Inhaltsverzeichnis

Informationssicherheit

Aufgabe 1:
Analysieren Sie die untenstehenden Nachrichtenquellen hinsichtlich folgender Fragestellungen:

  • a) Welche Schutzziele der Informationssicherheit wurden gefährdet/verletzt?
  • b) Was war Ursache der Gefährdung?
  • c) Mit welchen Maßnahmen hätte die Gefährdung verhindert werden können?

Schutzziele

  • Vertraulichkeit
    Nur berechtigte Personen dürfen Zugriff auf Daten/Dienste haben.
  • Integrität
    Die ungewollte Veränderung von Daten muss verhindert werden oder sollte zumindest bemerkt und rückgängig gemacht werden.
  • Verfügbarkeit
    Das für jede Anwendung erforderliche Maß an Verfügbarkeit muss gewährleistet sein. Beispielsweise kann bei den meisten Anwendungen im Büroalltag ein seltener kurzer Ausfall hingenommen werden, nicht jedoch bei sicherheitsrelevanten Systemen in einem Flugzeug oder im Krankenhaus.
  • Authentizität
    Niemand sollte in der Lage sein, uns beim Browsen gefälschte Webseiten unterzuschieben (z.B. durch DNS-Spoofing oder Fishing) oder sich als jemand anderes im Netz auszugeben. Authentizität ist die Zusage, dass Daten/Dienste von der Quelle kommen, von der sie vorgeben zu stammen bzw. dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein.

Gefährdungskategorien

Mögliche Gefährdungskategorien (Arten der Gefährdung) sind:

  • höhere Gewalt (z. B. Blitzeinschlag)
  • organisatorische Mängel (z. B. unzureichende Regelungen)
  • menschliche Fehlhandlungen (z. B. Preisgabe eines Passworts)
  • technisches Versagen (z. B. Hardwareausfall)
  • vorsätzliche Handlungen (z. B. Schadprogramme, DDoS)

(Quelle: LehrplanPlus Bayern Jgst. 12 Info-Box

Aufgabe 2:
Nennen Sie zu jeder der oben angegebenen Kategorien zwei weitere Beispiele.

Sicherheitsmaßnahmen

Aufgabe 3:
Diskutieren Sie, welche Maßnahmen helfen können, um die Informationssicherheit vor den folgenden Gefahren zu schützen:

  • Brand, Wasserschaden
  • Hacken übers Netzwerk von außen
  • Ausspionieren/Verfälschen von Daten durch Mitarbeiter/-innen eines Unternehmens (insider threat)
  • Ransomware-Angriff
  • Spionage-Software auf Routern/Accesspoints
  • Identitätsdiebstahl

Man unterscheidet folgende Kategorien von Maßnahmen der Informationssicherheit:

  • organisatorisch (z.B. Richtlinien, Passwortregel)
  • technisch (z.B. Antivirensoftware, Firewall, Verschlüsselung, Sandbox, Backups)
  • physisch (z.B. Zugangskontrolle, Notstromversorgung, $CO_2$-Löschanlage)

(Quelle: LehrplanPlus Bayern Jgst. 12

Aufgabe 4:
Nennen Sie zu den drei obigen Kategorien von Maßnahmen jeweils drei weitere Beispiele.

Zusammenfassende Aufgabe

Die Firma MedIT erstellt ein Verfahren, mit dem Arztpraxen ihren Patient/-innen ermöglichen können, Termine übers Internet zu buchen und ggf. auch wieder abzusagen.

  • a) Skizzieren Sie eine mögliche technische Realisierung, insbesondere:
    • Wo stehen die Rechner, auf denen das Verfahren betrieben wird?
    • Welche Daten müssen gespeichert werden?
    • Wer soll Zugriff auf welche Daten haben?
    • Von wo aus soll auf das Verfahren zugegriffen werden können?
    • Wie sollen sich die Nutzer/-innen authentifizieren können?
  • b) Wie könnte die Informationssicherheit gefährdet werden (mindestens 8 Punkte)?
    Ordnen Sie jeweils die Gefährdungskategorien (s.o.) zu.
  • c) Welche Maßnahmen sollten ergriffen werden, um die unter b) genannten Gefährdungen auszuschließen?