learn

SDM LF4 Klausur Lern-App

SDM LF4 Klausur Lern-App

Schutzbedarfsanalyse, Kryptographie und IT-Grundschutz
0 richtige Antworten gesammelt

Lernzettel zur Klausur

Diese Überblick-Seite ist als Lernzettel gedacht. Die Antworten sind bewusst konkret formuliert, damit du sie direkt zum Wiederholen und als Grundlage für Klausurformulierungen nutzen kannst.

Alle Punkte aus dem Erwartungshorizont

ThemaDas musst du können
Starke Passwörter Drei Kriterien nennen und erklären: Länge, Zeichenvorrat und Zufälligkeit. Formelidee: Anzahl möglicher Passwörter = Größe des Zeichenvorrats hoch Passwortlänge.
Symmetrische Verschlüsselung Gleicher geheimer Schlüssel für Ver- und Entschlüsselung. Beispiel: AES. Einsatz: schnelle Verschlüsselung großer Datenmengen oder Kommunikation mit Session Key. Vorteil: schnell. Nachteil: Schlüssel muss sicher verteilt werden.
Asymmetrische Verschlüsselung Öffentlicher Schlüssel und privater Schlüssel bilden ein Paar. Beispiel: RSA oder El-Gamal. Einsatz: Schlüsselaustausch, digitale Signaturen. Vorteil: kein vorheriger geheimer Schlüsselaustausch. Nachteil: langsam und nur praktisch sicher.
Funktionsweise grob Symmetrisch: Sender und Empfänger nutzen denselben geheimen Schlüssel. Asymmetrisch: Mit dem öffentlichen Schlüssel wird verschlüsselt, nur der private Schlüssel entschlüsselt; Signaturen funktionieren umgekehrt zur Echtheitsprüfung.
Schlüssellängen Symmetrische Verfahren gelten ab etwa 128 Bit als hinreichend sicher. RSA: 2048 Bit ist untere Grenze, 4096 Bit ist besser.
Theoretisch vs. praktisch sicher Theoretisch sicher heißt grundsätzlich nicht knackbar, wenn Bedingungen erfüllt sind. Praktisch sicher heißt theoretisch angreifbar, aber mit verfügbaren Mitteln nicht in sinnvoller Zeit lösbar.
Nicht zu knacken One-Time-Pad: unknackbar, wenn der Schlüssel geheim, zufällig, mindestens so lang wie die Nachricht und nur einmal verwendet wird.
BSI-Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit nennen, erklären und in Fällen zuordnen: Datenabfluss = Vertraulichkeit, Manipulation = Integrität, Ausfall = Verfügbarkeit.
Maßnahmen zuordnen Vertraulichkeit: Verschlüsselung, Rechte, Kennwörter. Integrität: Hashing, Signaturen, Authentifizierung. Verfügbarkeit: Backups, Redundanz, Notfallkonzept.
Begriffe abgrenzen Informationssicherheit schützt alle Informationswerte. IT-Sicherheit schützt IT-Infrastruktur. Datensicherheit schützt Daten allgemein. Datenschutz schützt personenbezogene Daten.
Management des Sicherheitsprozesses Keine Einzelmaßnahmen, sondern ISMS: Verantwortliche benennen, Aufgaben verteilen, Risiken erfassen, Maßnahmen planen, umsetzen, prüfen und verbessern.
Typische Angriffe Phishing, Man-in-the-Middle, Trojaner, Ransomware und DDoS kurz erklären können. Genauere technische Abläufe sind laut Horizont nicht nötig.
Strukturanalyse Ziel: Informationsverbund erfassen, damit klar ist, was geschützt werden muss. Reihenfolge: Geschäftsprozesse, Anwendungen, Netzplan, IT-Systeme, Räume.
Schutzbedarfsfeststellung In einer Fallsituation für Vertraulichkeit, Integrität und Verfügbarkeit Schutzbedarf normal, hoch oder sehr hoch festlegen und mit möglichen Schäden begründen.

1. Verschlüsselung

Starke Passwörter

  • Länge: Je länger ein Passwort ist, desto mehr Kombinationen müssen Angreifer ausprobieren.
  • Zeichenvorrat: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen erhöhen die Anzahl möglicher Zeichen.
  • Zufälligkeit: Keine Namen, Wörterbuchwörter oder Muster wie 123456, weil sonst Heuristiken helfen.

Symmetrische Verschlüsselung

Derselbe geheime Schlüssel wird zum Verschlüsseln und Entschlüsseln genutzt. Vorteil: schnell und gut für große Datenmengen. Nachteil: Der Schlüssel muss vorher sicher ausgetauscht werden. Einsatz: verschlüsselte Kommunikation mit Session Key. Beispiel: AES; historisch auch Cäsar/Vigenere als Prinzip.

Asymmetrische Verschlüsselung

Es gibt ein Schlüsselpaar: Der öffentliche Schlüssel darf bekannt sein, der private Schlüssel bleibt geheim. Vorteil: kein vorheriger geheimer Schlüsselaustausch nötig, außerdem digitale Signaturen möglich. Nachteil: langsamer und nur praktisch sicher. Beispiele: RSA und El-Gamal.

RSA kurz erklärt

RSA beruht darauf, dass das Zerlegen großer Zahlen in Primfaktoren praktisch sehr schwer ist. Typische Schlüssellängen: 2048 Bit als untere Grenze, besser 4096 Bit. In der Praxis wird RSA oft nur genutzt, um einen symmetrischen Session Key zu übertragen.

One-Time-Pad und Sicherheit

Das One-Time-Pad ist nicht zu knacken, wenn der Schlüssel geheim, zufällig, mindestens so lang wie die Nachricht und nur einmal verwendet wird. Es ist theoretisch sicher. RSA ist dagegen praktisch sicher: Es könnte theoretisch gebrochen werden, ist aber mit heutigen Mitteln bei ausreichender Schlüssellänge nicht in sinnvoller Zeit zu knacken.

2. IT-Grundschutz des BSI

Drei Grundwerte

  • Vertraulichkeit: Informationen dürfen nicht an Unbefugte gelangen. Beispielmaßnahme: Verschlüsselung oder Rechtekonzept.
  • Integrität: Daten und Systeme müssen korrekt bleiben; Manipulation soll erkannt werden. Beispielmaßnahme: Hashwerte, Signaturen, Authentifizierung.
  • Verfügbarkeit: Systeme und Daten müssen nutzbar sein, wenn sie benötigt werden. Beispielmaßnahme: Backups, Redundanz, Ausfallschutz.

Begriffe abgrenzen

Informationssicherheit schützt alle Informationswerte, auch analoge Informationen. IT-Sicherheit schützt technische Infrastruktur wie Server, Clients und Netze. Datensicherheit schützt Daten allgemein vor Verlust, Manipulation und Diebstahl. Datenschutz schützt personenbezogene Daten.

Warum ISMS?

Das BSI empfiehlt ein Informationssicherheits-Managementsystem statt einzelner Zufallsmaßnahmen. Ein ISMS legt Verantwortliche fest, verteilt Aufgaben, bewertet Risiken systematisch und sorgt dafür, dass Maßnahmen geplant, umgesetzt, kontrolliert und verbessert werden.

Maßnahmen zuordnen

Vertraulichkeit: Verschlüsselung, Zugriffsbeschränkung, Kennwörter. Integrität: Hashing, digitale Signaturen, Identifizierung und Authentifizierung. Verfügbarkeit: Backups, Redundanz, Beseitigung von Single Points of Failure.

3. Typische Angriffe

Phishing

Gefälschte E-Mails oder Webseiten sollen Nutzer zur Preisgabe vertraulicher Daten bringen.

Man-in-the-Middle

Ein Angreifer schaltet sich zwischen Kommunikationspartner und kann Nachrichten mitlesen oder verändern.

Trojaner

Ein Programm tarnt sich als nützlich, führt aber heimlich unerwünschte Schadfunktionen aus.

Ransomware

Schadsoftware verschlüsselt Daten und fordert Lösegeld für die Freigabe.

DDoS

Viele Anfragen überlasten ein System, sodass es nicht mehr verfügbar ist.

Brute Force

Alle möglichen Passwörter oder Schlüssel werden systematisch ausprobiert.

4. Strukturanalyse

Die Strukturanalyse beantwortet die Frage, was geschützt werden muss. Die Reihenfolge ist wichtig:

  1. Geschäftsprozesse erheben: wichtige Abläufe und verarbeitete Informationen erfassen.
  2. Anwendungen erheben: Software und Dienste mit Nutzern und Verantwortlichen dokumentieren.
  3. Netzplan erheben oder planen: IT-Systeme, Verbindungen und Außenanbindungen darstellen.
  4. Einzelne IT-Systeme erheben: Clients, Server, Router, Firewalls, Laptops usw. erfassen.
  5. Räume erheben: Standorte, Serverräume, Büros und relevante Umgebungen dokumentieren.

5. Schutzbedarfsfeststellung

Schutzkategorien

Der Schutzbedarf ergibt sich aus den Schäden, die bei Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können.

  • Normal: Schäden sind begrenzt und überschaubar.
  • Hoch: Schäden können beträchtlich sein.
  • Sehr hoch: Schäden können existenziell bedrohlich oder katastrophal sein.

Schadenkategorien

  • Finanzschäden: Umsatzverlust, Strafen, Wiederherstellungskosten.
  • Juristische Verstöße: Gesetze oder Verträge werden verletzt.
  • Operationelle Schäden: Aufgaben können nicht mehr erfüllt werden.
  • Persönliche Schäden: Schäden an Personen oder informationeller Selbstbestimmung.
  • Imageschäden: Vertrauensverlust und Ansehensschäden.
Vererbung des Schutzbedarfs

Schutzbedarf wird von Geschäftsprozessen auf Anwendungen, von Anwendungen auf IT-Systeme und dann auf Räume und Kommunikationsverbindungen übertragen. Maximumprinzip: Der höchste Schutzbedarf wird übernommen. Abhängigkeiten: Wenn eine Anwendung von einer anderen abhängt, kann sich der Schutzbedarf übertragen. Kumulation: Mehrere normale Anwendungen auf einem System können zusammen höheren Schutzbedarf ergeben. Verteilung: Der Schutzbedarf kann sinken, wenn ein System nur unwichtige Teile einer verteilten Anwendung ausführt.

Musterantwort Finanzbuchhaltung

Bei Clients in der Finanzbuchhaltung ist Vertraulichkeit oft sehr hoch, weil Finanzdaten besonders sensibel sind. Integrität ist mindestens hoch, weil manipulierte Buchungsdaten zu falschen Zahlungen, Betrug oder rechtlichen Problemen führen können. Verfügbarkeit ist normal, wenn kurze Ausfälle verkraftbar sind; sie wäre höher, wenn Zahlungs- oder Abschlussprozesse zeitkritisch sind.

6. Prüfungsstrategie

Bei Begriffen: erst definieren, dann ein Beispiel oder eine Maßnahme nennen.
Bei Schutzzielen: fragen, ob Daten geheim bleiben, korrekt bleiben oder verfügbar bleiben müssen.
Bei Schutzbedarf: immer Schadenfolge nennen und daraus normal, hoch oder sehr hoch begründen.
Bei Verschlüsselung: Verfahren, Schlüsselprinzip, Einsatzbereich, Vorteil und Nachteil nennen.

Karteikarten

Klicke auf die Karte, um die Antwort umzudrehen.

Multiple-Choice-Quiz

Zuordnungsübungen

Ordne Maßnahmen und Beispiele dem passenden Schutzziel oder Begriff zu.

Fallübung Schutzbedarf

Situation: Clients in der Finanzbuchhaltung nutzen Office, E-Mail, Terminkalender, Browser und Finanzbuchhaltung. Bestimme den Schutzbedarf des IT-Systems.

AnwendungVertraulichkeitIntegritätVerfügbarkeit
Office Suitenormalnormalnormal
E-Mail Clienthochhochnormal
Terminkalenderhochnormalnormal
Browserhochhochnormal
Finanzbuchhaltungsehr hochhochnormal

Deine Begründung

Prüfungsmodus

Beantworte diese Aufgaben schriftlich. Danach kannst du die Erwartung prüfen.