Prof. Dr. W. Schmitt | Systemsicherheit & Datenschutz 22. Oktober 2014 Aufgaben und Fragen zur Lernkontrolle zu den Kapiteln „Einführung“ und „Elemente des Datenschutzes“ Der nachfolgend angesprochene Stoff ist prüfungsrelevant. Die Aufgaben und Fragen sollten ohne Benutzung des Skriptes beantwortet bzw. gelöst werden können. A. Grundbegriffe 7. Januar 2014 1. Was versteht man unter Datensicherheit, Datenschutz und Datensicherung? 2. Erläutern Sie die Begriffe Bestands-, Nutz- und Verkehrsdaten! Geben Sie jeweils ein Beispiel an! 3. Alice kommuniziert mit ihrem Freund Bob per E-Mail und Telefon und nimmt weitere Internetdienste in Anspruch. Mallory hat die von Alice benutzten Kommunikationssysteme ausgespäht und ihre Kommunikationsaktivitäten abgehört. Ordnen Sie (durch Ankreuzen) in untenstehender Tabelle die von Mallory erspähten Daten (linke Spalte) genau einer der Kategorien Nutzdaten, Bestandsdaten oder Verkehrsdaten zu (technische Sichtweise des Netzbetreibers)! Mallory hat u.a. erspäht: Nutzdaten Bestandsdaten von Alice Vertragsdaten von Alice für die Nutzung von Internet-Diensten. Die TCP-Folgenummern einer Internetverbindung von Alice. Den geheimen Schlüssel von Alice im Server des Dienstanbieters. Matrikelnummer und Note von Alice in einer an sie gerichteten E-Mail. Ein im Laufe einer Web-Sitzung gesetztes Cookie auf dem PC von Alice Empfänger, Bankverbindung, Verwendungszweck, Betrag usw. in einer OnlineBanküberweisung. Einen Sitzungsschlüssel von Alice in einer abgehörten E-Mail Den Ursprungsort (Funkzelle) eines Anrufs von Alice aus einem Mobilfunknetz. Datum und Zeitspanne einer Sitzung für einen Einkauf im Internet. © Prof. Dr. W. Schmitt | THM | Campus Gießen | Wiesenstraße 14 | 35390 Gießen Verkehrsdaten 2 4. Für welche Zwecke kann ein Angreifer (Mallory) die von ihm erspähten Bestandsdaten bzw. Verkehrsdaten verwenden und damit Datenschutz und Datensicherheit verletzen? B. Computerkriminalität, rechtliche Vorgaben und Datenschutz 7. Januar 2014 1. Die vom Ministerkomittee des Europarates verabschiedete Cybercrime-Convention unterscheidet die folgenden Straftatbestände im IT-Bereich: • • • • • Unrechtmäßiger Zugriff (Illegal Access) Unbefugtes Abfangen von Daten (Illegal Interception) Vorbereitungshandlungen (Misuse of Devices) Unrechtmäßige Datenveränderungen (Data Interference) Computersabotage (System Interference). Erläutern Sie exemplarisch die Bedeutung dieser Straftatbestände! 2. Welche Gesetzestexte mit Bezug zu Datenschutz und Datensicherheit kennen Sie? Skizzieren Sie exemplarisch deren Bedeutung! 3. Erläutern Sie die folgenden Grundprinzipien/-regeln, die bei der datenschutzgerechten Verarbeitung personenbezogener Daten zu beachten sind! • • • • • • • Rechtmäßigkeit Einwilligung Zweckbindung Erforderlichkeit Transparenz Datensicherheit Kontrolle. C. Grundwerte der IuK-Sicherheit und Schutzziele 22. Oktober 2014 1. In der Vorlesung wurden drei unter der Abkürzung CIA bekannte klassische Grundwerte der IuKSicherheit behandelt. a) Geben Sie jeweils ein Beispiel für die Verletzung dieser Grundwerte an! b) Nennen Sie aus den drei Grundwerten ableitbare „untergeordnete Schutzziele“ und erläutern Sie exemplarisch deren Bedeutung! 2. Aus den unter 1. nachgefragten Grundwerten lassen sich entsprechende Schutzziele ableiten. Diese wurden in der Vorlesung um die Schutzziele „Transparenz“ und „Kontingenz“ erweitert. a) Erläutern Sie die Bedeutung dieser beiden Schutzziele! b) Geben Sie „untergeordnete Schutzziele“ an, und erläutern Sie exemplarisch deren Bedeutung! D. Kriterienwerke und Zertifizierung 1. 7. Januar 2014 Beim Entwurf der im Orange Book formulierten Kriterien für die Zugangs- und Zugriffskontrolle hat man u.a. auf die Berücksichtigung der Sicherheitsprinzipien Markierung, Identifizierung, und Zurechenbarkeit geachtet. Was besagen diese Sicherheitsprinzipien? © Prof. Dr. W. Schmitt | Systemsicherheit & Datenschutz | Einführung, Elemente des Datenschutzes 3 2. Sowohl die Information Technology Security Evaluation Criteria (ITSEC) als auch die Common Criteria for Information Technology Security Evaluation (CC) beurteilen das zu evaluierende Produkt (Evaluationsgegenstand) nach den Kriterien: • Umfang der erbrachten Funktionen • Qualität/Vertrauenswürdigkeit der erbrachten Funktionen • Wirksamkeit/Stärke der erbrachten Funktionen. a) Erläutern Sie diese Bewertungskriterien am Beispiel CC und geben Sie an, in welchen Stufen die Wirksamkeit einer Funktion bewertet wird! b) Welche Aufgabe hat bei den CC die Spezifikation von Schutzprofilen (Protection Profile PP)? E. Gemischtes 7. Januar 2014 Vervollständigen Sie die folgenden Aussagen im Zusammenhang mit IuK-Sicherheit! a) Die Bestandsdaten eines Dienstnutzers kann Mallory dazu verwenden ............................................................................................................................................................. . b) Mit Hilfe von Verkehrsdaten kann Mallory ......................................................................................... ............................................................................................................................................................. . c) „AES“ ist ein Sicherheitsstandard für die ............................................................................................. ............................................................................................................................…............................. . d) Die Common Criteria for Information Technology Security Evaluation (CC) sind ein Standard für die .............................................................................……………………………………………….. . e) Ein Sicherheitsmechanismus, bei dem die Analyse zeigt, dass er einen angemessenen Schutz gegen naheliegendes oder absichtliches Brechen der Sicherheit durch Angreifer bietet, die über ein moderates Angriffspotential verfügen, wird mit dem SOF-Wert (Strenght of Function) ............................................................................................................................. bewertet. f) Ein Sicherheitszertifikat für ein Produkt ist …………………………………………...………... …………………………………………………………………………………………………….... ……………………………………………………………………………………….……………. . g) Das Prinzip „Zurechenbarkeit“ im Sinne von Kriterienwerken zur Evaluierung von IuK-Sicherheit bedeutet, dass es möglich ist ................................................................................................. ………………………………………………………………………………….………………….... ………………………………………………….....………………………………………………. . © Prof. Dr. W. Schmitt | Systemsicherheit & Datenschutz | Einführung, Elemente des Datenschutzes