Aufgabe 4 ( Self-Assessments erstellen ) Security-Manager

Antoine de Saint-Exupéry:
Die Technik entwickelt sich immer mehr vom Primitiven über das Komplizierte zum Einfachen.

Bei dieser Übung geht es weniger um das Programmieren an sich und auch nicht um Politik, sondern mehr um den eigenen Erkenntnissgewinn und hin zu dem Berufsbild eines Security-Managers. Es gehe natürlich auch um ( durchaus ungewöhnliche ) eigene Ideen, Gedanken, Fragestellungen zur Informationssicherheit und die Sicherheit in Rechnernetzen (*.pdf, Pfitzmann 495 Seiten ). Es gibt Grundschutz-Kataloge ( bsi ) zu IT-Sicherheit, usw.

Ein System ist in gewisser Weise sicher, wenn die Kosten eines Angriffs erheblich den erzielbaren Nutzen übersteigen.

Hier ist eine Mind-map zur Informationssicherheit ( de.wikipedia, großes SVG-Bild, bitte scrollen ).

Einführung Fragen

Voraussetzung für die Bearbeitung dieser Aufgabe ist ein möglichst tiefes Verständnis des Informationsbegriffes, den grundlegenden Hardwaremöglichkeiten, der Informationssicherheit und der Kryptologie . Zum Hinerfragen einige Fragen:

• Wie können Daten vor unberechtigtem Zugriff geschützt und vor Unberechtigten verborgen werden?
• Wie kann die Existenz der Daten geheim gehalten werden?
• Wie können physischen Zugriff auf Daten verhindert und protokolliert werden?
• Wie können verschlüsselte Daten verändern werden?
• Wann werden Informationen von Unbefugten unverstehbar?
• Wodurch sind Informationen von Befugten einfach interpretierbar?

Sicherheit und Organisationen Dunkles, Helles und Menschenwürde

Es gibt "mächtige Geheimorganisationen" ( z.B. weltweit operierende Militär-, Industrie-Spionage-Systeme ), die versuchen, ihre Machenschaften zu verbergen. Vertrauen und Sicherheit haben psychologische Wirkungen. Psychologisch kann das "verborgene-bedrohliche-Dunkle" mit dem "Bösen an sich" assoziiert werden. Vertrauen und Sicherheit haben zahlreiche Fassetten, Wirkungen und Folgen auf Indiviuen und Gesellschaften und natürlich auch auf annehmbare Dienstleistungen und das Verbraucher-Produzenten-Verhalten.

Hier soll aber um konkrete technische Fragen zur Sicherheit im Internet gehen und um "ungetarnte" Organisationen, die sich mit der Sicherheit beschäftigen, wie z.B. Gremien und Organisationen. Es geht z.B. und um Begriffe, wie Signatur-Namen ( 2013 ), SOP, AJAX, JSONP, ECMAScript; Geheim, Vertraulich, Intern, Öffentlich, usw., die im Zusammenhang mit der Sicherheit stehen.

Nachfolgend einige ( willkürliche ) Teilgebiete und Begriffe in die sich eingelesen werden soll, bevor der Multiple-Choice-Online Seite mit anonymen, individuellen Aus-und Be-Wertungsverfahren erstellt werden.

• Allgemeines:
  Risiken/Gefahren/Herausforderungen des digitalen Medienalltages, Identitätsdiebstahl und Einmal-Authentifizierung, intern-uneingeschränkte Recherche-Möglichkeiten, usw.
• Mitarbeiter, Kompetenz und Zugangsberechtigungen:
  Einsichtshorizonte und hirachielose Kollegialität, Unwissenheit und System-Fehlbedienungen, Praktikanten als Spione, zugängliche Netzwerkschränke und Multifunktionsdrucker, Haftungsfragen, usw.
• Bürodaten und Geschäftsdaten:
  automatisches Protokollieren aller Zugriffe auf sensible Ordner, Ausfallsicherheit IT-gestützter Geschäftsprozesse, Internetspionage, usw.
• Interne/Externe Netze:
  Cyber-Sicherheit, Systemberechtigungen bei Cloude-Speichern/ungen, Wegstrecken-Verschlüsselungen ( TLS 1.2 ), allgegenwärtige "Überall-Verschlüsselungen", usw.
• Softwaresysteme:
  Menschliche Schächen und Mängel bei Zugangs- und Berechtigungsstrukturen ( zentral/dezentral ), Passwort-Sicherheit, usw.
• Hardwaresysteme:
  Chipkarten, Netzwerk-Bausteine und Netzwerk-Hardware, Identifikation und Zugangskontrolle, Konzelationsschlüssel, Digitale Rechteverwaltung und "Trusted Computing" ( Trust bedeutet hier hier nicht Vertrauen, sondern meint z.B. die User-Berechtigung zum Musik hören), usw.

Experten-Programme Welche gibt es?

Hier einige einführende Sätze von einem Security-Manager:

• Ein Sicherheitsberater sagte: "Wenn bei Abwesenheit ihr Portemonnaie vom Küchentisch gestohlen wird, so merkt man es daran, daß es weg ist. Wenn bei der Bürosoftware persönliches Daten, Briefe, Firmengeheimnisse, Paßwörter, usw. gestohlen werden, so merkt man es daran, daß die Dateien noch da sind."
• Ein Sicherheitsberater entdeckt in einer Firma einen frei zugänglichen ( ohne Authentifizierungseinrichtung ) und oft benutzten Multifunktionsdrucker am Gerät. Der Drucker wird gerne für Kopien, Scans und zum Versenden von Kopien genutzt. Was bedeutet das?
• Ein Sicherheitsberater bemerkt: Antiviren-Software nutzt bei einem vollständigen Sicherheitsscann des PCs Signatur-Namen und Signatur-Muster. Für die Ermittlung der weltweite Verteilungen von "cleanen-Software-Produkten" erlaubt sich der Virenscanner Pfad- und Datei-Namen aller Dateien mit den Bewertungen zu seinem Sicherheitsserver zu übertragen. Was bedeutet das?
• Ein Sicherheitsberater bemerkt bei Kontrollen der der Antiviren-Software, daß diese sich ähnlich wie Rootkits vor dem Betriebssystem verborgen und unangreifbar ist. Warum? Wozu? Haben Rootkits Backdoor-Funktionalitäten?
• Mit einem System-Spy-Analyseprogramm entdeckt ein Sicherheitsberater mehrere Hook-Funktionalitäten auf System-Handles. Was sind System-Handles? Was sind erweiterte Hook-Funktionalitäten ( z.B. Tastatur-Hook )? Was sind Hooks aus Sicht der objektorientierten Programmierung, Vererbung, Delegation. Was entspricht einander Hook, Einschubmethode, Callback, Rückruffunktion?

Es geht um "Eingemachtes". Welche Erfahrungen habe ich mit sicherheitsrelevanten Tools und Programm-Systemen?

• Wie kann man bei heutigen Betriebssystemen den aufwendigen Systemstart visualisieren und beobachten?
• Welche Programme nutzten Informatik-Studierende für einen Überblick zur Datensicherheit und ungewollten Daten-Klau?
• Wozu dient ein Router und eine Firewall
• Wie kann ich den ungewollten Datenklau feststellen, protokollieren?

Erstelle Self-Assessments Kernaufgabe

Es sind Multiple-Choice-Self-Assessments zu erstellen. Wie soll das gemacht werden?

• Wie soll das Ergebnis aussehen? Hier sind 2 Beispiele für Multiple-Choice-Self-Assessments zu Informatonssicherheit und Recht
• Welches Thema soll für die Erstellung gewählt werden? Es geht um ein Teilgebiet zu Information und Datensicherheit. Die Mind-map zur Informationssicherheit ( de.wikipedia, großes SVG-Bild, bitte scrollen ) bietet zahlreiche Schlagworte.
• Wie fange ich an?
  1. Wählen sie einen geeignete Titel zu [ t ] aus der Mind-map zur Informationssicherheit ( de.wikipedia, großes SVG-Bild, bitte scrollen )
  2. Nachdem sie das Gebiet technisch-wissenschaftlich fundiert aufgearbeitet haben formulieren sie mindestens 5 Fragen mit jeweil ca. 2 richtigen und mindestens einer falschen Antwort. Prinzip:

     Allgemeine Hinweise 
     [  i  ] Die folgenden multiple-Choice-Fragen behandeln ... und wurden erstellt von ... 
     
      Empfohlene Weblinks: 
      [ http://www.cilie.org/esa/information/kryptologie.htm     Kryptologie  ] ,
      [ http://de.wikipedia.org/wiki/Verschlüsselungsverfahren   Verschlüsselungsverfahren  ] 
     
     
     [ t ] TITEL des TEILGEBIET ( selbst ausgewählt )
     
     
     [ ? ] Bei dieser Frage geht es um ...  
         Richtige Antworten bitte ankreuzen.
     
     [ ] ... funktioniert ausschließlich mit dem ASCII-Code
     [  i  ] siehe
      [ http://de.wikipedia.org/wiki/ASCII  ASCII-Code  ] 
     
     [x] ... geht auf ... zurück.
     
     [x] Der Algorithmus benötigt ... 
     [  i  ] siehe auch ...
     
     
     [ ? ] Dieser Frage behandelt ...  Richtige Antworten bitte ankreuzen.
     [x] Dies ist eine richtige Antwort
     [x] Richtige Antwort
     [ ] Falsche Antwort
     

  3. Wie wird die live-Self-Assessment-Seite gemacht? Mit Multipke-Choice-Erstellen wird ihre .htm-Seite erstellt.

Viel Freude bei der Ausarbeitung!
Letzter Abgabetermine So 12.00 Uhr