jleibl/ihk-ausbildung
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
ihk-ausbildung/1-Ausbildungsjahr/LF4-Schutzbedarfsanalyse/LF4-Notizen.md

5.6 KiB
Raw Permalink Blame History

LF 4: Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen

1. Ausbildungsjahr | Zeitrichtwert: 40 Stunden

Kernkompetenz

Die Schülerinnen und Schüler verfügen über die Kompetenz, mit Hilfe einer bestehenden Sicherheitsleitlinie eine Schutzbedarfsanalyse zur Ermittlung der Informationssicherheit auf Grundschutzniveau in ihrem Arbeitsbereich durchzuführen.

Lernziele

Nach diesem Lernfeld kannst du:

  • Die Schutzziele der Informationssicherheit erklären
  • Rechtliche Regelungen zum Datenschutz anwenden (DSGVO, BDSG)
  • Bedrohungen für IT-Systeme identifizieren
  • Eine Schutzbedarfsanalyse durchführen
  • Schutzmaßnahmen vorschlagen und umsetzen
  • Den IT-Sicherheitsprozess reflektieren

Schutzziele (CIA)

┌─────────────────────────────────────────────────────────────┐
│                    SCHUTZZIELE                           │
├─────────────────┬─────────────────┬─────────────────────┤
│ VERTRAULICHKEIT │    INTEGRITÄT   │  VERFÜGBARKEIT     │
│ (Confidentiality)│ (Integrity)     │ (Availability)      │
├─────────────────┼─────────────────┼─────────────────────┤
│ Nur befugte     │ Daten müssen    │ Systeme und Daten   │
│ Personen können  │ korrekt und    │ sind bei Bedarf    │
│ Daten lesen     │ unverändert     │ verfügbar          │
│                 │ sein            │                    │
├─────────────────┴─────────────────┴─────────────────────┤
│ Weitere Schutzziele:                                    │
│ - Authentizität (Echtheit nachweisen)                 │
│ - Verbindlichkeit (Nicht-Abstreitbarkeit)               │
│ - Zurechenbarkeit (Rückverfolgbarkeit)                 │
└─────────────────────────────────────────────────────────────┘

Bedrohungen

Kategorien

Kategorie Beispiele
Technisch Hardware-Ausfall, Software-Fehler, Malware
Natürlich Hochwasser, Feuer, Blitzschlag
Menschlich Fahrlässigkeit, Vorsatz, Social Engineering
Organisatorisch Prozessfehler, Personalmangel

Häufige Angriffe

Angriffsvektoren:
├── Phishing
├── Ransomware
├── DDoS
├── SQL Injection
├── Cross-Site Scripting (XSS)
├── Man-in-the-Middle
├── Brute Force
└── Zero-Day-Exploits

Schutzmaßnahmen

Organisatorisch

  • Sicherheitsrichtlinien
  • Schulungen/Awareness
  • Zugriffskontrollen
  • Incident-Response-Prozess

Technisch

  • Firewall
  • Antivirensoftware
  • Verschlüsselung
  • Backup/Recovery
  • Updates/Patches

Physisch

  • Zutrittskontrolle
  • Brandschutz
  • USV (unterbrechungsfreie Stromversorgung)

Rechtliche Grundlagen

DSGVO (Datenschutz-Grundverordnung)

  • seit 25.05.2018 wirksam
  • Personenbezogene Daten schützen
  • Betroffenenrechte stärken
  • Bußgelder bis 20 Mio. € oder 4% des Jahresumsatzes

BDSG (Bundesdatenschutzgesetz)

  • Ergänzt DSGVO für Deutschland
  • Regelungen für öffentliche Stellen

Wichtige Begriffe

Begriff Erklärung
Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte Person beziehen
Verarbeitung Speichern, Übermitteln, Löschen, etc.
Einwilligung Freiwillige, informierte Zustimmung
Datenschutzbeauftragter Pflicht bei >20 Mitarbeitern mit Datenverarbeitung

BSI-Grundschutz

Vorgehen

  1. Strukturanalyse: IT-Systeme erfassen
  2. Schutzbedarfsfeststellung: Schutzniveau bestimmen
  3. Modellierung: Geeignete Bausteine auswählen
  4. Umsetzung: Maßnahmen umsetzen
  5. Erprobung: Basis-Check durchführen

Schutzbedarfskategorien

Kategorie Normal Hoch Sehr Hoch
Vertraulichkeit begrenzt erheblich existenzbedrohend
Integrität begrenzt erheblich existenzbedrohend
Verfügbarkeit begrenzt erheblich existenzbedrohend

Verschlüsselung

Symmetrisch

  • Ein Schlüssel für Ver- und Entschlüsselung
  • Bsp.: AES, DES, 3DES
  • Schnell, aber Schlüsselaustausch problematisch

Asymmetrisch

  • Schlüsselpaar: öffentlich + privat
  • Bsp.: RSA, ECC
  • Langsamer, sicherer Schlüsselaustausch

Hybride Verfahren

  • Asymmetrisch für Schlüsselaustausch
  • Symmetrisch für Datenverschlüsselung
  • Bsp.: TLS/SSL, PGP

Handlungsphasen

  1. Informieren: Sicherheitsleitlinie, Schutzziele
  2. Planen: Schutzbedarfsanalyse vorbereiten
  3. Durchführen: Analyse durchführen, Maßnahmen ableiten
  4. Überprüfen: Ergebnisse bewerten
  5. Reflektieren: Prozess bewerten

Prüfungsrelevanz

  • Wichtiges Grundlagen-Lernfeld für IT-Sicherheit
  • Wird in Teil 1 und Teil 2 der Prüfung vorausgesetzt
  • Basis für LF 11b/d (Betrieb und Sicherheit vernetzter Systeme)

Querverweise

Stand: 2024 | Quelle: KMK Rahmenlehrplan 13.12.2019

Reference in New Issue View Git Blame Copy Permalink