Was ist Informationssicherheit?
Schutz von Informationen in technischen als auch nicht-technischen Systemen
Was ist IT-Sicherheit?
Schutz von IT-Systemen inkl. der dort verarbeiteten und gespeicherten Daten; Schutz vor Manipulation, Ausspähung, Kopieren und Zerstörung
Was ist Cybersicherheit
Schutz des Cyberraums (Gesamtheit der vernetzten Geräte und ihrer Nutzer)
Was sind die drei (+zwei zusätzliche) Schutzziele der IT-Sicherheit?
Vertraulichkeit, Integrität, Verfügbarkeit
oft auch genannt: Authentizität, Nicht-Abstreitbarkeit
Was beschreibt das Schutzziel “Vertraulichkeit”?
Schutz von Informationen und Systemen vor Einsicht durch nicht autorisierte Akteuere
Was sind Beispiele für Themenbereiche der Confidentiality (Vertraulichkeit)?
- Berechtigungsmanagement (Zuweisung von Privilegien)
- Verschlüsselung
- Autorisierung
- Authentisierung
- Authentifizierung
Was ist Autorisierung?
Gewährung von Privilegien; “Darfst du das tun?”
Was ist Authentifizierung?
Überprüfung der Identität; “Bist du das wirklich?”; Türsteher überprüft Ausweisfoto
Was ist Authentisierung?
Vorweisen der Identität; “Ich bin XY”; Zeigen des Ausweises
Was beschreibt das Schutzziel “Integrität”?
Schutz von Informationen vor unautorisierten Veränderungen
Was sind Beispiele für Themenbereiche der Integrity?
- Signaturen, Hashes, Paritäten
- Nicht-Abstreitbarkeit von Handlungen
- Auditing
Was beschreibt das Schutzziel “Verfügbarkeit”?
Schutz von Informationen und Systemen vor Störung der autorisierten Erreichbarkeit
Was sind Beispiele für Themenbereiche der Availability?
- Redundanzen
- Load-Balancing
- Backup & Recovery
Was sind Beispiele einer Kompromittierung der Vertraulichkeit?
Spyware, Key-Logger
Was sind Beispiele einer Kompromittierung der Integrität?
Trojaner, Man in the Middle
Was sind Beispiele einer Kompromittierung der Verfügbarkeit?
DoS, Ransomware
Was ist eine Schwachstelle?
Schwäche in einem IT-System, in Sicherheitsverfahren, internen Kontrollen oder Implementierung, die von einer Bedrohungsquelle ausgenutzt werden können
Was ist ein Exploit?
Methode zur Ausnutzung einer Schwachstelle
Was ist eine Malware?
Software zur Störung oder Kompromittierung eines IT-Systems
Was ist ein Zero-Day?
Schwachstelle, die bekannt wird, bevor der Hersteller davon weiß
Wie können Angreifer klassifiziert werden?
Allgemein: Hacker
Spezifisch: Script Kiddy, Disgruntled Employee, Cyber-Kriminelle, APT, Cyber-Terroristen, Cyber-Aktivisten, Pen-Tester
Was ist das Asymmetriedilemma? (Auf den Folien heißt es Asynchronitätsdilemma, das ist aber wohl falsch)
- Angreifer braucht eine zeitlich begrenzte Kompromittierung, Verteidiger muss Systeme kontinuierlich sicher halten
- Angreifer braucht ein angreifbares System, Verteidiger muss alle Systeme schützen
- Verteidiger muss sich an Gesetze, politische und ethische Anforderungen halten, Angreifer nicht
- Angreifer ist schwierig identifizierbar, Verteidiger (insb. seine Systeme) leicht identifizierbar
Was für Malwarearten gibt es?
Virus, Worm, Trojaner, Spyware, Adware, Rootkit, Backdoor, RAT, Ransomware, Cryptojacker, Botnet
Was beschreibt Nicht-Abstreitbarkeit?
Technische Nichtabstreibarkeit von Handlungen und legale Haftung
