: Bob hat kein recht, um auf Datei_A zuzugreifen Annahme: Alice liest Informatoinen aus Datei_A und schreibt Se in Datei_B |
| Seitenkanalangriff (Vertraulichkeit) | - Angriff auf Implementierungen - Angriffe basieren auf unterschiedlichen Ausführungspfaden -> Timing Atttacks -> Power Analysis -> Fault Attacks (Aktive Angriffe) |