Information Security Foundation based. on ISO/IEC Musterexamen. Inhalt. Inhalt 2 Einführung 4

Transkript

1 Musterexamen Inhalt Information Security Foundation based Inhalt 2 Einführung 4 on ISO/IEC Musterexame n 5 Antwortschlüs sel 17 Beurteilung 39 Ausgabe April 2011

2 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN. 2

3 Inhalt Einführung 4 Musterexamen 5 Antwortschlüssel 17 Beurteilung 39 3

4 Einführung Dies ist das Musterexamen Information Security Foundation based on ISO/IEC Dieses Musterexamen erfolgt im Multiple-Choice-Verfahren und umfasst 40 Fragen. Von den pro Frage gegebenen Antworten ist jeweils nur eine richtig. Die maximal erreichbare Punktzahl beträgt 40 Punkte. Jede richtige Antwort zählt einen Punkt. Das Examen gilt als bestanden, wenn ein Kandidat 26 oder mehr Punkte erreicht hat. Die Dauer des Examens ist 60 Minuten. Aus diesen Angaben können Sie keine Rechte ableiten. Viel Erfolg! 4

5 Musterexamen 1 von 40 Sie haben den Entwurf Ihrer Steuererklärung von Ihrem Steuerberater erhalten und prüfen, ob die darin enthaltenen Daten korrekt sind. Welches Merkmal der Zuverlässigkeit von Informationen prüfen Sie? A. Die Verfügbarkeit B. Die Ausschließlichkeit C. Die Integrität D. Die Vertraulichkeit 2 von 40 Ein Verwaltungsamt möchte eine Brandversicherung abschließen und muss dazu den Wert der von ihm verwalteten Daten bestimmen. Welcher der unten genannten Faktoren spielt dabei keine Rolle? A. Der Dateninhalt B. Das Maß, in dem fehlende, unvollständige oder falsche Daten wiederhergestellt werden können. C. Die Unentbehrlichkeit der Daten für die Geschäftsprozesse D. Die Bedeutung der Geschäftsprozesse, für die die Daten verwendet werden. 3 von 40 Der Zugang zu Informationen wird immer einfacher. Brauchbare Informationen müssen aber auch zuverlässig sein. Welcher der unten aufgeführten Aspekte ist kein Aspekt der Zuverlässigkeit von Informationen? A. Die Verfügbarkeit B. Die Integrität C. Die Menge D. Die Vertraulichkeit 5

6 4 von 40 Unter welchen Aspekt der Zuverlässigkeit von Informationen fällt die "Vollständigkeit"? A. Unter den Aspekt der Verfügbarkeit B. Unter den Aspekt der Ausschließlichkeit C. Unter den Aspekt der Integrität D. Unter den Aspekt der Vertraulichkeit 5 von 40 Ein Verwaltungsamt beabsichtigt, die Gefahren zu bestimmen, denen es ausgesetzt ist. Wie nennt man ein mögliches Informationssicherheitsereignis, das sich negativ auf die Zuverlässigkeit von Informationen auswirken kann? A. Abhängigkeit B. Bedrohung C. Schwachstellen D. Risiko 6 von 40 Was ist die Aufgabe des Risikomanagements? A. Das Risikomanagement bestimmt, mit welcher Wahrscheinlichkeit ein bestimmtes Risiko eintreten wird. B. Das Risikomanagement bestimmt, welcher Schaden durch mögliche Informationssicherheitsvorfälle verursacht wird. C. Das Risikomanagement beschreibt, welchen Bedrohungen die IT-Ressourcen ausgesetzt sind. D. Das Risikomanagement wendet Sicherheitsmaßnahmen an, um die Risiken auf ein akzeptabeles Maß zu senken. 6

7 7 von 40 Welche der nachfolgenden Aussagen zur Risikoanalyse ist korrekt? 1. Die in einer Risikoanalyse benannten Risiken können klassifiziert werden. 2. Eine Risikoanalyse muss alle Einzelheiten berücksichtigen. 3. Eine Risikoanalyse beschränkt sich auf die Verfügbarkeit. 4. Eine Risikoanalyse lässt sich einfach durchführen, dazu muss nur ein kurzer Fragebogen mit Standardfragen ausgefüllt werden. A. 1 B. 2 C. 3 D. 4 8 von 40 Welches der unten aufgeführten Beispiele kann als Betrug eingestuft werden? 1. Die Infektion eines Computers mit einem Virus. 2. Die Durchführung einer nicht autorisierten Transaktion. 3. Das 'Anzapfen' von Kommunikationsleitungen und -netzen. 4. Die Nutzung des Internets für private Zwecke. A. 1 B. 2 C. 3 D. 4 9 von 40 Brandschäden stellen für ein Unternehmen ein mögliches Risiko dar. Tritt diese Bedrohung ein, das heißt bricht in einem Unternehmen tatsächlich ein Brand aus, so können direkte und indirekte Schäden die Folge sein. Was ist ein Beispiel für einen direkten Schaden? A. Eine Datenbank wird zerstört B. Imageverlust C. Verlust von Kundenvertrauen D. Gesetzliche Verpflichtungen können nicht mehr erfüllt werden. 7

8 10 von 40 Zur Risikominderung entscheidet sich ein Unternehmen für einen strategischen Maßnahmenmix. Eine dieser Maßnahmen ist die Organisation eines Standby- Arrangements für das Unternehmen. In welche Kategorie von Maßnahmen fällt ein Standby-Arrangement? A. Unterdrückende Maßnahmen B. Erkennende Maßnahmen C. Vorbeugende Maßnahmen D. Korrigierende Maßnahme 11 von 40 Was ist ein Beispiel für eine Bedrohung, die vom Menschen ausgeht? A. Das Netzwerk wird über einen USB-Stick mit einem Virus infiziert. B. Der Server-Raum ist zu staubig. C. Ein Leck hat einen Stromausfall zur Folge. 12 von 40 Was ist ein Beispiel für eine Bedrohung, die vom Menschen ausgeht? A. Blitzschlag B. Feuer C. Phishing 13 von 40 Informationen umfassen verschiedene Aspekte der Zuverlässigkeit. Die Zuverlässigkeit von Informationen ist konstant bedroht. Beispiele für mögliche Bedrohungen sind u.a.: Ein lockeres Kabel, die versehentliche Änderung von Informationen, die Nutzung von Daten für private Zwecke und die Fälschung von Daten. Welches dieser Beispiele ist eine Bedrohung für die Vertraulichkeit von Informationen? A. Ein lockeres Kabel B. Das versehentliche Löschen von Daten C. Die Nutzung von Daten für private Zwecke D. Das Fälschen von Daten 8

9 14 von 40 Ein Mitarbeiter streitet ab, eine bestimmte Nachricht versendet zu haben. Welcher Aspekt der Zuverlässigkeit von Informationen ist hier in Gefahr? A. Die Verfügbarkeit B. Die Richtigkeit C. Die Integrität D. Die Vertraulichkeit 15 von 40 Der Lebenszyklus eines Informationssicherheitsvorfalls besteht aus vier aufeinanderfolgenden Schritten. In welcher Reihenfolge erfolgen diese Schritte? A. Bedrohung, Schaden, Vorfall, Wiederherstellung B. Bedrohung, Vorfall, Schaden, Wiederherstellung C. Vorfall, Bedrohung, Schaden, Wiederherstellung D. Vorfall, Wiederherstellung, Schaden, Bedrohung 16 von 40 In einer Niederlassung einer Krankenversicherung bricht ein Feuer aus. Das Personal wird auf andere Niederlassungen in der Umgebung verteilt und soll dort weiter arbeiten. Wo im Lebenszyklus eines Informationssicherheitsvorfalls sind solche Standby- Arrangements angesiedelt? A. Zwischen Bedrohung und Vorfall B. Zwischen Wiederherstellung und Bedrohung C. Zwischen Schaden und Wiederherstellung D. Zwischen Vorfall und Schaden 9

10 17 von 40 Wie lässt sich der Zweck von Weisungen und Richtlinien zur Informationssicherheit am besten beschreiben? A. Die Weisungen und Richtlinien dokumentieren die Risikoanalyse und die Suche nach Gegenmaßnahmen. B. Die Weisungen und Richtlinien bieten der Geschäftsführung Orientierung und Unterstützung im Bereich der Informationssicherheit. C. Die Weisungen und Richtlinien konkretisieren die Planung der Informationssicherheit und enthalten die erforderlichen Einzelheiten. D. Die Weisungen und Richtlinien bieten Einblicke in Bedrohungen und die möglichen Folgen. 18 von 40 Der Verhaltenskodex für das E-Business basiert auf einer Reihe von Grundsätzen. Welcher der nachfolgend aufgeführten Grundsätze zählt nicht dazu? A. Zuverlässigkeit B. Registrierung C. Geheimhaltung und Vertraulichkeit 19 von 40 Eine Mitarbeiterin des Versicherungsunternehmens Euregio entdeckt, dass das Ablaufdatum einer Versicherungspolice ohne ihr Wissen geändert wurde. Sie ist als Einzige zur Vornahme dieser Änderung berechtigt. Sie meldet diesen Sicherheitsvorfall an den Helpdesk. Der Helpdesk-Mitarbeiter zeichnet diesbezüglich folgende Informationen auf: Datum und Zeit Beschreibung des Sicherheitsvorfalls Mögliche Folgen des Sicherheitsvorfalls Welche wichtigen Informationen bezüglich des Sicherheitsvorfalls fehlen in den Aufzeichnungen? A. Der Name der Person, die den Vorfall gemeldet hat B. Der Name des Software-Pakets C. Die PC-Nummer D. Eine Liste der Personen, die über den Vorfall informiert wurden 10

11 20 von 40 In einem Unternehmen treten folgende Sicherheitsvorfälle auf: 1. Ein Rauchmelder funktioniert nicht. 2. Das Netzwerk wird Opfer eines Hackerangriffs. 3. Jemand gibt vor ein Mitarbeiter zu sein. 4. Eine Datei im Computer lässt sich nicht in eine PDF-Datei umwandeln. Welcher dieser Vorfälle ist kein Informationssicherheitsvorfall? A. 1 B. 2 C. 3 D von 40 Sicherheitsmaßnahmen lassen sich verschieden kombinieren. Welche der nachfolgend aufgeführten Kombinationen ist korrekt? A. Physisch, logisch, vorbeugend B. Logisch, unterdrückend, vorbeugend C. Organisatorisch, vorbeugend, korrigierend, physisch D. Vorbeugend, erkennend, unterdrückend, korrigierend 22 von 40 In einem Computerraum wird ein Rauchmelder angebracht. In welche Kategorie von Sicherheitsmaßnahmen fällt dies? A. Korrigierend B. Erkennend C. Organisatorisch D. Vorbeugend 11

12 23 von 40 Die Informationssicherheitsbeauftragte (ISB) des Versicherungsunternehmens Euregio möchte eine Liste von Sicherheitsmaßnahmen zusammenstellen lassen. Was muss sie tun, bevor Sicherheitsmaßnahmen überhaupt ausgewählt werden können? A. Eine Überwachung einrichten. B. Eine Bewertung durchführen. C. Weisungen und Richtlinien zur Informationssicherheit formulieren. D. Eine Risikoanalyse durchführen. 24 von 40 Welchen Zweck verfolgt die Klassifizierung von Informationen? A. Die Festlegung, welche Arten von Informationen welches Maß an Schutz benötigen. B. Die Zuweisung von Informationen an einen Verantwortlichen. C. Die Verringerung der Risiken menschlicher Fehler. D. Die Vorbeugung eines unautorisierten Zugriffs auf Informationen. 25 von 40 Der Zugriff auf streng geschützte Bereiche erfordert eine starke Autorisierung. Bei einer starken Autorisierung wird die Identität einer Person mittels drei Faktoren identifiziert. Was wird bei Eingabe der persönlichen Identifizierungsnummer (PIN) verifiziert? A. Was man ist B. Was man hat C. Was man weiß 26 von 40 Der Zugang zu einem Computerraum ist mit Hilfe eines Karten-Lesegeräts geschützt. Nur die für das Systemmanagement zuständige Abteilung verfügt über eine Zugangskarte. Um welche Art von Sicherheitsmaßnahme handelt es sich? A. Eine korrigierende Sicherheitsmaßnahme B. Eine physische Sicherheitsmaßnahme C. Eine logische Sicherheitsmaßnahme D. Eine unterdrückende Sicherheitsmaßnahme 12

13 27 von 40 Vier (4) Mitarbeiter der IT-Abteilung teilen sich eine (1) Zugangskarte für den Computerraum. Welches Risiko beinhaltet dies? A. Bei einem Stromausfall schaltet sich der Computer aus. B. Bricht ein Feuer aus, so können die Feuerlöscher nicht eingesetzt werden. C. Verschwindet etwas aus dem Computerraum, dann ist nicht klar, wer dafür verantwortlich ist. D. Unautorisierte Personen können sich unbemerkt Zugang zu dem Computerraum verschaffen. 28 von 40 In der Empfangshalle des Verwaltungsamts befindet sich ein Drucker, den alle Mitarbeiter im Notfall benützen können. Es wurde vereinbart, dass Ausdrucke sofort abgeholt werden müssen, damit sie nicht in die Hände von Besuchern fallen. Welches weitere Risiko beinhaltet diese Situation für die Information des Unternehmens? A. Dateien könnten im Speicher des Druckers verbleiben. B. Besucher könnten vertrauliche Informationen aus dem Netz kopieren und ausdrucken. C. Der Drucker kann durch übermäßigen Gebrauch kaputt werden und dann nicht mehr für die Nutzung zur Verfügung stehen. 29 von 40 Welche der nachfolgenden Sicherheitsmaßnahmen ist eine technische Maßnahme? 1. Die Zuweisung von Informationen an einen Verantwortlichen 2. Die Verschlüsselung von Dateien 3. Die Erstellung von Weisungen und Richtlinien, die festlegen, was in einer erlaubt ist und was nicht 4. Die Aufbewahrung von Passwörtern für das Management des Systems in einem Safe A. 1 B. 2 C. 3 D. 4 13

14 30 von 40 Die Backups des zentralen Servers werden im gleichen verschlossenen Raum aufbewahrt wie die Server selbst. Welches Risiko ergibt sich daraus für die Organisation? A. Bei einem Server-Ausfall dauert es lange, bis der Server wieder in Betrieb genommen werden kann. B. Im Falle eines Brandes lässt sich der Zustand des Systems vor dem Brand nicht wiederherstellen. C. Keiner ist für die Backups zuständig. D. Unbefugte können leicht auf die Backups zugreifen. 31 von 40 Bei welcher der nachfolgenden Technologien handelt es sich um Schadsoftware? A. Bei einer Verschlüsselung B. Bei einer Hashfunktion C. Bei einem virtuellen privaten Netz (VPN) D. Bei Viren, Würmern und Spyware 32 von 40 Welche Maßnahme ist bei einer Schadsoftware nutzlos? A. Eine aktive Patch-Politik B. Anti-Spy-Programme C. Ein Spamfilter D. Ein Passwort 33 von 40 Was ist ein Beispiel für eine organisatorische Maßnahme? A. Ein Datenbackup B. Eine Verschlüsselung C. Die Aufgabenteilung D. Die Aufbewahrung von Netzwerkgeräten und Anschlussdosen in einem verschlossenen Raum 14

15 34 von 40 Bei der Identifizierung wird festgestellt, ob die Identität einer Person korrekt ist. Ist diese Aussage richtig? A. Ja B. Nein 35 von 40 Warum muss ein Notfallwiederherstellungsplan ständig aktualisiert und in regelmäßigen Abständen getestet werden? A. Um stets Zugriff auf die neuesten Backups zu haben, die sich außerhalb des Büros befinden. B. Um mit den täglich auftretenden Fehlern fertig zu werden. C. Weil anderenfalls die bei einer weitreichenden Störung ergriffenen Maßnahmen und die Verfahren zur Behebung von Sicherheitsvorfällen möglicherweise nicht ausreichend oder veraltet sind. D. Weil dies laut Datenschutzgesetz notwendig ist. 36 von 40 Was ist eine Autorisierung? A. Die Feststellung der Identität einer Person. B. Die Registrierung der durchgeführten Maßnahmen. C. Die Verifizierung der Identität einer Person. D. Die Gewährung bestimmter Rechte, wie z.b. eines selektiven Zugriffs, für eine Person. 37 von 40 Welche wichtige gesetzliche Norm im Bereich der Informationssicherheit muss eine Regierung erfüllen? A. Analyse der Abhängigkeiten und Schwachstellen B. ISO/IEC C. ISO/IEC D. Die nationale Gesetzgebung und die nationalen Vorschriften zur Informationssicherheit 15

16 38 von 40 Auf der Basis von welchem Gesetz kann eine Person verlangen, die über sie gespeicherten Daten einzusehen? A. Auf der Basis des Bundesarchivgesetzes B. Auf der Basis des Datenschutzgesetzes C. Auf der Basis des Gesetzes zur Bekämpfung der Computerkriminalität D. Auf der Basis des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (Informationsfreiheitsgesetz) 39 von 40 Der Leitfaden für die Informationssicherheit (ISO/IEC 27002) beschreibt die Methode der Risikoanalyse. Ist diese Aussage richtig? A. Ja B. Nein 40 von 40 Der Leitfaden für Informationssicherheit (ISO/IEC 27002) gilt nur für große Unternehmen. Ist diese Aussage richtig? A. Ja B. Nein 16

17 Antwortschlüssel 1 von 40 Sie haben den Entwurf Ihrer Steuererklärung von Ihrem Steuerberater erhalten und prüfen, ob die darin enthaltenen Daten korrekt sind. Welches Merkmal der Zuverlässigkeit von Informationen prüfen Sie? A. Die Verfügbarkeit B. Die Ausschließlichkeit C. Die Integrität D. Die Vertraulichkeit A. Falsch. Die Verfügbarkeit sagt aus, in welchem Maß die Daten den Benutzern zum geforderten Zeitpunkt zur Verfügung stehen. B. Falsch. Die Ausschließlichkeit ist ein Merkmal der Vertraulichkeit. C. Richtig. Hier geht es um Integrität. Siehe Abschnitt des Lehrbuchs Foundations of Information Security. D. Falsch. Die Vertraulichkeit besagt, in welchem Maß der Datenzugriff auf autorisierte Nutzer beschränkt ist. 2 von 40 Ein Verwaltungsamt möchte eine Brandversicherung abschließen und muss dazu den Wert der von ihm verwalteten Daten bestimmen. Welcher der unten genannten Faktoren spielt dabei keine Rolle? A. Der Dateninhalt B. Das Maß, in dem fehlende, unvollständige oder falsche Daten wiederhergestellt werden können. C. Die Unentbehrlichkeit der Daten für die Geschäftsprozesse D. Die Bedeutung der Geschäftsprozesse, für die die Daten verwendet werden. A. Richtig. Der Dateninhalt ist nicht maßgeblich für den Wert der Daten. Siehe Abschnitt des Lehrbuchs Foundations of Information Security. B. Falsch. Fehlende, unvollständige oder falsche Daten, die leicht wiederhergestellt werden können, haben einen geringeren Wert als Daten, die nur sehr schwer oder gar nicht wiederhergestellt werden können. C. Falsch. Die Unentbehrlichkeit der Daten für Geschäftsprozesse ist teilweise maßgeblich für deren Wert. D. Falsch. Daten, die für wichtige Geschäftsprozesse von entscheidender Bedeutung sind, haben aus diesem Grund auch einen hohen Wert. 17

18 3 von 40 Der Zugang zu Informationen wird immer einfacher. Brauchbare Informationen müssen aber auch zuverlässig sein. Welcher der unten aufgeführten Aspekte ist kein Aspekt der Zuverlässigkeit von Informationen? A. Die Verfügbarkeit B. Die Integrität C. Die Menge D. Die Vertraulichkeit A. Falsch. Verfügbarkeit ist durchaus ein Aspekt der Zuverlässigkeit von Informationen. B. Falsch. Integrität ist durchaus ein Aspekt der Zuverlässigkeit von Informationen. C. Richtig. Quantität ist kein Aspekt der Zuverlässigkeit von Informationen. Siehe Abschnitt 4,3 des Lehrbuchs Foundations of Information Security. D. Falsch. Vertraulichkeit ist durchaus ein Aspekt der Zuverlässigkeit von Informationen. 4 von 40 Unter welchen Aspekt der Zuverlässigkeit von Informationen fällt die "Vollständigkeit"? A. Unter den Aspekt der Verfügbarkeit B. Unter den Aspekt der Ausschließlichkeit C. Unter den Aspekt der Integrität D. Unter den Aspekt der Vertraulichkeit A. Falsch. Verfügbare Informationen müssen nicht zwangsläufig vollständig sein. B. Falsch. Die Ausschließlichkeit ist ein Merkmal der Vertraulichkeit. C. Richtig. Die Vollständigkeit fällt unter den Aspekt der Integrität. Siehe Abschnitt des Lehrbuchs Foundations of Information Security. D. Falsch. Vertrauliche Informationen sind nicht zwangsläufig vollständig. 18

19 5 von 40 Ein Verwaltungsamt beabsichtigt, die Gefahren zu bestimmen, denen es ausgesetzt ist. Wie nennt man ein mögliches Informationssicherheitsereignis, das sich negativ auf die Zuverlässigkeit von Informationen auswirken kann? A. Abhängigkeit B. Bedrohung C. Schwachstellen D. Risiko A. Falsch. Abhängigkeit ist kein Ereignis. B. Richtig. Eine Bedrohung ist ein mögliches Informationssicherheitsereignis, das sich negativ auf die Zuverlässigkeit von Informationen auswirken kann. Siehe Abschnitt des Lehrbuchs Foundations of Information Security. C. Falsch. Schwachstellen bezeichnen wie anfällig ein Objekt für eine Bedrohung ist. D. Falsch. Das Risiko bezeichnet den Schaden über einen bestimmten Zeitraum, der normalerweise infolge einer oder mehrerer Bedrohungen, die zu Störungen führen, erwartet wird. 6 von 40 Was ist die Aufgabe des Risikomanagements? A. Das Risikomanagement bestimmt, mit welcher Wahrscheinlichkeit ein bestimmtes Risiko eintreten wird. B. Das Risikomanagement bestimmt, welcher Schaden durch mögliche Informationssicherheitsvorfälle verursacht wird. C. Das Risikomanagement beschreibt, welchen Bedrohungen die IT-Ressourcen ausgesetzt sind. D. Das Risikomanagement wendet Sicherheitsmaßnahmen an, um die Risiken auf ein akzeptabeles Maß zu senken. A. Falsch. Das ist Aufgabe der Risikoanalyse. B. Falsch. Das ist Aufgabe der Risikoanalyse. C. Falsch. Das ist Aufgabe der Risikoanalyse. D. Richtig. Die Aufgabe des Risikomanagements ist es, das Risiko auf ein akzeptables Maß zu senken. Siehe Abschnitt 5.4 des Lehrbuchs "Foundations of Information Security". 19

20 7 von 40 Welche der nachfolgenden Aussagen zur Risikoanalyse ist korrekt? 1. Die in einer Risikoanalyse benannten Risiken können klassifiziert werden. 2. Eine Risikoanalyse muss alle Einzelheiten berücksichtigen. 3. Eine Risikoanalyse beschränkt sich auf die Verfügbarkeit. 4. Eine Risikoanalyse lässt sich einfach durchführen, dazu muss nur ein kurzer Fragebogen mit Standardfragen ausgefüllt werden. A. 1 B. 2 C. 3 D. 4 A. Richtig. Nicht alle Risiken sind gleich. In der Regel nimmt man die größten Risiken auch zuerst in Angriff. Siehe Abschnitt 5.9 des Lehrbuchs "Foundations of Information Security". B. Falsch. Eine Risikoanalyse kann nicht auf jede Einzelheit eingehen. C. Falsch. Eine Risikoanalyse berücksichtigt alle Aspekte der Zuverlässigkeit, d.h. nicht nur die Verfügbarkeit, sondern auch die Integrität und die Vertraulichkeit. D. Falsch. Die in einer Risikoanalyse gestellten Fragen lassen sich nur selten pauschal auf jede Situation anwenden. 8 von 40 Welches der unten aufgeführten Beispiele kann als Betrug eingestuft werden? 1. Die Infektion eines Computers mit einem Virus. 2. Die Durchführung einer nicht autorisierten Transaktion. 3. Das 'Anzapfen' von Kommunikationsleitungen und -netzen. 4. Die Nutzung des Internets für private Zwecke. A. 1 B. 2 C. 3 D. 4 A. Falsch. Eine Virusinfektion gilt als "unautorisierte Änderung und somit als Bedrohung. B. Richtig. Eine unautorisierte Transaktion gilt als "Betrug". Siehe Abschnitt des Lehrbuchs Foundations of Information Security. C. Falsch. "Anzapfen" gilt als "Enthüllung" und somit als Bedrohung. D. Falsch. Die Nutzung für private Zwecke gilt als "Missbrauch" und somit als Bedrohung. 20

21 9 von 40 Brandschäden stellen für ein Unternehmen ein mögliches Risiko dar. Tritt diese Bedrohung ein, das heißt bricht in einem Unternehmen tatsächlich ein Brand aus, so können direkte und indirekte Schäden die Folge sein. Was ist ein Beispiel für einen direkten Schaden? A. Eine Datenbank wird zerstört B. Imageverlust C. Verlust von Kundenvertrauen D. Gesetzliche Verpflichtungen können nicht mehr erfüllt werden. A. Richtig. Eine zerstörte Datenbank ist ein Beispiel für einen direkten Schaden. Siehe Abschnitt 5.8 des Lehrbuchs Foundations of Information Security. B. Falsch. Imageverlust ist ein indirekter Schaden. C. Falsch. Der Verlust von Kundenvertrauen ist ein indirekter Schaden. D. Falsch. Die Unfähigkeit des Unternehmens, gesetzliche Verpflichtungen zu erfüllen, ist ein indirekter Schaden. 10 von 40 Zur Risikominderung entscheidet sich ein Unternehmen für einen strategischen Maßnahmenmix. Eine dieser Maßnahmen ist die Organisation eines Standby- Arrangements für das Unternehmen. In welche Kategorie von Maßnahmen fällt ein Standby-Arrangement? A. Unterdrückende Maßnahmen B. Erkennende Maßnahmen C. Vorbeugende Maßnahmen D. Korrigierende Maßnahme A. Falsch. Unterdrückende Maßnahmen, wie zum Beispiel das Löschen eines Brands, sind darauf ausgerichtet, eventuelle Schäden auf ein Mindestmaß zu begrenzen. Die Ausführung einer Backup-Sicherung ist ein weiteres Beispiel für eine unterdrückende Maßnahme. B. Falsch. Erkennende Maßnahmen signalisieren lediglich, dass ein Risiko entdeckt wurde. C. Falsch. Vorbeugende Maßnahmen haben die Aufgabe, Informationssicherheitsvorfälle zu vermeiden. D. Richtig. Siehe Abschnitt des Lehrbuchs Foundations of Information Security. Ein Standby-Arrangement ist ein Beispiel für eine korrigierende Maßnahme, bei der im Falle eines Notfalls Fallback-Lösungen aktiviert werden. Ein Beispiel für eine Fallback- Lösung ist die Nutzung eines anderen Standorts, um eine Unterbrechung des Geschäftsbetriebs zu verhindern. 21

22 11 von 40 Was ist ein Beispiel für eine Bedrohung, die vom Menschen ausgeht? A. Das Netzwerk wird über einen USB-Stick mit einem Virus infiziert. B. Der Server-Raum ist zu staubig. C. Ein Leck hat einen Stromausfall zur Folge. A. Richtig. Ein USB-Stick wird stets von einem Menschen verwendet. Wird das Netzwerk dadurch mit einem Virus infiziert, so stellt dies eine Bedrohung dar, die vom Menschen ausgeht. Siehe Abschnitt des Lehrbuchs "Foundations of Information Security". B. Falsch. Staub ist keine Bedrohung, die vom Menschen ausgeht. C. Falsch. Ein Leck ist keine Bedrohung, die vom Menschen ausgeht. 12 von 40 Was ist ein Beispiel für eine Bedrohung, die vom Menschen ausgeht? A. Blitzschlag B. Feuer C. Phishing A. Falsch. Ein Blitzschlag ist ein Beispiel für eine Bedrohung, die nicht vom Menschen ausgeht. B. Falsch. Feuer ist ein Beispiel für eine Bedrohung, die nicht vom Menschen ausgeht. C. Richtig. Phishing (bei dem Anwender auf falsche Webseiten gelockt werden) ist eine Form der Bedrohung, die vom Menschen ausgeht. Siehe Abschnitt und des Lehrbuchs "Foundations of Information Security". 22

23 13 von 40 Informationen umfassen verschiedene Aspekte der Zuverlässigkeit. Die Zuverlässigkeit von Informationen ist konstant bedroht. Beispiele für mögliche Bedrohungen sind u.a.: Ein lockeres Kabel, die versehentliche Änderung von Informationen, die Nutzung von Daten für private Zwecke und die Fälschung von Daten. Welches dieser Beispiele ist eine Bedrohung für die Vertraulichkeit von Informationen? A. Ein lockeres Kabel B. Das versehentliche Löschen von Daten C. Die Nutzung von Daten für private Zwecke D. Das Fälschen von Daten A. Falsch. Ein lockeres Kabel ist eine Bedrohung der Verfügbarkeit von Informationen. B. Falsch. Das versehentliche Ändern von Daten ist eine Bedrohung der Datenintegrität. C. Richtig. Die Nutzung der Daten für private Zwecke ist eine Form des Missbrauchs und eine Bedrohung der Vertraulichkeit von Informationen. Siehe Abschnitt des Lehrbuchs "Foundations of Information Security". D. Falsch. Die Fälschung von Daten ist eine Bedrohung der Datenintegrität. 14 von 40 Ein Mitarbeiter streitet ab, eine bestimmte Nachricht versendet zu haben. Welcher Aspekt der Zuverlässigkeit von Informationen ist hier in Gefahr? A. Die Verfügbarkeit B. Die Richtigkeit C. Die Integrität D. Die Vertraulichkeit A. Falsch. Ein Beispiel für eine Bedrohung der Verfügbarkeit wäre eine Überlastung der Infrastruktur. B. Falsch. Die Richtigkeit der Daten ist kein Aspekt der Zuverlässigkeit, sondern ein Merkmal der Integrität. C. Richtig. Das Abstreiten, eine Nachricht gesendet zu haben, hängt mit der Nichtabstreitbarkeit zusammen und stellt damit eine Bedrohung der Integrität dar, die ein Aspekt der Zuverlässigkeit ist. Siehe Abschnitt des Lehrbuchs "Foundations of Information Security". D. Falsch. Der Missbrauch bzw. die Enthüllung von Daten ist eine Bedrohung der Vertraulichkeit. 23

24 15 von 40 Der Lebenszyklus eines Informationssicherheitsvorfalls besteht aus vier aufeinanderfolgenden Schritten. In welcher Reihenfolge erfolgen diese Schritte? A. Bedrohung, Schaden, Vorfall, Wiederherstellung B. Bedrohung, Vorfall, Schaden, Wiederherstellung C. Vorfall, Bedrohung, Schaden, Wiederherstellung D. Vorfall, Wiederherstellung, Schaden, Bedrohung A. Falsch. Der Schaden tritt erst nach dem Vorfall ein. B. Richtig. Die Schritte im Lebenszyklus eines Informationssicherheitsvorfalls erfolgen in folgender Reihenfolge: Bedrohung, Vorfall, Schaden, Wiederherstellung. Siehe Abschnitt des Lehrbuchs Foundations of Information Security. C. Falsch. Der Vorfall folgt auf die Bedrohung. D. Falsch. Wiederherstellung ist der letzte Schritt. 16 von 40 In einer Niederlassung einer Krankenversicherung bricht ein Feuer aus. Das Personal wird auf andere Niederlassungen in der Umgebung verteilt und soll dort weiter arbeiten. Wo im Lebenszyklus eines Informationssicherheitsvorfalls sind solche Standby- Arrangements angesiedelt? A. Zwischen Bedrohung und Vorfall B. Zwischen Wiederherstellung und Bedrohung C. Zwischen Schaden und Wiederherstellung D. Zwischen Vorfall und Schaden A. Falsch. Die Durchführung eines Standby-Arrangements ohne vorhergehenden Vorfall ist äußerst kostspielig. B. Falsch. Die Wiederherstellung erfolgt erst nach Inkrafttreten eines Standby- Arrangements. C. Falsch. Ein Standby-Arrangement hält Schaden und Wiederherstellung in Grenzen. D. Richtig. Ein Standby-Arrangement ist eine unterdrückende Maßnahme, die zur Schadensbegrenzung ergriffen wird. Siehe Abschnitt und des Lehrbuchs Foundations of Information Security. 24

25 17 von 40 Wie lässt sich der Zweck von Weisungen und Richtlinien zur Informationssicherheit am besten beschreiben? A. Die Weisungen und Richtlinien dokumentieren die Risikoanalyse und die Suche nach Gegenmaßnahmen. B. Die Weisungen und Richtlinien bieten der Geschäftsführung Orientierung und Unterstützung im Bereich der Informationssicherheit. C. Die Weisungen und Richtlinien konkretisieren die Planung der Informationssicherheit und enthalten die erforderlichen Einzelheiten. D. Die Weisungen und Richtlinien bieten Einblicke in Bedrohungen und die möglichen Folgen. A. Falsch. Diesen Zweck verfolgen die Risikoanalyse und das Risikomanagement. B. Richtig. Die Weisungen und Richtlinien der Informationssicherheit bieten der Geschäftsführung Orientierung und Unterstützung im Bereich der Informationssicherheit. Siehe Abschnitt 9.2 des Lehrbuchs Foundations of Information Security. C. Falsch. Der Sicherheitsplan konkretisiert die Weisungen und Richtlinien zur Informationssicherheit. Der Plan enthält die gewählten Maßnahmen, die Verantwortlichkeiten und Zuständigkeiten, die Richtlinien für die Umsetzung der Maßnahmen etc. D. Falsch. Diesen Zweck verfolgt die Bedrohungsanalyse. 18 von 40 Der Verhaltenskodex für das E-Business basiert auf einer Reihe von Grundsätzen. Welcher der nachfolgend aufgeführten Grundsätze zählt nicht dazu? A. Zuverlässigkeit B. Registrierung C. Geheimhaltung und Vertraulichkeit A. Falsch. Zuverlässigkeit ist eine der Grundlagen des Verhaltenskodex. B. Richtig. Der Verhaltenskodex basiert auf den Grundsätzen von Zuverlässigkeit, Transparenz, Vertraulichkeit und Geheimhaltung. Die Registrierung zählt nicht dazu. Siehe Abschnitt 9.3 und 10.5 des Lehrbuchs Foundations of Information Security. C. Falsch. Der Verhaltenskodex basiert unter anderen auf Vertraulichkeit und Geheimhaltung. 25

26 19 von 40 Eine Mitarbeiterin des Versicherungsunternehmens Euregio entdeckt, dass das Ablaufdatum einer Versicherungspolice ohne ihr Wissen geändert wurde. Sie ist als Einzige zur Vornahme dieser Änderung berechtigt. Sie meldet diesen Sicherheitsvorfall an den Helpdesk. Der Helpdesk-Mitarbeiter zeichnet diesbezüglich folgende Informationen auf: Datum und Zeit Beschreibung des Sicherheitsvorfalls Mögliche Folgen des Sicherheitsvorfalls Welche wichtigen Informationen bezüglich des Sicherheitsvorfalls fehlen in den Aufzeichnungen? A. Der Name der Person, die den Vorfall gemeldet hat B. Der Name des Software-Pakets C. Die PC-Nummer D. Eine Liste der Personen, die über den Vorfall informiert wurden A. Richtig. Bei der Meldung eines Sicherheitsvorfalls muss mindestens der Name der Person, die den Vorfall meldet, aufgezeichnet werden. Siehe Abschnitt des Lehrbuchs "Foundations of Information Security". B. Falsch. Hierbei handelt es sich um eine zusätzliche Information, die zu einem späteren Zeitpunkt hinzugefügt werden kann. C. Falsch. Hierbei handelt es sich um eine zusätzliche Information, die zu einem späteren Zeitpunkt hinzugefügt werden kann. D. Falsch. Hierbei handelt es sich um eine zusätzliche Information, die zu einem späteren Zeitpunkt hinzugefügt werden kann. 26