Was ist Informationssicherheit?

Informationssicherheit Definition
Alle Maßnahmen die gemacht werden müssen um die Sicherheitsziehle zu erfüllen.
Link to original

Was gibt es für Schutzziele?

Confidentiality (Vertraulichkeit)

Geheimhaltung
Datenschutz ⇒ Anonymität
⇒ Nicht jeder kann auf Daten lesen

Integrity

Authentizität
Eindeutige zuordnung zu einer Handlung
Verbindlichkeit
⇒ Nicht jeder kann Daten schreiben

Availability (Verfügbarkeit)

⇒ Daten sind immer Verfügbar

Was ist Schutzziel X und wie kann man es erreichen?

Laptop Vertraulichkeit

⇒ Passwort

Sicherheitslücke

Verwundbarkeit
Exploit

Sind Safety und Security das Gleiche?

Trennung nicht immer ganz klar
Safety - Betriebssicherheit
Security - Sicherjeit gegen andere

Script Kiddie

Jemand der nur Scripte für bekannte Exploits ausnutzt ohne zu verstehen wie sie funktioniern oder neue Lücken finden könnte.
Exploit

Authentisierung

Authentisierung
Eindeutige Identifikation und Nachweis der Identität
vs. Authorization

Was ist SOD?

Separation of Duty
→ Kundenberater kann nicht gleichzeitig der Kunde sein

Sicherheitsmodelle

Chinese Wall-Modell
Bell-LaPadula-Modell
⇒ Vertraulichkeit aber nicht Intigrität

Was ist eine Zugangskontrollmatrix, ACL und Capabilities?

Zugriffsmatrix
Zugriffskontrolllisten
Capabilities

POSIX-ACLs und Zugriffsrechte

FreeBSD-ACLs (POSIX 1e)

Rollen und zugehörige Rechte

Rollenbasierte Zugriffskontrolle

Buffer-Overflow und wie kann man dem entgegenwirken?

Buffer-Overflows

Gegenmaßnahm

NX-Bit
Canaries
ASLR

Address Sanitizer

Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung?

Symmetrische Verschlüsselung
Asymmetrische Verschlüsselung

Vor- und Nachteile

Symmetrische Verschlüsselung schneller aber pro Kommunikation ein neuer Schlüssel benötigt
Asymmetrische Verschlüsselung konstate Schlüssel aber komplexer
⇒ Hybride Verschlüsselung

Verschlüsselung durch Substitution, Chiffre

Substitutions Verschlüsselung
Symmetrische Verschlüsselung
Perfekte Chiffren

RSA grob

RSA

AES genauer

AES
Einweg-Funktionen mit Falltür
Stromchiffren

Perfekte Chiffren

Verschlüsselung/Entschlüsselung und Integritätsprüfung gemäß RFC 3610 (“Counter with CBC-MAC (CCM)”)

CBC
Merkle-Damgård

Schlüsselaustausch

Schlüsselvereinbarung nach Diffie und Hellman

EIGamal-Verfahren

DAC / MAC

Digitale Signaturen
MAC

PGP, Schlüsselpaare, Signaturen, Signierungsstufen

PGP
Web of Trust

Wozu dienen Signaturen?

Digitale Signaturen
Das jeder prüfen kann ob ein Text von jemanden erstellt wurde.

TLS

certbot, Webserver und Erstellen eines Zertifikats

Zertifikate
Certificate Authority
certbot

wieso man den Vertrauen kann

Zertifikatketten
Root in Browser Hinterlegt

nmap, harmlos vs. harmvolle Optionen (DNS abhören?)

Metasploit-Modul

John the Ripper, Passwörter knacken, Passwort Hashes

Kryptographischer Hash

Wozu dient der BSI Grundschutz?

BSI-Grundschutzkompendium
Standartmaßnahmen zur Umsetzung grundlegender Schutzkonzepte für z.B.

Server, E-Mail, WLAN
orgarnisatorische, personelle, standartmaßnahmen
Gefärdungs und Maßnahmenkatalog

Strukturanalyse, Geschäftsanalyse

Infrastrukturanalyse
Basis-Sicherheitscheck

Was ist das ISMS? (Information Security Management System)

Single-Sign on, Identity Provider vs Relying Party

Single sign-on

Firewall

WEP Wlan Sicherheit (Stromchiffre)

WEP

WPA2 Wlan

WPA2
Key Re-installment AttaCKs

SQL-Injection, oder andere Web Zugriffsmöglichkeiten

SQL-Injection
Cross Site Scripting

Quartz 4

Explorer

Isec Klausurfragen