184 lines
5.6 KiB
Markdown
184 lines
5.6 KiB
Markdown
# LF 4: Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen
|
|
|
|
> **1. Ausbildungsjahr** | Zeitrichtwert: **40 Stunden**
|
|
|
|
## Kernkompetenz
|
|
|
|
Die Schülerinnen und Schüler verfügen über die Kompetenz, mit Hilfe einer bestehenden Sicherheitsleitlinie eine Schutzbedarfsanalyse zur Ermittlung der Informationssicherheit auf Grundschutzniveau in ihrem Arbeitsbereich durchzuführen.
|
|
|
|
---
|
|
|
|
## Lernziele
|
|
|
|
Nach diesem Lernfeld kannst du:
|
|
- [ ] Die Schutzziele der Informationssicherheit erklären
|
|
- [ ] Rechtliche Regelungen zum Datenschutz anwenden (DSGVO, BDSG)
|
|
- [ ] Bedrohungen für IT-Systeme identifizieren
|
|
- [ ] Eine Schutzbedarfsanalyse durchführen
|
|
- [ ] Schutzmaßnahmen vorschlagen und umsetzen
|
|
- [ ] Den IT-Sicherheitsprozess reflektieren
|
|
|
|
---
|
|
|
|
## Schutzziele (CIA)
|
|
|
|
```
|
|
┌─────────────────────────────────────────────────────────────┐
|
|
│ SCHUTZZIELE │
|
|
├─────────────────┬─────────────────┬─────────────────────┤
|
|
│ VERTRAULICHKEIT │ INTEGRITÄT │ VERFÜGBARKEIT │
|
|
│ (Confidentiality)│ (Integrity) │ (Availability) │
|
|
├─────────────────┼─────────────────┼─────────────────────┤
|
|
│ Nur befugte │ Daten müssen │ Systeme und Daten │
|
|
│ Personen können │ korrekt und │ sind bei Bedarf │
|
|
│ Daten lesen │ unverändert │ verfügbar │
|
|
│ │ sein │ │
|
|
├─────────────────┴─────────────────┴─────────────────────┤
|
|
│ Weitere Schutzziele: │
|
|
│ - Authentizität (Echtheit nachweisen) │
|
|
│ - Verbindlichkeit (Nicht-Abstreitbarkeit) │
|
|
│ - Zurechenbarkeit (Rückverfolgbarkeit) │
|
|
└─────────────────────────────────────────────────────────────┘
|
|
```
|
|
|
|
---
|
|
|
|
## Bedrohungen
|
|
|
|
### Kategorien
|
|
|
|
| Kategorie | Beispiele |
|
|
|-----------|-----------|
|
|
| **Technisch** | Hardware-Ausfall, Software-Fehler, Malware |
|
|
| **Natürlich** | Hochwasser, Feuer, Blitzschlag |
|
|
| **Menschlich** | Fahrlässigkeit, Vorsatz, Social Engineering |
|
|
| **Organisatorisch** | Prozessfehler, Personalmangel |
|
|
|
|
### Häufige Angriffe
|
|
|
|
```
|
|
Angriffsvektoren:
|
|
├── Phishing
|
|
├── Ransomware
|
|
├── DDoS
|
|
├── SQL Injection
|
|
├── Cross-Site Scripting (XSS)
|
|
├── Man-in-the-Middle
|
|
├── Brute Force
|
|
└── Zero-Day-Exploits
|
|
```
|
|
|
|
---
|
|
|
|
## Schutzmaßnahmen
|
|
|
|
### Organisatorisch
|
|
- Sicherheitsrichtlinien
|
|
- Schulungen/Awareness
|
|
- Zugriffskontrollen
|
|
- Incident-Response-Prozess
|
|
|
|
### Technisch
|
|
- Firewall
|
|
- Antivirensoftware
|
|
- Verschlüsselung
|
|
- Backup/Recovery
|
|
- Updates/Patches
|
|
|
|
### Physisch
|
|
- Zutrittskontrolle
|
|
- Brandschutz
|
|
- USV (unterbrechungsfreie Stromversorgung)
|
|
|
|
---
|
|
|
|
## Rechtliche Grundlagen
|
|
|
|
### DSGVO (Datenschutz-Grundverordnung)
|
|
- seit 25.05.2018 wirksam
|
|
- Personenbezogene Daten schützen
|
|
- Betroffenenrechte stärken
|
|
- Bußgelder bis 20 Mio. € oder 4% des Jahresumsatzes
|
|
|
|
### BDSG (Bundesdatenschutzgesetz)
|
|
- Ergänzt DSGVO für Deutschland
|
|
- Regelungen für öffentliche Stellen
|
|
|
|
### Wichtige Begriffe
|
|
|
|
| Begriff | Erklärung |
|
|
|---------|-----------|
|
|
| **Personenbezogene Daten** | Alle Informationen, die sich auf eine identifizierte Person beziehen |
|
|
| **Verarbeitung** | Speichern, Übermitteln, Löschen, etc. |
|
|
| **Einwilligung** | Freiwillige, informierte Zustimmung |
|
|
| **Datenschutzbeauftragter** | Pflicht bei >20 Mitarbeitern mit Datenverarbeitung |
|
|
|
|
---
|
|
|
|
## BSI-Grundschutz
|
|
|
|
### Vorgehen
|
|
|
|
1. **Strukturanalyse**: IT-Systeme erfassen
|
|
2. **Schutzbedarfsfeststellung**: Schutzniveau bestimmen
|
|
3. **Modellierung**: Geeignete Bausteine auswählen
|
|
4. **Umsetzung**: Maßnahmen umsetzen
|
|
5. **Erprobung**: Basis-Check durchführen
|
|
|
|
### Schutzbedarfskategorien
|
|
|
|
| Kategorie | Normal | Hoch | Sehr Hoch |
|
|
|-----------|--------|------|-----------|
|
|
| Vertraulichkeit | begrenzt | erheblich | existenzbedrohend |
|
|
| Integrität | begrenzt | erheblich | existenzbedrohend |
|
|
| Verfügbarkeit | begrenzt | erheblich | existenzbedrohend |
|
|
|
|
---
|
|
|
|
## Verschlüsselung
|
|
|
|
### Symmetrisch
|
|
- Ein Schlüssel für Ver- und Entschlüsselung
|
|
- Bsp.: AES, DES, 3DES
|
|
- Schnell, aber Schlüsselaustausch problematisch
|
|
|
|
### Asymmetrisch
|
|
- Schlüsselpaar: öffentlich + privat
|
|
- Bsp.: RSA, ECC
|
|
- Langsamer, sicherer Schlüsselaustausch
|
|
|
|
### Hybride Verfahren
|
|
- Asymmetrisch für Schlüsselaustausch
|
|
- Symmetrisch für Datenverschlüsselung
|
|
- Bsp.: TLS/SSL, PGP
|
|
|
|
---
|
|
|
|
## Handlungsphasen
|
|
|
|
1. **Informieren**: Sicherheitsleitlinie, Schutzziele
|
|
2. **Planen**: Schutzbedarfsanalyse vorbereiten
|
|
3. **Durchführen**: Analyse durchführen, Maßnahmen ableiten
|
|
4. **Überprüfen**: Ergebnisse bewerten
|
|
5. **Reflektieren**: Prozess bewerten
|
|
|
|
---
|
|
|
|
## Prüfungsrelevanz
|
|
|
|
- Wichtiges Grundlagen-Lernfeld für IT-Sicherheit
|
|
- Wird in Teil 1 und Teil 2 der Prüfung vorausgesetzt
|
|
- Basis für LF 11b/d (Betrieb und Sicherheit vernetzter Systeme)
|
|
|
|
---
|
|
|
|
## Querverweise
|
|
|
|
- [[LF3-Netzwerke-einbinden|Vorher: LF 3]]
|
|
- [[LF5-Datenbanken-anpassen|Nachher: LF 5]]
|
|
- [[IT-Sicherheit|Vertiefung IT-Sicherheit]]
|
|
|
|
---
|
|
|
|
*Stand: 2024 | Quelle: KMK Rahmenlehrplan 13.12.2019*
|