Initial commit: IHK Ausbildung materials

1-Ausbildungsjahr/LF4-Schutzbedarfsanalyse/LF4-Notizen.md

@@ -0,0 +1,183 @@
+# LF 4: Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen
+
+> **1. Ausbildungsjahr** | Zeitrichtwert: **40 Stunden**
+
+## Kernkompetenz
+
+Die Schülerinnen und Schüler verfügen über die Kompetenz, mit Hilfe einer bestehenden Sicherheitsleitlinie eine Schutzbedarfsanalyse zur Ermittlung der Informationssicherheit auf Grundschutzniveau in ihrem Arbeitsbereich durchzuführen.
+
+---
+
+## Lernziele
+
+Nach diesem Lernfeld kannst du:
+- [ ] Die Schutzziele der Informationssicherheit erklären
+- [ ] Rechtliche Regelungen zum Datenschutz anwenden (DSGVO, BDSG)
+- [ ] Bedrohungen für IT-Systeme identifizieren
+- [ ] Eine Schutzbedarfsanalyse durchführen
+- [ ] Schutzmaßnahmen vorschlagen und umsetzen
+- [ ] Den IT-Sicherheitsprozess reflektieren
+
+---
+
+## Schutzziele (CIA)
+
+```
+┌─────────────────────────────────────────────────────────────┐
+│                    SCHUTZZIELE                           │
+├─────────────────┬─────────────────┬─────────────────────┤
+│ VERTRAULICHKEIT │    INTEGRITÄT   │  VERFÜGBARKEIT     │
+│ (Confidentiality)│ (Integrity)     │ (Availability)      │
+├─────────────────┼─────────────────┼─────────────────────┤
+│ Nur befugte     │ Daten müssen    │ Systeme und Daten   │
+│ Personen können  │ korrekt und    │ sind bei Bedarf    │
+│ Daten lesen     │ unverändert     │ verfügbar          │
+│                 │ sein            │                    │
+├─────────────────┴─────────────────┴─────────────────────┤
+│ Weitere Schutzziele:                                    │
+│ - Authentizität (Echtheit nachweisen)                 │
+│ - Verbindlichkeit (Nicht-Abstreitbarkeit)               │
+│ - Zurechenbarkeit (Rückverfolgbarkeit)                 │
+└─────────────────────────────────────────────────────────────┘
+```
+
+---
+
+## Bedrohungen
+
+### Kategorien
+
+| Kategorie | Beispiele |
+|-----------|-----------|
+| **Technisch** | Hardware-Ausfall, Software-Fehler, Malware |
+| **Natürlich** | Hochwasser, Feuer, Blitzschlag |
+| **Menschlich** | Fahrlässigkeit, Vorsatz, Social Engineering |
+| **Organisatorisch** | Prozessfehler, Personalmangel |
+
+### Häufige Angriffe
+
+```
+Angriffsvektoren:
+├── Phishing
+├── Ransomware
+├── DDoS
+├── SQL Injection
+├── Cross-Site Scripting (XSS)
+├── Man-in-the-Middle
+├── Brute Force
+└── Zero-Day-Exploits
+```
+
+---
+
+## Schutzmaßnahmen
+
+### Organisatorisch
+- Sicherheitsrichtlinien
+- Schulungen/Awareness
+- Zugriffskontrollen
+- Incident-Response-Prozess
+
+### Technisch
+- Firewall
+- Antivirensoftware
+- Verschlüsselung
+- Backup/Recovery
+- Updates/Patches
+
+### Physisch
+- Zutrittskontrolle
+- Brandschutz
+- USV (unterbrechungsfreie Stromversorgung)
+
+---
+
+## Rechtliche Grundlagen
+
+### DSGVO (Datenschutz-Grundverordnung)
+- seit 25.05.2018 wirksam
+- Personenbezogene Daten schützen
+- Betroffenenrechte stärken
+- Bußgelder bis 20 Mio. € oder 4% des Jahresumsatzes
+
+### BDSG (Bundesdatenschutzgesetz)
+- Ergänzt DSGVO für Deutschland
+- Regelungen für öffentliche Stellen
+
+### Wichtige Begriffe
+
+| Begriff | Erklärung |
+|---------|-----------|
+| **Personenbezogene Daten** | Alle Informationen, die sich auf eine identifizierte Person beziehen |
+| **Verarbeitung** | Speichern, Übermitteln, Löschen, etc. |
+| **Einwilligung** | Freiwillige, informierte Zustimmung |
+| **Datenschutzbeauftragter** | Pflicht bei >20 Mitarbeitern mit Datenverarbeitung |
+
+---
+
+## BSI-Grundschutz
+
+### Vorgehen
+
+1. **Strukturanalyse**: IT-Systeme erfassen
+2. **Schutzbedarfsfeststellung**: Schutzniveau bestimmen
+3. **Modellierung**: Geeignete Bausteine auswählen
+4. **Umsetzung**: Maßnahmen umsetzen
+5. **Erprobung**: Basis-Check durchführen
+
+### Schutzbedarfskategorien
+
+| Kategorie | Normal | Hoch | Sehr Hoch |
+|-----------|--------|------|-----------|
+| Vertraulichkeit | begrenzt | erheblich | existenzbedrohend |
+| Integrität | begrenzt | erheblich | existenzbedrohend |
+| Verfügbarkeit | begrenzt | erheblich | existenzbedrohend |
+
+---
+
+## Verschlüsselung
+
+### Symmetrisch
+- Ein Schlüssel für Ver- und Entschlüsselung
+- Bsp.: AES, DES, 3DES
+- Schnell, aber Schlüsselaustausch problematisch
+
+### Asymmetrisch
+- Schlüsselpaar: öffentlich + privat
+- Bsp.: RSA, ECC
+- Langsamer, sicherer Schlüsselaustausch
+
+### Hybride Verfahren
+- Asymmetrisch für Schlüsselaustausch
+- Symmetrisch für Datenverschlüsselung
+- Bsp.: TLS/SSL, PGP
+
+---
+
+## Handlungsphasen
+
+1. **Informieren**: Sicherheitsleitlinie, Schutzziele
+2. **Planen**: Schutzbedarfsanalyse vorbereiten
+3. **Durchführen**: Analyse durchführen, Maßnahmen ableiten
+4. **Überprüfen**: Ergebnisse bewerten
+5. **Reflektieren**: Prozess bewerten
+
+---
+
+## Prüfungsrelevanz
+
+- Wichtiges Grundlagen-Lernfeld für IT-Sicherheit
+- Wird in Teil 1 und Teil 2 der Prüfung vorausgesetzt
+- Basis für LF 11b/d (Betrieb und Sicherheit vernetzter Systeme)
+
+---
+
+## Querverweise
+
+- [[LF3-Netzwerke-einbinden|Vorher: LF 3]]
+- [[LF5-Datenbanken-anpassen|Nachher: LF 5]]
+- [[IT-Sicherheit|Vertiefung IT-Sicherheit]]
+
+---
+
+*Stand: 2024 | Quelle: KMK Rahmenlehrplan 13.12.2019*