Lernkarten
Nennen Sie drei drei gute Beispiele (keine Wiederholungen) für die Risikostrategie “Risiko-
transfer”
• Ein Risiko versichern bei einer Versicherung.
• Hochrisiko-Projekte in einer eigenen, separaten Firma ausführen lassen.
• Gewisse Handlungen an einen Partner outsourcen.
• Gewisse Risiken an den Kunden weitergeben (z.B. durch Haftungsausschluss)
Eine Firma namens ACME Limited verarbeitet Impfdaten von Spitälern und Spitalverbunden
in mehreren Ländern (USA, Deutschland, Grossbritannien, Kanada). Sie hat einen Cluster
mit einem Loadbalancer und drei Webservern, die Impfdaten auf einer MS-SQL Datenbank
abspeichern und abrufen. Der Webserver ist ein NGINX-Server und hat Squid als Reverse-
Proxy vor sich. Welches sind die zwei grössten Assets dieser Firma?
Reputation (muss vorhanden sein, sonst wäre die Lösung nicht soweit verbreitet beziehungsweise
würden Kunden schnell abwandern)
(Impf-)Daten (Hohe Klagekosten jenseits der Kosten von Hard- und Software könnten
die Folge sein. Speziell weil Medizinaldaten typischerweise besonders vom Gesetzgeber
besonders geschützt sind).
Erklären Sie die Begriffe “Vertraulichkeit” und “Vertrautheit” sowie deren Unterschied. Nen-
nen sie jeweils ein typisches Beispiel.
Das sind zwei typische Arbeitsmethoden des Social-Engineerings:
• Vertrautheit
Nähe zu jemandem über eine gemeinsame Begebenheit, ein gemeinsames Hobby oder
ein gemeinsames Gefühl (kann ein Witz sein) herstellen.
• Vertraulichkeit
Jemanden davon abhalten sich mit Drittpersonen abzusprechen, weil eine Information
vertraulich ist (z.B. börsenrelevant).
Wie heisst die typische Arbeitsweise des Social-Engineering (Verwenden Sie die Begriffe aus
dem Unterricht), wenn folgende Situation gegeben ist:
Eine Person verlangt am Telefon, dass Sie ihr eine vertrauliche Auskunft geben, weil
sie angeblich (was nicht stimmt) der/die Sekretär/in vom Direktor ist.
• Impersonation
• eventuell (bei entsprechender Begründung) “Authority” (ist etwas gesucht aber möglich)
Nennen Sie zwei unterschiedliche Attacken, bei denen die Ressource Arbeitsspeicher angegrif-
fen wird.
• A Billion Laughter
• XML External entity (wenn ein grosses File (z.B. Swapfile) eingebunden wird).
• Quine-Zipfile wenn der entpacker auf einem RAM-Drive oder im Speicher arbeitet.
Worin unterscheiden sich eine IDS und ein IPS?
Eine IPS (Intrusion Prevention System) soll verdächtige Aktionen (IoA oder IoC) auf einem
produktiven System blockieren. Ein IDS (Intrusion Detection System) soll verdächtige Ak-
tivitäten im sicheren Umfeld aufdecken.
Warum sollte beim Speichern eines Passwort immer ein Hash mit Salt verwendet werden
(2P)? Was ist die Funktion des Salts (1P)? Muss der Salt geheim gehalten werden (1P)?
Wann ändert der Salt (1P)?
• Weil es den Aufwand beim knacken der Passworte massiv erhöht (2P).
• Es reduziert/verunmöglicht den Einsatz von Rainbow-Tables und sorgt dafür, dass
gleiche Passworte nicht mehr gleich aussehen.
• Nein – er ist im Hash in Klartext enthalten.
• Bei jedem Passwort.
Erklären Sie die Funktionen von VA und RA bei einer PKI (je 2 Pkt). Was heisst VA und RA
überhaupt (je 1 Pkt für eine vollständige und richtige Bezeichnung). Welcher Schlüssel wird
bei der VA eingesetzt und wer hat ihn typischerweise unterschrieben?
• Registration Authority
Überprüft ob eine Entität berechtigt ist einen CSR zur Unterschrift zu übergeben (z.B.
wurde der geforderte Geldbetrag überwiesen oder hat die Entität die Kontrolle über
die zu signierende Domäne).
• Validation Authority
Sorgt dafür, dass zurückgezogene Zertifikate als solche erkannt werden können. Unter-
schreibt mit einem eigenen Schlüssel die CRL oder OCSP-Anfragen, damit Entitäten
belegen können, dass das Zertifikat noch nicht revoziert ist. Der Schlüssel der VA wird
typischerweise von der CA (mit ihrem privaten Schlüssel natürlich) unterschrieben. Es
wird zum beglaubigen niemals der private Schlüssel der CA verwendet.
