Jordi/obsidian
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity

vault backup: 2023-05-16 16:16:25

Browse Source
This commit is contained in:
Gentleman-DE
2023-05-16 16:16:25 +02:00
parent db0b3a7b3b
commit 4c4d031800
5 changed files with 453 additions and 18 deletions
Download Patch File Download Diff File Expand all files Collapse all files

62
Informationssicherheit/Ueb4/Ueb4.md
View File

@@ -68,4 +68,64 @@ Maximilian Schrems' Kritik am US-EU Privacy Shield:
- Ja, da es zu einer unbefugten Offenlegung personenbezogener Daten gekommen ist.
- Informationspflicht gemäß Art. 34 Abs. 1 DSGVO: Ja, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
- Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung.
- Meldepflichtig gemäß Art. 33 DSGVO: Ja, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung.
# 4.4
Die Beantwortung dieser Fragen erfordert Kenntnisse in Bezug auf Datenschutz und IT-Sicherheit.
a) Ob es zu einer Verletzung personenbezogener Daten gemäß Art. 4 Nr. 12 DS-GVO gekommen ist, kann ohne Kenntnisse der spezifischen Situation nicht beurteilt werden. Eine Verletzung personenbezogener Daten tritt auf, wenn diese Daten ohne Zustimmung der betroffenen Person oder ohne rechtliche Grundlage freigegeben, verändert, gelöscht oder auf andere Weise missbraucht werden.
b) Laut Art. 33 DS-GVO ist der Vorfall meldepflichtig, wenn es wahrscheinlich ist, dass die Datenverletzung ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen darstellt. Im Falle einer solchen Verletzung muss der Datenverantwortliche die zuständige Aufsichtsbehörde "unverzüglich und möglichst binnen 72 Stunden" nach Kenntnisnahme der Verletzung informieren.
c) Nach Art. 34 Abs. 1 DS-GVO besteht eine Informationspflicht an Betroffene, wenn die Datenverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Benachrichtigung sollte "unverzüglich" erfolgen.
Aufgabe 4.4 K25
a)
(i) Bedrohungen:
1. Unberechtigter Zugriff auf das Netzwerk.
2. Malware-Infektionen.
3. Denial-of-Service-Angriffe.
(ii) Assets:
1. Kundendaten: Sie könnten für einen Angreifer wertvoll sein, um Betrug zu begehen.
2. Betriebliche Informationen: Diese könnten für Wettbewerber oder böswillige Akteure wertvoll sein.
3. IT-Infrastruktur: Ohne eine Firewall könnten Angreifer die Infrastruktur beschädigen oder stören.
(iii) Adverse actions:
1. Datendiebstahl.
2. Einführung von Malware.
3. Netzwerkstörungen.
(iv) Threat agents:
1. Cyberkriminelle.
2. Wettbewerber.
3. Unzufriedene Mitarbeiter.
b) Organisatorische Sicherheitsrichtlinien:
1. Richtlinien für Netzwerkzugriff: Wer darf auf das Netzwerk zugreifen und unter welchen Bedingungen.
2. Richtlinien für Software-Updates und Patches: Wie und wann sollten Software-Updates und Patches durchgeführt werden.
c) Annahmen:
1. Die Benutzer des Netzwerks sind geschult und halten sich an die Sicherheitsrichtlinien.
2. Die Firewall ist korrekt konfiguriert und wird regelmäßig aktualisiert.
# 4.5
Aufgabe 4.5 K20
Die Common Criteria für Informationstechnologiesicherheitsevaluierung (CC) definiert EAL4 (Evaluation Assurance Level 4) als das Level, bei dem Methoden gegen gezielte Angriffe auf das Produkt bewertet werden.
Das Angreifermodell, das bei der Prüfung des TOE (Target of Evaluation) verwendet werden muss, basiert auf dem Konzept der "moderately sophisticated" Angreifer. Dies sind Angreifer, die über ein hohes Maß an Motivation und Ressourcen verfügen und Zugang zu detaillierten Informationen über das TOE haben.
Heartbleed ist eine schwerwiegende Sicherheitslücke in der OpenSSL-Kryptographiebibliothek, die eine zu große Ausgabe von Speicher ermöglicht. Diese kann genutzt werden, um vertrauliche Informationen, einschließlich SSL-Schlüssel, Benutzernamen und Passwörtern, abzurufen.
Quantitative Bewertung: Auf einer Skala von 1 bis 10 hat das National Vulnerability Database Heartbleed eine 5.0 für die Ausnutzbarkeit und eine 10.0 für die Auswirkungen bewertet, was auf ein hohes Angriffspotenzial hinweist.
Qualitative Bewertung:
- Ausstattung: Da Heartbleed nur Software-Werkzeuge erfordert, ist die benötigte Ausrüstung minimal und leicht zugänglich.
- Zeitaufwand: Die Ausnutzung von Heartbleed kann in relativ kurzer Zeit erfolgen, abhängig von der Fähigkeit des Angreifers und der Anfälligkeit des Zielsystems.
- Fachkenntnisse: Ein Angreifer muss Kenntnisse über die Funktionsweise von OpenSSL und die spezifischen Details von Heartbleed haben.
- Window of Opportunity: Angesichts der weit verbreiteten Verwendung von OpenSSL vor der Entdeckung von Heartbleed war das Window of Opportunity beträchtlich.
- Zugang: Der Angriff kann remote durchgeführt werden, was die Zugangsbarriere verringert.