Lernkarten

Werni Hunziker
Karten 57 Karten
Lernende 33 Lernende
Sprache Deutsch
Stufe Andere
Erstellt / Aktualisiert 04.02.2011 / 13.05.2021
Lizenzierung Kein Urheberrechtsschutz (CC0)
Weblink
Einbinden
0 Exakte Antworten 57 Text Antworten 0 Multiple Choice Antworten
Fenster schliessen

Was zeichnet den IT-Grundschutz gegenüber anderen Methoden für den Auf- und Ausbau der IT-Sicherheit aus?

Der IT-Grundschutz gewährleistet mit geringen Aufwand ein mittleres bis hohes Mass an IT-Sicherheit. (1)

Fenster schliessen

Erklären Sie in einem Satz, was Vertraulichkeit im Rahmen der IT-Sicherheit bedeutet.

Vertraulichkeit im Rahmen der IT-Sicherheit bedeutet sicherzustellen, dass nur berechtigte Personen Zugriff auf vertrauliche Daten und Informationen haben. (7)

Fenster schliessen

Nennen Sie zwei massgebliche Kriterien für die Verfügbarkeit.

Die Wartezeiten auf eine Systemfunktion und die Verarbeitungsgeschwindigkeit der Daten. (13)

Fenster schliessen

Nach einem Brand im Verteilerraum konnte ohne Unterbruch auf ein anderes RZ umgeschaltet werden. Die Netzwerkverkabelung wurde schwer in Mitleidenschaft gezogen. Nennen Sie drei Schadenskategorien und beurteilen Sie, welche Schäden hier vorliegen.

A) Direkte Schäden: Kosten für das Material (Kabel, Verteiler etc.)

B) Indirekte Schäden: Kosten für den Wiederaufbau der Netzwerkverkabelung und Inbetriebnahme des "alten" RZ

C) Folgekosten: Keine.

(19)

Fenster schliessen

Was ist das Ziel des Datenschutzgesetztes (DSG)?

Das DSG will natürliche und juristische Personen vor Persönlichkeitsverletzungen schützen. Das DSG bestimmt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. (25)

Fenster schliessen

Ein MA umgeht Sicherheitssperren. Er kann so auf den firmeneigenen Webserver zugreifen. Es gelingt ihm, anstössige Daten vom WWW auf den Webserver herunterzuladen und unter einer eigenen Homep. zu publizieren. Um welchen Strafbestand handelt es sich?

A) Unbefugtes Eindringen in ein Datenverarbeitungssystem

B) Erschleichung einer Leistung

(41)

Fenster schliessen

Ein MA dringt in das Verrechnungsbüro ein und überträgt ein grösserer Betrag auf eines seiner Konten. Er kennt die Applikation sehr gut und kennt das Passwort eines Kollegen (PW unter Tastatur). Um welchen Strafbestand handelt es sich?

A) Unbefugtes Eindringen in ein Datenverarbeitungssystem

B) Betrügerischer Missbrauch einer Datenverarbeitungsanlage

(47)

Fenster schliessen

Welche Sicherheitsmassnahmen müssen gemäss Datenschutzgesetz bei der Verarbeitung von Informationen gewährleistet sein?

"Durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt."

Der Gesetzgeber gibt zwar keine konkreten Massnahmen vor, erwartet aber diese bis zu einem gewissen Grad. (53)

Fenster schliessen

Welche Sicherheitsmassnahmen müssen im Strafgesetz gegeben sein, damit entsprechende Gesetzestexte angewendet werden können?

"Besonders gesichert".

Dabei gilt das gleiche wie beim Datenschutzgesetz. Jedoch ist gerade dieser Punkt "Besonders gesichert" der Streitfall in einer rechtlichen Auseinandersetzung. (2)

Fenster schliessen

Warum wird eine Risikoanalyse nicht für die gesamte IT-Infrastruktur durchgeführt, d.h., wieso muss eine Systemabgrenzung durchgeführt werden?

Die verschiedenen Bereiche der IT-Infrastruktur sind verschiedenen Bedrohungen ausgesetzt. Zudem enthalten diese Bereiche unterschiedliche Informationen mit verschiedener Sicherheitsrelevanz. Um diese Komplexität bewältigen zu können, wird die Infrastruktur in logische Teilbereiche unterteilt. (8)

Fenster schliessen

Warum steht am Anfang der Risikoanalyse die Untersuchung von Datenbeständen?

In erster Linie gilt der Schutz Daten und Informationen. Die Sicherung der Infrastrukturmittel hängt von der Bedrohungslagen der Daten ab. (14)

Fenster schliessen

Welche Bedrohungslagen ergeben ein Risiko:

A) Wasser bedroht die Verfügbarkeit von Daten

B) Wasser bedroht die Vertraulichkeit von Daten

C) Wasser bedroht die Integrität von Daten

A) Risiko gegeben: Wasser beeinträchtigt die Funktion der Hradware und somit Verfügbarkeit.

B) Kein Risiko gegeben: Wasser bewirkt nicht, dass Dritte die Daten einsehen können.

C) Risiko gegeben: Bei einem Systemabsturz kann ein teilweiser Datenverlust entstehen was zu Problemen auf dem Filesystem führen kann. Letzte Änderungen gehen verloren.

(20)

Fenster schliessen

Bei einer Risikoanalyse wird u.a. festgestellt, dass

A) Kundendaten bezüglich Verfügbarkeit

B) Geschäftsdaten bezüglich Integrität

verletzbar sind. Beides sind relationale Datenbanken. Bei welchem Risiko ist eine USV für einen Server sinnvoll?

A) USV nicht sinnvoll, da bei einem Stromausfall auch die Mitarbeiter nicht mehr arbeiten können.

B) USV sinnvoll, da die USV ein geordnetes Abschalten des Servers erlaubt. Somit werden die letzten Transaktionen auf der DB ordentlich nachgeschrieben.

(26)

Fenster schliessen

Applikation mit verschlüsselter Übertragung wird von einem Server welche weitere Appl. enthält auf einen anderes System gezügelt. Welche Tätigkeiten rund um die Sicherheitsmassnahmen müssen ergriffen werden?

Die Applikation mit den höchsten Sicherheitsanforderungen dominiert die Sicherheitsmassnahmen auf einer Systemkomponente. Somit muss die Verschlüsselung vom alten Server auf den neuen portiert werden. (31)

Fenster schliessen

Peter Meier möchte von seinem Unternehmen endlich ein neues Notebook. Er beschliesst es "per Zufall" fallen zu lassen. Um welche Form der Bedrohung handelt es sich hierbei?

Vorsätzliche Handlung. (36)

Fenster schliessen

Sachbearbeiter Heinz Eberhard hat aus versehen das Gruppenverzeichnis gelöscht. Um welche Form der Bedrohung handelt es sich hierbei?

Menschliche Fehlhandlung (42)

Fenster schliessen

Ein Drucker hat immer Papierstau. Der herbeigerufene Servicetechniker reinigt das Gerät und macht darauf aufmerksam, dass der Drucker seit zwei Jahren nicht mehr gereinigt wurde. Um welche Form der Bedrohung handelt es sich hierbei?

Organisatorischer Mangel bezüglich schlechter Wartung. (48)

Fenster schliessen

Herr Binder ist es leid, im Geschäft die lange Wartezeiten beim Internetzugang in Kauf zu nehmen. So beschliesst er, sein privates Modem mitzunehmen und an die hausinterne Telefonanlage anzuschliessen. Um welche Form der Bedrohung handelt es sich hierbei?

Organisatorischer Mangel bezüglich Nutzung nicht zugelassener Mittel. (54)

Fenster schliessen

Sandra Schwarz surft am AP im Internet und chattet. Der Vorgesetzte macht sie über eine Weisung bezüglich privater Internetnutzung aufmerksam. Sie sei nie darüber informiert worden, hat nichts unterschrieben. Um welche Form der Bedrohung handelt es sich?

Organisatorischer Mangel, sie wurde nicht ausreichend unterrichtet. (3)

Fenster schliessen

Nennen sie drei mögliche, organisatorische Massnahmen, um die Vertraulichkeit der Daten eines Intel Servers sicherzustellen.

- Datenträgerregelung: Verhindern, dass Datenträger unbeaufsichtigt herumliegen

- Vergabe von Zugriffsrechten: Kontrolliertes Vergeben und deren Gebrauch überprüfen

- Regelung des Passwortgebrauchs: Einhaltung der entsprechenden Regelungen

(9)

Fenster schliessen

In welchen Bereichen müssen Massnahmen eingeleitet werden, um einen Schutz vor Viren sicherzustellen?

- Organisatorisch: Definition eines Virenschutzkonzeptes

- Personal: Weisungen und Schulung für den Umgang mit Viren

- Hardware und Software: Einsatz eines Virenschutzprogramms

- Notfallvorsorge: Datensicherung, falls Daten beschädigt werden

(15)

Fenster schliessen

Mit welchen Hardware- und Software-Massnahmen würden Sie eine Arbeitsplatzstation (Desktop) bezüglich Vertraulichkeit sichern? Nennen Sie mindestens drei Massnahmen.

- Einbau von Passwortschutz

- Einsatz einer Bildschirmsperre

- Einsatz von Virenschutzprogrammen

- Gesichertes Login

- Boot-Reihenfolge im BIOS

- Minimales Betriebssystem (Ausschalten nicht benötigter Funktionen)

(21)

Fenster schliessen

Der Serverraum wird zu warm. In welchem Bereich würden Sie Massnahmen vorschlagen?

Bei der Infrastruktur. Einbau oder Anpassung einer Klimatisierung.

Fenster schliessen

Nennen Sie drei mögliche Massnahmen im Bereich Organisation für ein IT-System unter dem Betriebssystem Linux.

- Regelung der Verantwortlichkeiten

- Betriebsmittelverwaltung

- Regelung des Passwortgebrauchs

(32)

Fenster schliessen

Warum ist der Sicherheitsprozess bzw. das Prozessmanagement so wichtig?

Das Prozessmanagement funktioniert nach dem Prinzip "Plan - Do - Check - Act". Das Prinzip stellt einen geschlossenen Kreislauf dar, der eine Planungsphase (plan), eine Umsetzungsphase (do), eine Überprüfungsphase (check) und eine Korrekturphase (act) beinhaltet. Auf diese Weise wird sichergestellt, dass sich der Prozess laufend weiterentwickelt. (37)

Fenster schliessen

Wie wird ein Prozess initialisiert bzw. in eine bestehende Organisation eingebaut?

Ein Prozess wird initialisiert, indem zunächst die Verantwortlichen bestimmt werden. Danach werden die Phasen Plan - Do - Check - Act ausgearbeitet, d.h., es wird der Prozessablauf definiert (plan), was gemacht werden muss (do), wie und was kontrolliert werden muss (check) und wann Korrekturen (act) am Prozess durchgeführt werden müssen. (43)

Fenster schliessen

Was sind die Haupbestandteile des IT-Sicherheitsprozesses?

- Durchführung Gefährdungsanalyse

- Erstellen Sicherheitskonzept

- Umsetzung Sicherheitskonzept

- Sicherstellung des Betriebes (Überwachung)

(49)

Fenster schliessen

Prozesse werden mit Kennzahlen gemessen. Eine Kennzahl für eine Administrationsabteilung könnte lauten: Anzahl bearbeitete Bestellungen. Nennen Sie drei mögliche Parameter für den IT-Sicherheitsprozess.

- Zeitdauer vom Bekanntwerden einer Sicherheitsschwachstelle bis zur Behebung derselben

- Anzahl zulässiger Sicherheitsschwachstellen bei einer externen Sicherheitsüberprüfung

- Anzahl eingetretener Schadensereignisse pro Zeitabschnitt

(55)

Fenster schliessen

Wofür ist der IT-Sicherheitsbeauftragte verantwortlich?

- Er nimmt alle Belange der IT-Sicherheit innerhalb der Organisation wahr.

- Er koordiniert die Erstellung des IT-Sicherheitskonzepts und des Notfallkonzepts etc.

- Er erstellt den Realisierungsplan für IT-Sicherheitsmassnahmen.

- Er überprüft die Realisierung.

- Er stellt den Informationsfluss zur Leistungsebene und zu den IT-Verantwortlichen sicher

(4)

Fenster schliessen

Was gehört in eine Policy?

- Ziel

- Zweck

- Umfang

- Geltungsbereich

- Datum

- Massnahmen

(10)