Lernzettel zur Klausur
Diese Überblick-Seite ist als Lernzettel gedacht. Die Antworten sind bewusst konkret formuliert, damit du sie direkt zum Wiederholen und als Grundlage für Klausurformulierungen nutzen kannst.
Alle Punkte aus dem Erwartungshorizont
| Thema | Das musst du können |
|---|---|
| Starke Passwörter | Drei Kriterien nennen und erklären: Länge, Zeichenvorrat und Zufälligkeit. Formelidee: Anzahl möglicher Passwörter = Größe des Zeichenvorrats hoch Passwortlänge. |
| Symmetrische Verschlüsselung | Gleicher geheimer Schlüssel für Ver- und Entschlüsselung. Beispiel: AES. Einsatz: schnelle Verschlüsselung großer Datenmengen oder Kommunikation mit Session Key. Vorteil: schnell. Nachteil: Schlüssel muss sicher verteilt werden. |
| Asymmetrische Verschlüsselung | Öffentlicher Schlüssel und privater Schlüssel bilden ein Paar. Beispiel: RSA oder El-Gamal. Einsatz: Schlüsselaustausch, digitale Signaturen. Vorteil: kein vorheriger geheimer Schlüsselaustausch. Nachteil: langsam und nur praktisch sicher. |
| Funktionsweise grob | Symmetrisch: Sender und Empfänger nutzen denselben geheimen Schlüssel. Asymmetrisch: Mit dem öffentlichen Schlüssel wird verschlüsselt, nur der private Schlüssel entschlüsselt; Signaturen funktionieren umgekehrt zur Echtheitsprüfung. |
| Schlüssellängen | Symmetrische Verfahren gelten ab etwa 128 Bit als hinreichend sicher. RSA: 2048 Bit ist untere Grenze, 4096 Bit ist besser. |
| Theoretisch vs. praktisch sicher | Theoretisch sicher heißt grundsätzlich nicht knackbar, wenn Bedingungen erfüllt sind. Praktisch sicher heißt theoretisch angreifbar, aber mit verfügbaren Mitteln nicht in sinnvoller Zeit lösbar. |
| Nicht zu knacken | One-Time-Pad: unknackbar, wenn der Schlüssel geheim, zufällig, mindestens so lang wie die Nachricht und nur einmal verwendet wird. |
| BSI-Grundwerte | Vertraulichkeit, Integrität, Verfügbarkeit nennen, erklären und in Fällen zuordnen: Datenabfluss = Vertraulichkeit, Manipulation = Integrität, Ausfall = Verfügbarkeit. |
| Maßnahmen zuordnen | Vertraulichkeit: Verschlüsselung, Rechte, Kennwörter. Integrität: Hashing, Signaturen, Authentifizierung. Verfügbarkeit: Backups, Redundanz, Notfallkonzept. |
| Begriffe abgrenzen | Informationssicherheit schützt alle Informationswerte. IT-Sicherheit schützt IT-Infrastruktur. Datensicherheit schützt Daten allgemein. Datenschutz schützt personenbezogene Daten. |
| Management des Sicherheitsprozesses | Keine Einzelmaßnahmen, sondern ISMS: Verantwortliche benennen, Aufgaben verteilen, Risiken erfassen, Maßnahmen planen, umsetzen, prüfen und verbessern. |
| Typische Angriffe | Phishing, Man-in-the-Middle, Trojaner, Ransomware und DDoS kurz erklären können. Genauere technische Abläufe sind laut Horizont nicht nötig. |
| Strukturanalyse | Ziel: Informationsverbund erfassen, damit klar ist, was geschützt werden muss. Reihenfolge: Geschäftsprozesse, Anwendungen, Netzplan, IT-Systeme, Räume. |
| Schutzbedarfsfeststellung | In einer Fallsituation für Vertraulichkeit, Integrität und Verfügbarkeit Schutzbedarf normal, hoch oder sehr hoch festlegen und mit möglichen Schäden begründen. |
1. Verschlüsselung
Starke Passwörter
- Länge: Je länger ein Passwort ist, desto mehr Kombinationen müssen Angreifer ausprobieren.
- Zeichenvorrat: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen erhöhen die Anzahl möglicher Zeichen.
- Zufälligkeit: Keine Namen, Wörterbuchwörter oder Muster wie 123456, weil sonst Heuristiken helfen.
Symmetrische Verschlüsselung
Derselbe geheime Schlüssel wird zum Verschlüsseln und Entschlüsseln genutzt. Vorteil: schnell und gut für große Datenmengen. Nachteil: Der Schlüssel muss vorher sicher ausgetauscht werden. Einsatz: verschlüsselte Kommunikation mit Session Key. Beispiel: AES; historisch auch Cäsar/Vigenere als Prinzip.
Asymmetrische Verschlüsselung
Es gibt ein Schlüsselpaar: Der öffentliche Schlüssel darf bekannt sein, der private Schlüssel bleibt geheim. Vorteil: kein vorheriger geheimer Schlüsselaustausch nötig, außerdem digitale Signaturen möglich. Nachteil: langsamer und nur praktisch sicher. Beispiele: RSA und El-Gamal.
RSA kurz erklärt
RSA beruht darauf, dass das Zerlegen großer Zahlen in Primfaktoren praktisch sehr schwer ist. Typische Schlüssellängen: 2048 Bit als untere Grenze, besser 4096 Bit. In der Praxis wird RSA oft nur genutzt, um einen symmetrischen Session Key zu übertragen.
One-Time-Pad und Sicherheit
Das One-Time-Pad ist nicht zu knacken, wenn der Schlüssel geheim, zufällig, mindestens so lang wie die Nachricht und nur einmal verwendet wird. Es ist theoretisch sicher. RSA ist dagegen praktisch sicher: Es könnte theoretisch gebrochen werden, ist aber mit heutigen Mitteln bei ausreichender Schlüssellänge nicht in sinnvoller Zeit zu knacken.
2. IT-Grundschutz des BSI
Drei Grundwerte
- Vertraulichkeit: Informationen dürfen nicht an Unbefugte gelangen. Beispielmaßnahme: Verschlüsselung oder Rechtekonzept.
- Integrität: Daten und Systeme müssen korrekt bleiben; Manipulation soll erkannt werden. Beispielmaßnahme: Hashwerte, Signaturen, Authentifizierung.
- Verfügbarkeit: Systeme und Daten müssen nutzbar sein, wenn sie benötigt werden. Beispielmaßnahme: Backups, Redundanz, Ausfallschutz.
Begriffe abgrenzen
Informationssicherheit schützt alle Informationswerte, auch analoge Informationen. IT-Sicherheit schützt technische Infrastruktur wie Server, Clients und Netze. Datensicherheit schützt Daten allgemein vor Verlust, Manipulation und Diebstahl. Datenschutz schützt personenbezogene Daten.
Warum ISMS?
Das BSI empfiehlt ein Informationssicherheits-Managementsystem statt einzelner Zufallsmaßnahmen. Ein ISMS legt Verantwortliche fest, verteilt Aufgaben, bewertet Risiken systematisch und sorgt dafür, dass Maßnahmen geplant, umgesetzt, kontrolliert und verbessert werden.
Maßnahmen zuordnen
Vertraulichkeit: Verschlüsselung, Zugriffsbeschränkung, Kennwörter. Integrität: Hashing, digitale Signaturen, Identifizierung und Authentifizierung. Verfügbarkeit: Backups, Redundanz, Beseitigung von Single Points of Failure.
3. Typische Angriffe
Gefälschte E-Mails oder Webseiten sollen Nutzer zur Preisgabe vertraulicher Daten bringen.
Ein Angreifer schaltet sich zwischen Kommunikationspartner und kann Nachrichten mitlesen oder verändern.
Ein Programm tarnt sich als nützlich, führt aber heimlich unerwünschte Schadfunktionen aus.
Schadsoftware verschlüsselt Daten und fordert Lösegeld für die Freigabe.
Viele Anfragen überlasten ein System, sodass es nicht mehr verfügbar ist.
Alle möglichen Passwörter oder Schlüssel werden systematisch ausprobiert.
4. Strukturanalyse
Die Strukturanalyse beantwortet die Frage, was geschützt werden muss. Die Reihenfolge ist wichtig:
- Geschäftsprozesse erheben: wichtige Abläufe und verarbeitete Informationen erfassen.
- Anwendungen erheben: Software und Dienste mit Nutzern und Verantwortlichen dokumentieren.
- Netzplan erheben oder planen: IT-Systeme, Verbindungen und Außenanbindungen darstellen.
- Einzelne IT-Systeme erheben: Clients, Server, Router, Firewalls, Laptops usw. erfassen.
- Räume erheben: Standorte, Serverräume, Büros und relevante Umgebungen dokumentieren.
5. Schutzbedarfsfeststellung
Schutzkategorien
Der Schutzbedarf ergibt sich aus den Schäden, die bei Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können.
- Normal: Schäden sind begrenzt und überschaubar.
- Hoch: Schäden können beträchtlich sein.
- Sehr hoch: Schäden können existenziell bedrohlich oder katastrophal sein.
Schadenkategorien
- Finanzschäden: Umsatzverlust, Strafen, Wiederherstellungskosten.
- Juristische Verstöße: Gesetze oder Verträge werden verletzt.
- Operationelle Schäden: Aufgaben können nicht mehr erfüllt werden.
- Persönliche Schäden: Schäden an Personen oder informationeller Selbstbestimmung.
- Imageschäden: Vertrauensverlust und Ansehensschäden.
Vererbung des Schutzbedarfs
Schutzbedarf wird von Geschäftsprozessen auf Anwendungen, von Anwendungen auf IT-Systeme und dann auf Räume und Kommunikationsverbindungen übertragen. Maximumprinzip: Der höchste Schutzbedarf wird übernommen. Abhängigkeiten: Wenn eine Anwendung von einer anderen abhängt, kann sich der Schutzbedarf übertragen. Kumulation: Mehrere normale Anwendungen auf einem System können zusammen höheren Schutzbedarf ergeben. Verteilung: Der Schutzbedarf kann sinken, wenn ein System nur unwichtige Teile einer verteilten Anwendung ausführt.
Musterantwort Finanzbuchhaltung
Bei Clients in der Finanzbuchhaltung ist Vertraulichkeit oft sehr hoch, weil Finanzdaten besonders sensibel sind. Integrität ist mindestens hoch, weil manipulierte Buchungsdaten zu falschen Zahlungen, Betrug oder rechtlichen Problemen führen können. Verfügbarkeit ist normal, wenn kurze Ausfälle verkraftbar sind; sie wäre höher, wenn Zahlungs- oder Abschlussprozesse zeitkritisch sind.
6. Prüfungsstrategie
Karteikarten
Klicke auf die Karte, um die Antwort umzudrehen.
Multiple-Choice-Quiz
Zuordnungsübungen
Ordne Maßnahmen und Beispiele dem passenden Schutzziel oder Begriff zu.
Fallübung Schutzbedarf
Situation: Clients in der Finanzbuchhaltung nutzen Office, E-Mail, Terminkalender, Browser und Finanzbuchhaltung. Bestimme den Schutzbedarf des IT-Systems.
| Anwendung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|
| Office Suite | normal | normal | normal |
| E-Mail Client | hoch | hoch | normal |
| Terminkalender | hoch | normal | normal |
| Browser | hoch | hoch | normal |
| Finanzbuchhaltung | sehr hoch | hoch | normal |
Deine Begründung
Musterlösung
Vertraulichkeit: sehr hoch. Nach Maximumprinzip wird der höchste Wert der genutzten Anwendungen übernommen; die Finanzbuchhaltung hat sehr hohen Schutzbedarf.
Integrität: hoch. Mehrere Anwendungen haben hohen Integritätsbedarf. Manipulierte Finanz- oder E-Mail-Daten können zu falschen Entscheidungen, Betrug oder rechtlichen Problemen führen.
Verfügbarkeit: normal. Alle Einzelanwendungen sind mit normal bewertet. Ein höherer Wert wäre nur zu begründen, wenn Ausfallzeiten die Arbeitsfähigkeit wesentlich oder existenzbedrohend beeinträchtigen.
Kumulation: Wenn sehr viele normale oder hohe Anwendungen auf denselben Clients zusammenlaufen, kann der Gesamtschaden steigen. Verteilung: Eine Senkung wäre nur plausibel, wenn eine kritische Anwendung auf mehrere Systeme verteilt ist und der einzelne Client nur unwichtige Teile ausführt.
Prüfungsmodus
Beantworte diese Aufgaben schriftlich. Danach kannst du die Erwartung prüfen.
