IT-Sicherheit2 - VL0&VL1

Beschreibung

Karteikarten am IT-Sicherheit2 - VL0&VL1, erstellt von B erry am 30/06/2024.
B erry
Karteikarten von B erry, aktualisiert vor 5 Monate
B erry
Erstellt von B erry vor 5 Monate
0
0

Zusammenfassung der Ressource

Frage Antworten
USB Rubber Ducky simuliert Tastatur -> umgeht typischen USB-Schutz lädt Schadsoftware über Internet & führt diese aus Resultat: Angreifer im Netz (Kontrolle über Rechner, hinter Firewall, Zugang von außen)
Bedeutung von IT-Sicherheit für ALLE Organisationen & Informatiker von Bedeutung Sicherheit eines Systems nur so gut wie der schwächste Teil
Fehler, die Sicherheit schwächen in Anwendungs- & Betriebsprogrammen Programmkonfigurationen, Netzwerkprotokollen, kryptographischen Algorithmen, Systemdesign, Hardware den Menschen, die diese Systeme benutzen
Internetkriminalität Cyberattacken sind die am schnellsten wachsende Kriminalität weltweit sie nehmen an Umfang, Raffinesse und Kosten zu
IT-Sicherheit beschäftigt sich vorrangig mit Schutz von Informationen auf IT-Systemen (elektronisch)
Informationssicherheit Schutz aller relevanten Informationen einer Organisation oder eines Unternehmens
Schutzziele Vertraulichkeit Integrität Verfügbarkeit außerdem: Authentizität Nicht-Abstreitbarkeit
Informationswerte befinden sich... ...auf Papier ...in Köpfen ...in IT-Systemen
Das Internet besteht aus... ...Geräten (Rechner, Smartphones, Sensoren, Autos...) ...Kommunikationsinfrastruktur (Intranet, (mobiles) Internet, Ad-hoc Netze, NFC...) ...Kommunikationspartnern (Geräte + Mensch)
Schwachstelle Schwäche eines Wertes oder einer Maßnahme, die von einer oder mehreren Bedrohungen ausgenutzt werden kann
Threat Agents (Gruppen von Angreifern) können... ...einen Angriffsvektor (Technik) verwenden, um Schwachstellen auszunutzen
Angriff Versuch, einen Vermögenswert zu zerstören, offenzulegen, zu verändern, zu deaktivieren, zu stehlen oder sich unbefugten Zugriff auf ihn zu verschaffen oder ihn unbefugt zu nutzen
Externe Angreifer Hacker/Cracker -> Geld verdienen (Phishing, Botnets, Ransom) Cyber-Terroristen -> kritische Infrastruktur Industriespionage -> Technik/Design Wirtschaftsspionage -> Auslandsnachrichtendienst
Interne Angreifer gewollt oder ungewollt Mitarbeiter, Geschäftspartner, Lieferanten
Weitere Angriffe Naturkatastrophen oder anderen physische Katastrophen
Schaden wird einer Sache zugefügt, sodass Wert, Nützlichkeit oder normale Funktion dieser gemindert oder zerstört wird
IT-Sicherheits-Risiken Verlust von Schutzzielen kann zu einem Schaden für das Unternehmen führen, dafür muss 1. eine Bedrohung auftreten 2. eine Schwachstelle existieren & ausgenutzt werden 3. die technischen und/oder geschäftlichen Schaden verursacht
Risiko Wahrscheinlichkeit, dass eine Bedrohung auf eine Schwachstelle trifft, kombiniert mit dem daraus resultierenden Schaden
Risikomanagement koordinierte Aktivität zur Steuerung & Kontrolle einer Organisation im Bezug auf Risiken 1. Risikoidentifizierung 2. Risikoanalyse 3. Risikobeurteilung 4. Risikobehandlung (Vermeidung, Abmilderung, Akzeptanz, Teilen)
Access Control Zutritt -> in den Raum Zugang -> an den PC Zugriff -> an die Dokumente
Häufige Versäumnisse 1. Unzureichende IT-Sicherheitsstrategie 2. Schlechte Konfiguration von IT-Systemen 3. Unsichere Vernetzung / Internet-Anbindung 4. Nichtbeachtung von Sicherheitsrichtlinien 5. Schlechte Wartung von IT-Systemen 6. Sorgloser Umgang mit Passwörtern 7. Einbrecher und Elementarschäden
Unzureichende IT-Sicherheitsstrategie 1. Sicherheit hat geringen Stellenwert 2. Prozesse zur Beibehaltung der Sicherheit fehlen 3. Sicherheitsrichtlinien nicht dokumentiert 4. Kontroll- und Aufklärungsmechanismen fehlen
Schlechte Konfiguration von IT-Systemen 1. Zugriffsrechte nicht restriktiv (einschränkend) genug 2. Sicherheitseinstellungen unzureichend genutzt
Unsichere Vernetzung/Internet-Anbindung Sensitive Systeme sind gegen offene Netze unzureichend abgeschottet
Nichtbeachtung von Sicherheitsrichtlinien zur Verfügung stehende, sinnvolle Regeln werden nicht angewandt -> aus Bequemlichkeit -> mangels ausreichender Schulung
Schlechte Wartung von IT-Systemen Verfügbare Sicherheits-Updates/-Patches werden nicht (rechtzeitig) eingespielt
Sorgloser Umgang mit Passwörtern 1. Passwortabfrage immer noch wichtigste Zugangskontrolle 2. Passwörter oft unzureichend gesichert
Einbrecher und Katastrophen 1. Einbrecher und Diebe haben oft leichtes Spiel 2. Katastrophen sind zwar selten, aber dann fatal 3. Verlust der Information und Konfiguration meist schwerwiegender als der Verlust der Hardware
Systematisches Herangehen an IT-Sicherheit wirkt unzureichender IT-Sicherheitsstrategie entgegen 1. Angemessene Berücksichtigung von IT-Sicherheit 2. Schrittweises Vorgehen 3. Kontrolle und Aufrechterhaltung 4. Umgesetzt als Informationssicherheitsmanagementsystem (ISMS)
Sicherheit von IT-Systemen wirkt schlechter Konfiguration von IT-Systemen entgegen 1. Nutzung vorhandener Schutzmechanismen 2. Flächendeckender Einsatz von Viren-Schutzprogrammen 3. Zugriffskontrolle
Vernetzung und Internet-Anbindung wirkt unsicherer Vernutzung/Internet-Anbindung entgegen 1. Verwendung von Firewalls 2. Restriktion von nach außen angebotenen Daten, Diensten und Programmen 3. Vorsicht bei Webs-Browsern und E-Mails
Faktor Mensch: Kenntnis und Beachtung von Sicherheitsrichtlinien wirkt Nichtbeachtung von Sicherheitsrichtlinien entgegen 1. Sicherheitsvorgaben und -konsequenzen 2. Besondere Vorsicht bei Wartungs- und Reparaturarbeiten 3. Ordnung am Arbeitsplatz vermeidet Risiken 4. Einholung von Expertenrat
Wartung von IT-Systemen: Umgang mit sicherheitsrelevanten Updates wirkt schlechter Wartung von IT-Systemen entgegen 1. Regelmäßiges Einspielen von Sicherheits-Patches 2. Handlungsplan wirkt Vernachlässigung entgegen 3. Achtung: nicht jedes System kann/darf einfach gepatcht werden (bspw. Medizintechnik)
Umgang mit Passwörtern und Verschlüsselung wirkt sorglosem Umgang mit Passwörtern entgegen 1. sichere Passwörter 2. Bildschirm bei Abwesenheit immer sperren 3. wichtige Daten verschlüsselt speichern 4. Auswahl geeigneter Verschlüsselungstechniken (Bewährtes)
Schutz vor Einbrechern und Katastrophen wirkt Einbrechern und Katastrophen entgegen 1. Notfallpläne 2. Backupkonzept (regelmäßig, gestaffelt, offline) 3. Angemessener Schutz gegen Feuer, Überhitzung, Wasserschäden, Stromausfall 4. Zutrittsschutz 5. Mobile Geräte nie unbeaufsichtigt / Daten verschlüsseln
Sicherheit vs. Benutzbarkeit stehen im Konflikt zueinander Suche eines vernünftigen Kompromiss, der Benutzer und Sicherheitsverantwortliche zufriedenstellt
Sicherheit vs. Kosten Kosten für die Sicherheit müssen den zu sichernden Werten angepasst werden Kompromiss Teil des Risikomanagements -> Kosten-Nutzen-Analyse
Informationswert: 50.000€ Wahrscheinlichkeit pro Jahr: 1% (ohne Verschlüsselung) 0,05% (mit Verschlüsselung) Lizenzkosten Verschlüsselungs-Software pro Jahr: 100€ Verlust ohne Verschl.: 1% * 50.000€ = 500€ Verlust mit Verschl.: 0,05% * 50.000€ = 25€ 500 - 25 - 100 € = 375€ => Anschaffung der Software lohnt sich
Zusammenfassung anzeigen Zusammenfassung ausblenden

ähnlicher Inhalt

Physik: Elektrizität und Energie
JohannesK
Öff. Recht - Definitionen
myJurazone
Einführung in die BWL: Kapitel 1
Anjay
Marx - Weber - Geiger - Funktionalistische Schichtungstheorie
Bibische
Vetie - Pathologie 2012
Fioras Hu
Vetie - Immuno Wdh SS 2013
V R
Vetie Virologie 2013
Isabelle K.
AVO 2017
steff Müller
METH QUALI SS 2019
Caroline Hannah
Vetie Geflügel 2019
Mascha K.