Prüfungsvorbereitung: IT-Sicherheit

IT-Sicherheit im Überblick

Die Sicherheit von Informationen ist enorm wichtig, nicht nur im privaten Bereich, sondern vor allem auch in der Wirtschaft. Im Rahmen der Informationssicherheit sind drei grundlegende Aspekte zu beachten:

• Vertraulichkeit als Schutz gegen unbefugte Informationsbeschaffung
• Integrität als Schutz gegen unbefugte Manipulation von Informationen
• Verfügbarkeit als Schutz gegen die Beeinträchtigung der Funktionalität des Systems

Die IT-Sicherheit ist ein wichtiger Bestandteil der Informationssicherheit und bezieht sich auf den Schutz elektronisch gespeicherter Daten und Informationen. In der digitalisierten Welt spielt die IT-Sicherheit eine entscheidende Rolle. Die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten sind vielfältigen Bedrohungen ausgesetzt, von Viren bis hin zu professionell durchgeführtem Abhören von Datenleitungen oder Täuschungsmanövern über manipulierte Internetseiten. Es ist auch wichtig, das unbefugte Lesen von Dokumenten durch Mitarbeiter zu verhindern, beispielsweise durch elektronische Zugangskontrollen.

Die geplante Vorgehensweise, um IT-Sicherheit zu gewährleisten ist der Aufbau eines IT-Sicherheitsmanagementsystems. Dazu kann vor allem die ISO/IEC-Norm 27000 sowie deren Nachfolger dienen. Diese Norm beschreibt den Aufbau eines ISMS (Informationssicherheitsmanagementsystems). Alternativ bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Leitfaden zum Aufbau eines IT-Sicherheitsmanagementsystems in Form des IT-Grundschutzes. Der IT-Grundschutz ist aber eng an die ISO/IEC-NORM 27000 angelehnt und dient auch als Basis für mögliche Zertifizierungen für diese Norm.

Neben den bestehenden Normen und Standards zur IT-Sicherheit wurde bereits im Jahr 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) eingeführt. Dieses Gesetz zielt darauf ab, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Besondere Aufmerksamkeit gilt dabei den Bereichen der Kritischen Infrastrukturen (KRITIS), wie beispielsweise der Strom- und Wasserversorgung.

Ergänzt wird das Gesetz durch eine Partnerschaft von Staat und Wirtschaft mit dem Ziel, die Dienstleistungen kritischer Infrastrukturen aufrecht zu erhalten und zu schützen. Diese Partnerschaft begann schon im Jahr 2007 und hat auch maßgeblich zur Gestaltung des IT-Sicherheitsgesetzes beigetragen. Die Partnerschaft hieß zu Beginn Umsetzung kritischer Infrastrukturen (UP KRITIS) und wird unter diesem Eigennamen UP KRISIS nun fortgeführt.

Gefährdung der IT-Sicherheit

Angriffsmethoden und Angriffsszenarien

Beschreibe kurz die folgenden Methoden und Szenarien

Phishing

Mithilfe gefälschter Webseiten oder E-Mails sollen vertrauliche Daten eines Nutzers ermittelt werden (beispielsweise durch die Aufforderung Benutzername und Passwort einzugeben). Mit diesen Daten werden dann beispielsweise Online-Konten des Nutzers manipuliert und Geldbeträge überwiesen.

Vishing

Vishing steht für 'Voice phishing' und ist eine Variante des Phishings. Dabei werden Nutzer durch Telefonanrufe manipuliert und zur Herausgabe von persönlichen Daten animiert.

Pharming

Pharming basiert auf der Manipulation der DNS-Anfragen (DNS ist der Dienst, der die Namensauflösung in IP-basierten Netzwerken durchführt) von Webbrowsern. Damit werden die Benutzer auf gefälschte Websites umgeleitet, obwohl sie die korrekte Adresse eingegeben haben.

Spoofing

Mit Spoofing wird die allgemeine Methode beschrieben, mit der ein Angreifer seine Identität verschleiern will. Das Phishing ist eine Variante des Spoofings.

Nicknapping

Der Begriff Nicknapping setzt sich aus Nickname (Spitzname) und Kindnapping (Entführung) zusammen. Bei dieser Methode wird versucht die Internet-Identität einer Person zu 'stehlen', um damit in verschiedenen Bereichen illegal zu arbeiten (beispielsweise Einkaufen oder Verkaufen bei Ebay)

Spam

Das unaufgeforderte Senden von Nachrichten/Informationen (meistens per E-Mail) wird als Spam (oder auch Junk) bezeichnet.

Spyware

Der Begriff setzt sich aus Spy (Spion) und Ware (kurz für Software) zusammen. Spyware soll den Benutzer ausspähen, also Daten über den Benutzer sammeln und auch versenden. Diese Software wird sowohl zu Werbezwecken als auch zur Überwachung eingesetzt.

Adware

Der Begriff Adware setzt sich aus Advertisement (Werbung) und Ware (kurz für Software) zusammen. Oftmals ohne Rückfrage installiert sich diese Software zusätzlich auf dem PC des Benutzers und dient vor allem zu Werbezwecken.

Virus

Ein Virus (Computervirus) ist ein Programm, das sich selbst weiterverbreitet. Dazu schleust es sich in andere Computerprogramme oder beispielsweise den Bootsektor ein und sorgt dann fpr seine Reproduktion. Viren können großen Schaden anrichten (Datenverlust) oder auch nur das System verlangsamen.

Trojaner

Ein Trojaner (abgeleitet aus der Mythologie des 'trojanischen Pferdes') ist ein Programm, welches sich in oder hinter einem anderen 'nützlichen' Programm versteckt und im Hintergrund schädliche Aktivitäten durchführt (beispielsweise die Installation eines Backdoor Programms, mit dem der unberechtigte Zugriff auf das System möglich ist).

Wurm

Ein Wurm ist ein Schadprogramm, welches sich selbst reproduziert (ohne andere Dateien oder den Bootsektor einzubeziehen wie bei einem Virus). Die Intention ist wie bei einem Virus - Schaden anrichten.

Ransomware

Der Begriff Ransomware setzt sich aus Ransom (Lösegeld) und Ware (kurz für Software) zusammen. Diese Software verschlüsselt die Daten auf fremden Systemen oder blockiert den Zugang zu den Daten. Damit soll eine Lösegeldzahlung erzwungen werden.

DDoS

Mithilfe einer Distributet-Denial-of-Service attack (DDoS-attack) soll ein Internetdienst so ausgelastet werden, dass er nicht mehr ansprechbar ist. Das wird mit einer hohen Anzahl von Anfragen aus verschiedenen Quellen erreicht. Die verschiedenen Quellen sorgen dafür, dass der Dienst nicht durch Blockieren einer Quelle den Angriff stoppen kann. DDoS-Angriffe werden oft durch Botnetze durchgeführt (siehe unten)

Botnetze

Ein Botnetz entsteht durch die Installation eines Schadprogramms auf vielen Rechnern (ohne Kenntnis der Inhaber) und Vernetzung dieser Rechner im Hintergrund. Dadurch kann zentral der Befehl eines Angriffs gegeben werden und von unzähligen Rechnern parallel ausgeführt werden (beispielsweise beim DDoS-Angriff)

APT-Angriffe

'Advanced Persistent Threats'-Angriffe unterscheiden sich von den herkömmlichen Schadprogrammen, da es eine geplante und intensiv vorbereitete Aktion mit verschiedenen Methoden ist, um die IT-Infrastruktur einer Firma oder Behörde zu kompromittieren. Bei dieser Aktion können alle oben genannten Formen und Methoden eingesetzt werden, um das Ziel zu erreichen.

Maßnahmen gegen Gefährdung der IT-Sicherheit

Abwehrmaßnahmen

Liste zu jeder Gefährdung drei wesentliche Abwehrmaßnahmen auf.

Vermeidung von Phishing

1)

Aktuellen Virenscanner mit Phishing-Warnung installieren und aktuell halten.

2)

Niemals TANs oder Kennwörter aufgrund einer E-Mail bzw. einem E-Mail-Link eingeben

3)

Mangelnde Rechtschreibung und allgemeine Ansprachen (wie 'sehr geehrte Damen und Herren')Können auf einen Phishing-Versuch hindeuten

Verhalten bei einer Ransomware-Gefährdung

1)

Sofort alle Netzwerkverbindungen lösen

2)

Keine Anmeldungen mehr am System mit Administrator- oder erweiterten Rechten.

3)

Backups auf Infizierung (Verschlüsselung) prüfen und falls nicht infiziert das System komplett neu aufsetzen und die Backups zurückspielen

Vermeidung von DDoS

1)

Alle Netzwerkkomponenten (Router etc.) und auch Geräte (IoT - Internet of things) sollten mit sicheren Passworten versehen werden, unbenutzte Ports sollten geschlossen werden.

2)

Deaktivieren des Universal Plug and Play UPnP im IP-basierten Netzwerk.

3)

Bereitstellen einer alternativen statischen Webseite, auf die während des Angriffs umgeleitet wird. Damit können Kunden trotz des Angriffs über Kontaktmöglichkeiten (wie Telefon) informiert werden.

IT-Grundschutz

IT-Grundschutz

Definiere die folgenden Begriffe im Zusammenhang mit dem IT-Grundschutz!

Was ist das BSI?

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist eine Bundesbehörde, die die IT-Sicherheit in Staat, Wirtschaft und Gesellschaft fördern und gewährleisten will.

Was versteht man unter IT-Grundschutz?

Der IT-Grundschutz ist eine Methodik, die die Informationssicherheit in Behörden und Unternehmen erhöhen soll. Der IT-Grundschutz gilt als Maßstab für Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS). Der IT-Grundschutz ist kompatibel zur ISO-27001-Norm.

Was ist eine Sicherheitsleitlinie im Vergleich zu einem Sicherheitskonzept?

Die Sicherheitsleitlinie ist ein wichtiges Grundsatzdokument der Leitung zu dem Stellenwert, den verbindlichen Prinzipien und dem anzustrebenden Niveau der Informationssicherheit in einer Institution. Das Sicherheitskonzept hingegen beschreibt die konkreten Maßnahmen, mit denen die Leitlinie umgesetzt werden kann.

Schritte der Standard-Absicherung

Im Rahmen des IT-Grundschutzes wird ein Sicherheitskonzept (Standard-Absicherung) vom BSI vorgeschlagen.
Bringe die Schritte in die richtige Reihenfolge:

?	Schritt	Wähle
a		Aufrechterhaltung und kontinuierliche VerbesserungSchutzbedarfsfeststellungRealisierung der MaßnahmenAuswahl der SicherheitsanforderungenAnalyze des IT-Zustandes
b		Aufrechterhaltung und kontinuierliche VerbesserungSchutzbedarfsfeststellungAnalyze des IT-ZustandesRealisierung der MaßnahmenAuswahl der Sicherheitsanforderungen
c		Analyze des IT-ZustandesAuswahl der SicherheitsanforderungenSchutzbedarfsfeststellungAufrechterhaltung und kontinuierliche VerbesserungRealisierung der Maßnahmen
d		Aufrechterhaltung und kontinuierliche VerbesserungAuswahl der SicherheitsanforderungenSchutzbedarfsfeststellungRealisierung der MaßnahmenAnalyze des IT-Zustandes
e		Aufrechterhaltung und kontinuierliche VerbesserungAnalyze des IT-ZustandesSchutzbedarfsfeststellungAuswahl der SicherheitsanforderungenRealisierung der Maßnahmen

Informationssicherheitsbeauftragter

Welche Aufgaben hat ein Informationssicherheitsbeauftragter?

Konfiguration der Sicherheitstechnik in der Firma

Falsch.

Koordination der Entwicklung eines Sicherheitskonzeptes

Richtig.

Berichte an die Geschäftsleitung über den aktuellen Stand der Informationssicherheit

Richtig.

Fragen der Presse oder interessierter Bürger zum Stand der Informationssicherheit beantworten

Auf gar keinen Fall!

Leitung des Einkaufs der Software zur Abwehr von Schadprogrammen.

Falsch.

Schutzbedarfsfeststellung

Definition Schutzbedarfsstellung

Definiere die folgenden Begriffe in Bezug auf die Schutzbedarfsfeststellung

Vertraulichkeit

Vertrauliche Informationen dürfen nicht unberechtigt zur Kenntnis genommen oder weitergegeben werden.

Integrität

Die Korrektheit der Systeme und Informationen muss gegeben sein.

Verfügbarkeit

Autorisierte Benutzer oder Systeme müssen Zugang zu den Informationen/Systemen haben.

Schutzbedarfe

Schutzbedarf: Entwickler-PC mit Software zur Anwendungsentwicklung

Welcher Schutzbedarf ist angebracht und warum?

Hinweis:

• normal: Die Schadensauswirkungen sind begrenzt und überschaubar.
• hoch: Die Schadensauswirkungen können beträchtlich sein.
• sehr hoch: existenziell bedrohliches, katastrophales Ausmaß erreichen.

Vertraulichkeit

hoch bis sehr hoch

Begründung:
Quellcode von Software darf nicht an die Konkurrenz oder potenzielle Angreifer weitergegeben werden (hoher wirtschaftlicher Schaden)

Integrität

hoch

Begründung:
Quellcodes und Entwicklungstools müssen fehlerfrei gespeichert sein, ansonsten können inkorrekte Anwendungen bei den Kunden zu Schäden führen.

Verfügbarkeit

normal

Begründung:
In der Regel können die Entwickler eine gewisse Zeit ohne Zugriff kompensieren.

Schutzbedarf: Internet-Router

Vertraulichkeit

hoch

Begründung:
Es werden vertrauliche Informationen über die Internet-Anbindung übertragen, wenn ein Kunde keine verschlüsselte Kommunikation unterstützt.

Integrität

normal

Begründung:
Fehlerhafte Daten können in der Regel erkannt werden.

Verfügbarkeit

normal

Begründung:
Ein Ausfall der Internet-Verbindung kann eine gewisse Zeit toleriert werden.

IT-Sicherheitsgesetz

IT-Sicherheitsgesetz

Beschreibe kurz das IT-Sicherheitsgesetzt.

Beschreibung ansehen

Das IT-Sicherheitsgesetz soll einen Beitrag dazu leisten, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten der Welt zu machen. Dabei hat es vor allem die IT-Systeme der kritischen Infrastrukturen im Blick. Zu den kritischen Infrastrukturen gehören die Sektoren deren Dienstleistung zur Versorgung der Allgemeinheit dient und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen könnte.

Nenne Sektoren der kritischen Infrastruktur

Sektoren

Sektor Transport und Verkehr, Sektor Finanz- und Versicherungswesen, Sektor Gesundheit, Sektor Informationstechnik und Telekommunikation, Sektor Ernährung, Sektor Wasser, Sektor Energie

Ablaufplan der Meldung einer IT-Störung

Wo müssen die Vorfälle eingeordnet werden?

Vorfall	a) oder b)?	Wähle
unbekannte Schadprogramme		ab
Spam		ba
Hardwarefehler		ab
unbekannte Sicherheitslücke		ab
ungezieltes Phishing		ba
Spear-Phishing		ab
Festplattenausfall		ab
außergewöhnliche technische Defekte		ab

Überblick IT-Sicherheit

Mindmap IT-Sicherheit

Ergänze die Mindmap:

• Informationssicherheitsmanagement
• DIN ISO / IEC 27001
• BSI
• Gesetze
• Schutzbedarfsfeststellung
• DSGVO/BDSG
• Strukturanalyse
• Auftragsdatenverarbeitung
• IT-Grundschutz
• KRITIS
• Sicherheitskonzept
• IT-Sicherheitsgesetz
• Industrielle Steuerungs- und Automatisierungssysteme (ICS)-Security

---

---

Muster-Lösung

Verschlüsselungsverfahren

Definition Verschlüsselungsverfahren

Es gibt symmetrische und asymmetrische Verschlüsselung. Erläutere die beiden Verfahren kurz.

Symmetrische Verschlüsselung

Für die symmetrische Ver- und Entschlüsselung ist es wichtig, dass sowohl Sender als auch Empfänger denselben (geheimen) Schlüssel besitzen. Die Daten werden mit dem Schlüssel verschlüsselt und ebenfalls entschlüsselt. Das Verfahren ist sehr sicher, solange die Schlüssel wirklich nur den beiden Parteien bekannt sind.

Asymmetrische Verschlüsselung

Die asymmetrische Ver- und Entschlüsselung benutzt nicht nur einen (geheimen) Schlüssel, sondern einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel ist 'frei' verfügbar, der private Schlüssel muss hingegen geheim bleiben. Die Verschlüsselung erfolgt dann mit dem öffentlichen Schlüssel, die Entschlüsselung kann nur mit dem privaten Schlüssel erfolgen. Das Verfahren ist problematisch, wenn der öffentliche Schlüssel keinem Sender zuzuordnen ist. Deshalb sollte auch der öffentliche Schlüssel nur an die berechtigten Personen verteilt werden.

Verschlüsselungsverfahren

Entsprechen die folgenden Verschlüsselungsverfahren den heutigen Sicherheitsstandards?

Verfahren	Standard	Wähle
DES (Digital Encryption Standard)		jaeingeschränktnein
Triple-DES		neinjaeingeschränkt
AES (Advanced Encryption Standard)		neineingeschränktja
Blowfish		eingeschränktneinja
RSA-OAEP		janeineingeschränkt
Diffie-HEllmann		neineingeschränktja
MD5		eingeschränktjanein

OpenPGP

Erläutere den OpenPGP-Standard

Lösung anzeigen

OpenPGP ist ein offener Standard zur Ver- und Entschlüsselung von Daten (vor allem E-Mails), der auf dem PGP-Verfahren beruht. Es ist ein hybrides Verfahren und nutzt sowohl symmetrische als auch asymmetrische Verschlüsselung. Zusätzlich können über Zertifikate die Schlüssel eindeutig Personen oder Absendern zugeordnet werden. Damit erhöht sich die Sicherheit des Verfahrens.