CIA-Triade, Angriffe erkennen & Schutzmaßnahmen anwenden
CIA-Triade anwenden
Du erkennst, welches Schutzziel bei einem Angriff verletzt wird
Angriffe einordnen
Du erkennst Malware-Typen und Angriffsmuster und benennst Schutzmaßnahmen
Phishing analysieren
Du erkennst Warnsignale in einer simulierten Phishing-Mail
Ordne jedem Angriffsszenario das verletzte Schutzziel der CIA-Triade zu: Confidentiality (Vertraulichkeit), Integrity (Integrität) oder Availability (Verfügbarkeit). Mehrfachnennungen sind möglich.
a) Ein Angreifer führt einen DDoS-Angriff auf den Webserver einer Onlineapotheke durch. Der Server ist für 4 Stunden nicht erreichbar.
b) Ein Mitarbeiter lädt eine Excel-Datei mit Gehaltsabrechnungen versehentlich auf eine öffentliche Dropbox-Freigabe hoch.
c) Ein Hacker verändert Buchungen in einer Buchhaltungssoftware, ohne dass die Änderungen protokolliert werden.
d) Ransomware verschlüsselt alle Dateien auf einem Unternehmens-NAS. Niemand kann mehr auf die Daten zugreifen.
e) Spyware auf einem PC zeichnet alle Tastatureingaben auf und sendet sie an einen Remote-Server.
a) A – Verfügbarkeit verletzt (Server nicht erreichbar)
b) C – Vertraulichkeit verletzt (Daten öffentlich zugänglich)
c) I – Integrität verletzt (Daten unbemerkt verändert)
d) A + C – Verfügbarkeit (kein Zugriff) und möglicherweise Vertraulichkeit (Daten könnten exfiltriert worden sein)
e) C – Vertraulichkeit verletzt (Passwörter, Eingaben werden gestohlen)
Ordne jeder Beschreibung den passenden Malware-Typ zu. Wähle aus: Virus, Wurm, Trojaner, Ransomware, Spyware, Adware
a) Nach dem Öffnen eines E-Mail-Anhangs werden alle Dateien auf dem PC verschlüsselt. Eine Lösegeldforderung erscheint auf dem Bildschirm.
b) Eine kostenlose App installiert im Hintergrund eine Software, die alle Webseiten-Besuche aufzeichnet und an Werbenetzwerke sendet.
c) Ein Schadcode verbreitet sich innerhalb von Minuten selbstständig über das Firmennetzwerk und befällt Tausende PCs, ohne dass Nutzer etwas tun müssen.
d) Ein vermeintliches Spiel kann heruntergeladen und gespielt werden. Im Hintergrund öffnet es eine Verbindung nach außen und gibt dem Angreifer Fernzugriff.
e) Ein infiziertes Word-Dokument gibt seinen Schadcode weiter, wenn es geöffnet und gespeichert wird. Der Code hängt sich an andere .docx-Dateien an.
a) Ransomware – verschlüsselt Daten, fordert Lösegeld
b) Spyware (ggf. mit Adware-Anteil) – überwacht verdeckt das Nutzerverhalten
c) Wurm – verbreitet sich selbstständig ohne Nutzeraktion über Netzwerke
d) Trojaner – tarnt sich als nützliche Software, öffnet Backdoor
e) Virus – hängt sich an Dateien und braucht Nutzeraktion (Öffnen/Weitergeben) zur Verbreitung
Lies die folgende (fiktive) E-Mail und beantworte die Fragen darunter.
Sehr geehrten Herr Mustermann,
Wir haben ungewöhnliche Aktivitäten auf Ihrem Sparkasse-Konto festgestellt. Um Ihr Konto zu schützen müssen Sie innerhalb von 24 Stunden Ihre Daten bestätigen, sonst wird Ihr Konto dauerhaft gesperrt.
Klicken Sie auf den folgenden Link um Ihre Daten zu verificieren:
Angezeigter Link: www.sparkasse.at/sicherheit
Echter Link: http://sparkasse-verifikation-at.xyz/login?track=8472
Sie müssen dabei Ihre Kreditkartennummer, PIN und Geburtsdatum eingeben.
Mit freundlichen Grüße,
Ihr Sparkasse Kundenservice Team
Sparkasse Österreich AG · Sicherheitsabteilung
a) Nenne mindestens 5 konkrete Warnsignale in dieser E-Mail.
b) Wie nennt man die Technik, bei der der angezeigte Link sich vom echten Ziellink unterscheidet?
c) Nenne zwei technische Maßnahmen, die ein E-Mail-Server einsetzt, um Phishing-Mails herauszufiltern.
a) Warnsignale (mindestens 5 von vielen möglichen):
sparkasse-konto-verifyemail.com ist keine offizielle Sparkasse-Domainb) Link-Spoofing (auch: URL-Verschleierung). Der im Text sichtbare Link (Hyperlink-Text) zeigt eine vertrauenswürdige Adresse, während der tatsächliche href-Ziellink auf eine betrügerische Seite verweist.
c) Zwei technische Maßnahmen: (1) SPF/DKIM/DMARC – prüft, ob die sendende IP-Adresse berechtigt ist, E-Mails für diese Domain zu senden. (2) Spam-/Phishing-Filter – analysieren Inhalt, Links und Absender-Reputation (z. B. via Machine Learning oder Blacklists).
Eine Firewall verarbeitet Regeln von oben nach unten. Die erste passende Regel gewinnt. Beantworte die Fragen zum folgenden Regelwerk.
| # | Protokoll | Quelle | Zielport | Richtung | Aktion |
|---|---|---|---|---|---|
| 1 | TCP | * | 443 | EINGEHEND | ALLOW |
| 2 | TCP | * | 80 | EINGEHEND | ALLOW |
| 3 | TCP | 192.168.1.0/24 | 22 | EINGEHEND | ALLOW |
| 4 | TCP | * | 22 | EINGEHEND | DENY |
| 5 | * | * | * | EINGEHEND | DENY |
a) Eine Anfrage kommt von IP 8.8.8.8 auf Port 443 (HTTPS). Welche Regel greift? Was passiert?
b) Ein SSH-Login-Versuch kommt von IP 203.0.113.99 auf Port 22. Welche Regel greift? Was passiert?
c) Ein Adminrechner mit IP 192.168.1.50 versucht SSH (Port 22). Welche Regel greift?
d) Was ist das Prinzip hinter Regel 5? Wie nennt man diesen Ansatz?
a) Regel 1 greift (TCP, Port 443, beliebige Quelle → ALLOW). Die Anfrage wird durchgelassen.
b) Regel 4 greift (TCP, Port 22, beliebige Quelle → DENY). Die SSH-Verbindung wird geblockt. Regel 3 greift nicht, weil 203.0.113.99 nicht im Netz 192.168.1.0/24 liegt.
c) Regel 3 greift (TCP, Port 22, Quelle 192.168.1.0/24 → ALLOW). 192.168.1.50 liegt im erlaubten Subnetz. SSH ist für interne Admins erlaubt.
d) Regel 5 ist eine implizite DENY-ALL-Regel am Ende. Das Prinzip heißt „Default Deny" oder „Allowlist-Ansatz": Alles, was nicht explizit erlaubt ist, wird blockiert. Das ist sicherer als der umgekehrte Ansatz (Default Allow / Denylist), bei dem man vergessen kann, bestimmte Dienste zu sperren.