Grundlagen der Informationssicherheit
Vertraulichkeit, Integrität und Verfügbarkeit.
Was sind die 3 Hauptschutzziele von Informationen?
Ein Angriff, der einen Server mit Anfragen überlastet und ihn lahmlegt.
Was ist ein DDoS-Angriff?
Prüft und bewertet Software auf Erfüllung der für ihren Einsatz definierten Anforderungen und misst ihre Qualität.
Was ist Softwaretesting?
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, Adresse, E-Mail-Adresse, IP-Adresse, Standortdaten).
Was sind personenbezogene Daten im Sinne der DSGVO?
Dieser Prozess beinhaltet das Sammeln, Bewerten und Dokumentieren von funktionalen und nicht-funktionalen Anforderungen an ein Produkt.
Was ist die Anforderungsanalyse?
Ein Designkonzept, welches Sicherheit der Software bereits im Entwicklungsprozess berücksichtigt.
Was ist Security by Design bzw. Secure by Design?
Eine Schwachstelle für die es keinen Schutz gibt.
Was ist ein "Zero-Day-Exploit"?
Hilft, Schwachstellen in Software aufzudecken, bevor sie von Angreifern ausgenutzt werden können.
Was sind Penetrationstests?
Ändert die Daten, um die Privatsphäre von Personen zu schützen.
Was ist Anonymisierung oder Pseudonymisierung?
Metapher für die möglichen Konsequenzen schlechter technischer Umsetzung von Software. Zusätzlicher Aufwand, den man für Änderungen und Erweiterungen an schlecht geschriebener Software im Vergleich zu gut geschriebener Software einplanen muss.
Was sind technische Schulden?
Mehrere Sicherheitsebenen, die im Falle eines Angriffs Schutz bieten.
Was ist "Defense in Depth" oder das "Schweizer-Käse-Modell"?
Ein Angreifer fängt die Kommunikation zwischen zwei Parteien ab und manipuliert sie.
Was ist ein Man-in-the-Middle-Angriff?
Ein Prinzip, welches besagt, dass ein System so einfach wie möglich sein sollte, um die Angriffsfläche zu reduzieren.
Was ist das KISS-Prinzip (Keep It Simple, Stupid)?
Eine Art "digitaler Fingerabdruck" einer Datei oder Nachricht.
Was ist ein Hash?
Abweichungen vom Regelbetrieb erkennen, analysieren und darauf reagieren.
Wobei hilft Protokollierung und Überwachung?
Vergabe minimaler Zugriffsrechte, die für die Ausführung der Aufgaben erforderlich sind.
Was ist "Least Privilege" oder "Need-to-know"?
In über 90% ist dies der Grund, warum ein Angriff erfolgreich durchgeführt werden konnte.
Was ist eine nicht gepatchte Sicherheitslücke?
Eine Liste der häufigsten Schwachstellen in Webanwendungen und wie man sie vermeiden kann.
Was sind die OWASP Top 10?
Eine zufällige Zeichenfolge, die vor dem Hashen an ein Passwort angehängt wird.
Was ist ein Salt?
Bedrohungsmodellierung, Eingabevalidierung, Fehlerbehandlung, Authentifizierung und Autorisierung, Sichere Konfiguration, Datenverschlüsselung.
Was sind Aspekte, die bei der Entwicklung sicherer Software berücksichtigt werden müssen.
Hilft, potenzielle Sicherheitsbedrohungen zu identifizieren und zu priorisieren, indem er eine Analyse der Systemarchitektur und Angriffsvektoren durchführt.
Was ist Threat Modeling (Bedrohungsmodellierung)?
select * from Users where UserName = 'Goofy' or 1=1 --' and UserPassword = '123456'
Was ist der Versuch einer SQL Injection?
Teilen dem Browser mit, wie er sich bei der Handhabung von Inhalten verhalten soll um die Sicherheit von Webanwendungen zu erhöhen.
Was sind Security-Header?
Die meistverwendete symmetrische Verschlüsselung.
Was ist Advanced Encryption Standard (AES)?
Dieser Begriff beschreibt das Bestreben, Änderungen an Software ohne technische Schulden vorzunehmen und die Ressource "Einfachheit und Klarheit" zu erhalten.
Was ist nachhaltige Softwareentwicklung?