IT Sicherheit Fragen und Antworten | PDF

IT Sicherheit Kapitel 3 Reflexionsfragen: Wodurch unterscheiden Datenschutz und IT Sicherheit? Datenschutz und IT-Sicherheit sind zwei eng miteinander verbundene, aber unter- schiedliche Konzepte. Datenschutz bezieht sich auf den Schutz personenbezogener Daten vor unbefugtem Zugriff, Missbrauch und Verlust, wobei der Fokus auf der Wahrung der Rechte von Individuen in Bezug auf ihre persönlichen Daten liegt. IT- Sicherheit hingegen umfasst den Schutz von IT-Systemen, Netzwerken und Daten vor einer Vielzahl von Bedrohungen, einschließlich unbefugtem Zugriff, Angriffe und Ausfälle, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Welche Norm behandelt die Gemeinsamkeiten von Datenschutz und Datensicherheit?  Gemeinsamkeit Art. 32 DSGVO Eine Kurzzusammefassung: Verantwortliche und Auftragsverarbeiter müssen unter Berücksichtigung von Technikstand, Kosten, Verarbeitungszweck und Risikopoten- zial geeignete Maßnahmen ergreifen, um ein angemessenes Schutzniveau für per- sonenbezogene Daten zu gewährleisten. Dazu gehören unter anderem Pseudony- misierung, Verschlüsselung, die Sicherstellung von Vertraulichkeit, Integrität, Ver- fügbarkeit sowie regelmäßige Überprüfung und Bewertung der Sicherheitsmaß- nahmen. ······················································································································ 76 IT Sicherheit Kapitel 4 Reflexionsfragen: Nennen Sie die 3 Sicherheitsziele des IT Managements? Die drei zentralen Sicherheitsziele des IT-Managements sind Vertraulichkeit, Integ- rität und Verfügbarkeit. Vertraulichkeit stellt sicher, dass sensible Informationen nur von autorisierten Personen eingesehen oder genutzt werden können. Integrität gewährleistet, dass Daten und Systeme vor unbefugter Veränderung geschützt sind und zuverlässig bleiben. Verfügbarkeit bedeutet, dass Systeme, Anwendungen und Daten jederzeit für berechtigte Nutzer zugänglich sind. Diese Sicherheitsziele bilden die Grundlage für den Schutz von IT-Ressourcen und die Minimierung von Risiken im Unternehmen. ······················································································································ 77 IT Sicherheit Kapitel 5 - Reflexionsfragen: Was wird mit dem PDCA Modell beschrieben? Managementsysteme verbinden verschiedene Methoden und Werkzeuge, um de- finierte Aufgaben des Managements sowie spezifische Anforderungen an Prozesse effizient zu erfüllen. Diese Systeme bieten eine strukturierte Grundlage, um Pro- zesse zu steuern und Unternehmensziele zu erreichen. Bei der Planung, Einführung, Umsetzung, dem Betrieb sowie der Überwachung und Verbesserung eines Mana- gementsystems orientieren sich viele Standards an dem bewährten PDCA-Modell (Plan-Do-Check-Act). Dieses Modell fördert einen kontinuierlichen Verbesserungs- prozess, indem es die schrittweise Planung, Umsetzung, Überprüfung und Anpas- sung von Maßnahmen ermöglicht. Die Planungsphase legt dabei Ziele und Vorge- hensweisen fest, während die Umsetzungsphase die geplanten Maßnahmen aus- führt. In der Überprüfungsphase werden die Ergebnisse analysiert, um Abweichun- gen oder Verbesserungsmöglichkeiten zu identifizieren. Schließlich ermöglicht die Anpassungsphase, dass Prozesse optimiert und weiterentwickelt werden, um den Erfolg des Managementsystems langfristig sicherzustellen. Was ist das Ziel der IT Governance? Das Ziel der IT Governance ist es, sicherzustellen, dass die IT-Ressourcen eines Un- ternehmens effektiv und effizient eingesetzt werden, um die Geschäftsziele zu un- terstützen. Sie sorgt dafür, dass IT-Investitionen in Einklang mit den strategischen Zielen des Unternehmens stehen und die IT-Risiken angemessen gemanagt werden. IT Governance stellt auch sicher, dass gesetzliche und regulatorische Anforderun- gen eingehalten werden. Sie fördert die Transparenz und Verantwortlichkeit inner- halb der IT-Organisation, indem klare Prozesse und Zuständigkeiten definiert wer- den. Insgesamt trägt eine gute IT Governance dazu bei, den Wert der IT für das Unternehmen zu maximieren und gleichzeitig potenzielle Risiken zu minimieren. Was versteht man unter IT Compliance? IT Compliance bezeichnet die Einhaltung von rechtlichen, regulatorischen und un- ternehmensinternen Vorgaben, die für die Nutzung und Verwaltung von IT-Syste- men und -Daten gelten. Dies umfasst Vorschriften wie Datenschutzgesetze, IT-Si- cherheitsstandards sowie branchenspezifische Regelungen. Ziel der IT Compliance ist es, Risiken zu minimieren und sicherzustellen, dass das Unternehmen gesetzli- che Anforderungen erfüllt und gleichzeitig die Integrität und Vertraulichkeit von In- formationen gewahrt bleibt. Unternehmen müssen geeignete Maßnahmen ergrei- fen, um Compliance zu gewährleisten, wie regelmäßige Audits und die Schulung von Mitarbeitern. Eine fehlende oder unzureichende IT Compliance kann zu recht- lichen Konsequenzen, finanziellen Verlusten und Reputationsschäden führen. ······················································································································ 78 IT Sicherheit Was ist das Ziel von COBIT? Das Ziel von COBIT (Control Objectives for Information and Related Technologies) ist es, ein umfassendes Rahmenwerk zur Governance und zum Management von IT in Unternehmen bereitzustellen. Es unterstützt Organisationen dabei, ihre IT-Pro- zesse zu steuern, Risiken zu managen und den Wert der IT-Investitionen zu maxi- mieren. COBIT bietet eine strukturierte Methodik, die sicherstellt, dass IT-Aktivitä- ten mit den strategischen Unternehmenszielen in Einklang stehen. Ein weiteres Ziel ist die Verbesserung der Effizienz und Effektivität von IT-Prozessen durch klare Vor- gaben und Best Practices. COBIT trägt auch zur Einhaltung gesetzlicher Vorschriften und zur Sicherstellung von IT-Compliance bei. Was versteht man unter IT Controlling, IT Scorecard, KPIs? IT Controlling ist ein Instrument des Managements, das darauf abzielt, die IT-Akti- vitäten eines Unternehmens zu steuern, zu überwachen und zu optimieren, um si- cherzustellen, dass IT-Investitionen die gewünschten Geschäftsergebnisse erzielen. Es umfasst die Planung, Kontrolle und Analyse von IT-Kosten, Leistungen und Risi- ken, um den Wert der IT für das Unternehmen zu maximieren. Eine IT Scorecard ist ein strategisches Managementtool, das die Leistung der IT in Bezug auf festgelegte Ziele misst und visuell aufbereitet, um eine transparente Bewertung der IT-Strate- gie und -Ziele zu ermöglichen. Sie wird häufig zur Überwachung der IT-Performance und der Erreichung von Unternehmenszielen verwendet. KPIs (Key Performance In- dicators) sind messbare Kennzahlen, die zur Bewertung der Effektivität und Effizi- enz von IT-Prozessen dienen und dabei helfen, die Leistung der IT in Bereichen wie Kosten, Qualität und Kundenzufriedenheit zu bewerten. Durch die Kombination von IT Controlling, einer IT Scorecard und KPIs können Unternehmen ihre IT-Strate- gie besser steuern, die Ressourcennutzung optimieren und den Geschäftserfolg si- cherstellen. ······················································································································ 79 IT Sicherheit Kapitel 6 Reflexionsfragen: Skizzieren Sie in Kürze die Schritte der Strukturanalyse des BSI Grund- schutzes. 1. Bestimmung des Anwendungsbereichs (Scope): 2. Identifikation von Geschäftsprozessen und IT-Strukturelementen: 3. Erstellung eines IT-Strukturmodells: 4. Kategorisierung der Strukturelemente nach BSI-Grundschutz-Bausteinen: 5. Dokumentation der Strukturanalyse: Was ist die Schutzbedarfsfeststellung im Sinne des BSI IT-Grund- schutz? Die Schutzbedarfsfeststellung im Sinne des BSI IT-Grundschutz ist ein strukturierter Prozess, der die Basis für die Wahl der richtigen Sicherheitsmaßnahmen bildet. Sie hilft Organisationen, ihre Sicherheitsmaßnahmen effizient und zielgerichtet zu pla- nen und den Anforderungen der verschiedenen Schutzziele gerecht zu werden. Durch eine präzise Schutzbedarfsanalyse lassen sich die relevanten Risiken priori- sieren und geeignete Maßnahmen zur Absicherung der Informationen und Systeme ableiten. Welche 2 Hauptaspekte bei der Risikobewertung im Sinne des BSI Grundschutz werden betrachtet? 1. Wahrscheinlichkeit des Eintritts: - Hier wird beurteilt, wie wahrscheinlich es ist, dass ein bestimmtes Risiko oder eine Bedrohung tatsächlich eintritt. Faktoren wie die Häufigkeit von Angriffen, tech- nische Schwachstellen oder die Exposition gegenüber Bedrohungen werden be- rücksichtigt. 2. Auswirkungen im Schadensfall: ······················································································································ 80 IT Sicherheit - Es wird bewertet, wie schwerwiegend die Auswirkungen eines Vorfalls wären, wenn er eintreten würde. Dabei werden die Schutzziele und IT-Systeme berücksich- tigt. Die Auswirkungen können sich sowohl auf die finanziellen als auch auf rechtli- che und operationelle Aspekte der Organisation auswirken. Beschreiben Sie in Kürze ISO/IEC 27001. ISO/IEC 27001 ist eine internationale Norm für das Management von Informations- sicherheit, die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) definiert. Sie hilft Organisationen, Informationssicherheit systematisch zu managen und Risiken zu minimieren, indem sie klare Richtlinien und Prozesse für die Identifikation, Bewertung und Behandlung von Sicherheitsbedrohungen vor- gibt. Die Norm umfasst sowohl technische als auch organisatorische Maßnahmen und legt fest, dass Unternehmen kontinuierlich die Wirksamkeit ihrer Sicherheits- vorkehrungen überwachen und verbessern müssen. ISO/IEC 27001 ist weltweit an- erkannt und ermöglicht es Organisationen, ihre Sicherheitspraktiken zu standardi- sieren und Vertrauen bei Kunden, Partnern und Aufsichtsbehörden aufzubauen. Die Zertifizierung nach ISO/IEC 27001 zeigt, dass eine Organisation Informationssi- cherheit ernst nimmt und entsprechend internationaler Standards umsetzt. Beschreiben Sie in Kürze ISO/IEC 27002 ISO/IEC 27002 ist eine internationale Norm, die Leitlinien für die Umsetzung und Verwaltung von Informationssicherheitsmaßnahmen innerhalb eines Informations- sicherheits-Managementsystems (ISMS) bietet. Sie stellt eine Sammlung von Best Practices und Empfehlungen dar, die Unternehmen helfen, ihre IT-Sicherheitsricht- linien und -prozesse zu gestalten und zu optimieren. Die Norm deckt eine Vielzahl von Sicherheitsbereichen ab, darunter die physische Sicherheit, Zugriffskontrollen, Risikomanagement, Mitarbeiterschulungen und Notfallmanagement. ISO/IEC 27002 dient als ergänzende Ressource zur ISO/IEC 27001, indem sie detaillierte Empfehlungen für die praktische Umsetzung der Sicherheitsanforderungen bietet. Unternehmen, die diese Norm anwenden, können ihre Sicherheitsmaßnahmen ver- bessern und die Compliance mit verschiedenen regulatorischen Anforderungen si- cherstellen. ······················································································································ 81 IT Sicherheit Beschreiben Sie KRITIS und NIS2 in Kürze. KRITIS (kritische Infrastrukturen) bezeichnet in Deutschland Sektoren wie Energie, Wasser, Gesundheit und Verkehr, deren Ausfall schwerwiegende Auswirkungen auf die Gesellschaft und Wirtschaft hätte, und verpflichtet deren Betreiber zu erhöhten Sicherheitsmaßnahmen. Das IT-Sicherheitsgesetz regelt für KRITIS-Betreiber die An- forderungen an die IT-Sicherheit, insbesondere die Meldung von Sicherheitsvorfäl- len und die Umsetzung von Schutzmaßnahmen. Im Gegensatz dazu ist die NIS2- Richtlinie eine EU-weite Regelung, die ähnliche Anforderungen an Betreiber we- sentlicher und wichtiger Dienste in allen EU-Mitgliedstaaten stellt und die Cybersi- cherheit auf europäischer Ebene harmonisiert. NIS2 erweitert den Geltungsbereich von NIS und legt strengere Anforderungen an Risikomanagement, Sicherheitsmaß- nahmen und die Meldung von Vorfällen fest. Während KRITIS sich auf Deutschland konzentriert, zielt NIS2 darauf ab, die Cybersicherheit in der gesamten EU zu ver- bessern und sorgt für eine einheitliche Umsetzung in den Mitgliedsstaaten. ······················································································································ 82 IT Sicherheit Kapitel 7 Reflexionsfragen: Welche Haftungsfolgen gegen IT Sicherheitsvorgaben können entste- hen? Verstöße gegen IT-Sicherheitsvorgaben oder Datenschutzgesetze können zu Geld- bußen, Umsatzeinbußen und Vermögensschäden führen, wenn beispielsweise die DSGVO verletzt wird oder ein Sicherheitsvorfall den Geschäftsbetrieb beeinträch- tigt. Zusätzlich können Imageschäden und der Verlust von Kundenvertrauen auftre- ten, was langfristig die Unternehmensreputation schädigen kann. In schwerwiegen- den Fällen können auch Freiheitsstrafen für verantwortliche Personen und Kürzun- gen von Versicherungsleistungen die finanziellen und rechtlichen Folgen für ein Un- ternehmen verstärken. ······················································································································ 83 IT Sicherheit Kapitel 8 Reflexionsfragen: Nennen Sie Motive für Hacking, gerne auch an einem Beispiel Motive für Hacking können vielfältig sein und reichen von finanziellen Interessen bis hin zu politischen oder ideologischen Zielen. Einige typische Motive sind: 1. Finanzielle Bereicherung: Hacker greifen oft auf Daten zu, um persönliche Infor- mationen zu stehlen und Identitätsdiebstahl oder Betrug zu begehen. Ein Beispiel hierfür ist der Diebstahl von Kreditkarteninformationen oder das Eindringen in On- line-Banking-Systeme. 2. Politische oder ideologische Gründe: Hacktivisten hacken oft, um auf soziale oder politische Missstände aufmerksam zu machen oder um eine bestimmte politische Agenda zu unterstützen. Ein Beispiel wäre ein Angriff auf die Webseiten von Regie- rungen oder großen Unternehmen als Protest gegen deren Politik. 3. Spionage: Hacker können im Auftrag von Staaten oder Unternehmen Informati- onen stehlen, um einen wirtschaftlichen oder strategischen Vorteil zu erlangen. Ein bekanntes Beispiel ist die Cyberspionage, bei der Hacker in die Systeme von Unter- nehmen eindringen, um vertrauliche Forschungsergebnisse oder geistiges Eigen- tum zu stehlen. 4. Rache oder persönliche Konflikte: Manchmal sind Hacker motiviert, um sich an Einzelpersonen oder Organisationen zu rächen. Ein Beispiel könnte ein Insider-An- griff sein, bei dem ein ehemaliger Mitarbeiter in das Unternehmensnetzwerk ein- dringt, um vertrauliche Daten zu stehlen oder zu zerstören. 5. Herausforderung und Ruhm: Manche Hacker hacken aus reiner Neugierde oder um ihre technischen Fähigkeiten unter Beweis zu stellen. Ein Beispiel sind die soge- nannten "Black-Hat-Hacker", die ohne eine konkrete Agenda einfach Systeme an- greifen, um ihre Fähigkeiten zu testen und Anerkennung in der Hacker-Community zu erlangen. ······················································································································ 84 IT Sicherheit Warum ist Social Engineering gefährlich? Social Engineering ist gefährlich, weil es menschliche Schwächen ausnutzt, um Si- cherheitsbarrieren zu umgehen, anstatt technische Schwachstellen zu exploitieren. Angreifer setzen psychologische Manipulation ein, um Personen dazu zu bringen, vertrauliche Informationen preiszugeben oder Sicherheitsmaßnahmen zu umge- hen. Diese Art von Angriffen ist schwerer zu erkennen und zu verhindern, da sie auf das Vertrauen und die Gutgläubigkeit von Mitarbeitern oder Nutzern abzielen. Ein Beispiel ist das sogenannte Phishing, bei dem eine gefälschte E-Mail einen Mitar- beiter dazu verleitet, auf einen schadhaften Link zu klicken und so Schadsoftware oder Daten an den Angreifer weiterzugeben. Social Engineering kann selbst bei ei- ner starken technischen Sicherheitsinfrastruktur erfolgreich sein, da es die mensch- liche Komponente direkt anspricht und daher oft als Schwachstelle im Sicherheits- konzept genutzt wird. Die Folgen solcher Angriffe können zu schwerwiegenden Da- tenverlusten, finanziellen Schäden und Reputationsverlust für Unternehmen füh- ren. Wie könnten Ramsomware Angriffe verhindert werden? Ransomware kann durch eine Kombination aus technischen, organisatorischen und präventiven Maßnahmen verhindert werden. Hier sind einige effektive Ansätze: 1. Regelmäßige Software-Updates: Halten Sie alle Systeme, Anwendungen und Si- cherheitssoftware stets auf dem neuesten Stand, um bekannte Sicherheitslücken zu schließen, die von Ransomware ausgenutzt werden können. 2. Backups und Datenwiederherstellung: Erstellen Sie regelmäßige Backups wichti- ger Daten und speichern Sie diese an einem sicheren Ort, der vom Hauptnetzwerk getrennt ist. Dies ermöglicht eine schnelle Wiederherstellung im Falle eines An- griffs. 3. Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für Phishing-Angriffe und Social Engineering, da diese häufig der Einstiegspunkt für Ransomware-Infektionen sind. Achten Sie darauf, dass sie keine verdächtigen E- Mails öffnen oder Links in unbekannten Nachrichten klicken. ······················································································································ 85 IT Sicherheit 4. Einsatz von Anti-Ransomware-Software: Nutzen Sie spezielle Sicherheitssoft- ware, die Ransomware erkennt und blockiert, bevor sie Schaden anrichten kann. Diese Programme überwachen verdächtige Aktivitäten und können automatisiert Gegenmaßnahmen ergreifen. 5. Netzwerksegmentierung: Trennen Sie kritische Systeme und Daten von weniger wichtigen Bereichen des Netzwerks. So wird verhindert, dass Ransomware sich schnell im gesamten Unternehmen ausbreitet, falls ein Teil des Systems infiziert wird. 6. Zugangskontrollen und Rechteverwaltung: Setzen Sie strenge Zugriffskontrollen ein, sodass nur autorisierte Benutzer auf sensible Daten zugreifen können. Begren- zen Sie die Berechtigungen von Benutzern, um den potenziellen Schaden im Falle einer Infektion zu minimieren. Durch die Kombination dieser präventiven Maßnahmen können Unternehmen das Risiko eines Ransomware-Angriffs deutlich verringern und im Falle eines Vorfalls schneller reagieren. Was sind die Ziele des Pentrationtests? Der Penetrationstest hilft Unternehmen und Organisationen dabei, ihre IT-Sicher- heitslage zu bewerten und zu verbessern. Durch das Identifizieren und Schließen von Schwachstellen wird das Risiko von echten Cyberangriffen verringert. Penetrationstests sind eine wichtige Sicherheitsmaßnahme und sollten regelmäßig durchgeführt werden, insbesondere nach größeren Änderungen an der IT-Infra- struktur. ······················································································································ 86

IT Sicherheit Fragen und Antworten | PDF

Document Details

Tags

Related

Summary

Full Transcript