Frage 1 – Schutzziele der IT-Sicherheit

Vertraulichkeit (Confidentiality): Informationen dürfen nur von berechtigten Personen/Systemen eingesehen werden.

Integrität (Integrity): Daten/Systeme dürfen nicht unbemerkt oder unberechtigt verändert werden.

Verfügbarkeit (Availability): Systeme/Daten müssen bei Bedarf in der geforderten Zeit nutzbar sein.

Authentizität: Identitäten und Datenherkunft sind echt und nachweisbar.

Verbindlichkeit / Nichtabstreitbarkeit (Non-Repudiation): Aktionen/Kommunikation können im Nachhinein nicht glaubhaft abgestritten werden.

Zurechenbarkeit / Revisionsfähigkeit (Accountability): Handlungen sind eindeutig einer Person/Instanz zuordenbar (Logs, Nachvollziehbarkeit).

Frage 2 – Angriff/Attacke + Kategorien

Angriff: Ein (versuchter oder erfolgreicher) Vorgang, der Sicherheitsziele verletzt, z. B. unbefugter Zugriff, Manipulation oder Störung.
2 Kategorien:

Passiver Angriff: Ausspähen/Mithören ohne Veränderung (z. B. Sniffing) → gefährdet v. a. Vertraulichkeit.

Aktiver Angriff: Verändern/Stören/Manipulieren (z. B. DoS, Datenänderung) → gefährdet Integrität/Verfügbarkeit.

Frage 3 – 3 Typen/Faktoren der Authentifizierung

Wissen: etwas, das man weiß (Passwort, PIN).

Besitz: etwas, das man hat (Token, Smartcard, Handy-App).

Sein: etwas, das man ist (Biometrie: Fingerabdruck, Gesicht, Iris).

Frage 4 – Rechtliche Rahmenbedingungen + warum

Beispiele (DE/EU):

DSGVO/GDPR (+ national z. B. BDSG): Schutz personenbezogener Daten, Pflichten zu TOMs, Meldungen etc.

IT-Sicherheitsgesetz / BSIG (BSI-Gesetz) + KRITIS-Vorgaben: Mindeststandards, Meldepflichten, Schutz kritischer Infrastrukturen.

NIS2-Richtlinie (EU): Cybersicherheitsanforderungen & Meldepflichten für viele Unternehmen/Einrichtungen.

StGB §§ 202a–202c u. a.: Strafbarkeit von Ausspähen/Abfangen/Computerkriminalität.

Warum nötig: Schützt Bürger/Unternehmen, schafft Mindeststandards, Verantwortlichkeiten, Haftung und Durchsetzung (Sanktionen/Strafen).

Frage 5 – STRIDE (Bedrohungsmodell)

STRIDE = 6 Bedrohungskategorien:

S – Spoofing: Identitätsvortäuschung (z. B. geklauter Login).

T – Tampering: Manipulation von Daten/Code (z. B. Parameter ändern).

R – Repudiation: Abstreitbarkeit von Aktionen (fehlende Logs/Nachweise).

I – Information Disclosure: unbefugte Informationspreisgabe (Datenleck).

D – Denial of Service: Dienst/Service unbenutzbar machen (Überlastung).

E – Elevation of Privilege: Rechteausweitung (User → Admin).

Ziel: systematisch Threats je Komponente/ Datenfluss identifizieren und passende Controls ableiten.

Frage 6 – wichtigste KPI in der BIA + Zusammenhang

RTO (Recovery Time Objective): maximale Ziel-Wiederanlaufzeit, bis der Prozess wieder laufen muss.

RPO (Recovery Point Objective): maximal tolerierbarer Datenverlust (Zeitspanne „wie weit zurück“).

MTPD / MTD / MAO (Max. tolerierbare Ausfallzeit): absolute Grenze, wie lange ein Prozess maximal ausfallen darf.

Zeitlicher Zusammenhang: RTO muss kleiner/gleich MTPD/MAO sein (man muss vor der maximal tolerierbaren Grenze wiederherstellen). RPO bestimmt die erforderliche Backup-/Replikationshäufigkeit.

Frage 7 – Zweck & Hauptfunktionen CASB

CASB (Cloud Access Security Broker): Sicherheits-Schicht zwischen Nutzer und Cloud-Diensten zur Durchsetzung von Richtlinien.
Hauptfunktionen:

Visibility: Transparenz über Cloud-Nutzung/Shadow-IT.

Data Security: DLP, Verschlüsselung/Tokenisierung, Zugriffsschutz.

Threat Protection: Erkennung/Blocken von Anomalien, Malware, Account-Misuse.

Compliance: Regeln/Reports für DSGVO, Standards, Audit-Unterstützung.

Frage 8 – BSI TR-02102 (wesentliche Bestandteile)

TR-02102 („Kryptographische Verfahren: Empfehlungen und Schlüssellängen“) – Kernaussagen:

Empfohlene Algorithmen (symmetrisch/asymmetrisch) und geeignete Betriebsarten.

Mindest-Schlüssellängen / Sicherheitsniveaus und Gültigkeitszeiträume.

Hash-Funktionen / Signaturen / Schlüsselaustausch: was empfohlen bzw. veraltet ist.

Migrations-/Ablöseempfehlungen für unsichere Verfahren (z. B. zu kurze Schlüssel, veraltete Hashes).

Ziel: einheitliche, belastbare Kryptovorgaben für sichere IT-Systeme.

Frage 9 – ISO/OSI vs. TCP/IP + Protokolle

OSI: 7 Schichten, theoretisches Referenzmodell (sehr detailliert).
TCP/IP: meist 4 (bis 5) Schichten, praxisorientiertes Internet-Modell.
Zuordnung (Beispiele):

Anwendung: HTTP/HTTPS, DNS, SMTP, IMAP, SSH

Transport: TCP, UDP

Internet/Network: IP, ICMP

Netzzugang/Link: Ethernet, WLAN (802.11), ARP

Frage 10 – mind. 3 WLAN-Standards

Beispiele (IEEE 802.11-Familie):

802.11n (Wi-Fi 4): 2,4/5 GHz, MIMO, höhere Datenraten als g/a.

802.11ac (Wi-Fi 5): 5 GHz, breitere Kanäle, MU-MIMO, deutlich schneller.

802.11ax (Wi-Fi 6/6E): effizienter (OFDMA), besser bei vielen Geräten; 6E zusätzlich 6 GHz-Band.

Frage 11 – IPSec Funktionsweise + Szenarien

IPSec: Protokollsuite zur Absicherung von IP-Verkehr (Verschlüsselung, Integrität, Authentisierung).

ESP: Verschlüsselung + (optional) Integrität/Authentisierung (am häufigsten).

AH: Integrität/Authentisierung ohne Verschlüsselung (selten).

Modi: Transport (nur Payload) vs. Tunnel (ganzes IP-Paket, typisch für VPN).

Schlüsselaushandlung: i. d. R. über IKE/IKEv2.

Szenarien: Site-to-Site-VPN (Standorte), Remote-Access-VPN (Homeoffice), Host-to-Host-Schutz.

Frage 12 – Firewalltyp mit URL-Filter + VPN

Next-Generation Firewall (NGFW) (alternativ: UTM-Firewall).
Warum: kombiniert klassische Paketfilterung mit Deep Packet Inspection, Anwendungs-/Web-Kontrolle (URL-Filter), oft SSL-Inspection, integrierte VPN-Funktionen und zentrale Policy-Durchsetzung.

Frage 13 – Passwort-Manager: Funktionsweise + Vorteile

Funktionsweise: speichert Passwörter verschlüsselt in einem Tresor, Zugriff über Master-Passwort (idealerweise + MFA), Autofill/Generator.
Vorteile: starke, einzigartige Passwörter; weniger Wiederverwendung; komfortables Login; bessere Sicherheit gegen schwache Passwörter/Password-Spraying; oft Audit/Leak-Checks.

Frage 14 – Kerberos: 4 Kernelemente + Ablauf

4 Kernelemente:

Client

Authentication Server (AS)

Ticket Granting Server (TGS)

Service/Server (Anwendungsdienst)

Funktionsweise (vereinfacht):

Client authentisiert sich beim AS → erhält TGT (Ticket Granting Ticket).

Client nutzt TGT beim TGS → bekommt Service-Ticket für einen конкретen Dienst.

Client präsentiert Service-Ticket beim Service → Zugriff ohne Passwortweitergabe (Tickets + Zeitstempel verhindern Replay).