IT-Sicherheit in AP1-Aufgaben

IT-Sicherheit ist in der AP1 eines der am schnellsten wachsenden Themenfelder – seit ein paar Jahren sind etwa 15–20 Punkte regelmäßig diesem Bereich gewidmet. Das spiegelt die Realität in den Betrieben: Cyberangriffe sind keine Ausnahme mehr, und ITler:innen müssen Sicherheitsgrundlagen sicher beherrschen, egal in welcher Spezialisierung sie später arbeiten.

Die gute Nachricht: Sicherheitsfragen folgen erstaunlich klaren Mustern. Wer die drei Schutzziele, ein paar Verschlüsselungsarten, die 3-2-1-Backup-Regel, die wichtigsten Bedrohungen und die DSGVO-Grundlagen sicher hat, holt aus diesem Bereich verlässlich viele Punkte. Diese Lektion bündelt genau das.

1) Die CIA-Triade – die drei Schutzziele

Die wichtigste Frage zu Beginn jeder Sicherheitsdiskussion: Was wollen wir eigentlich schützen? Die klassische Antwort der IT-Sicherheit sind die drei Schutzziele, oft als CIA-Triade bezeichnet – nach den englischen Anfangsbuchstaben Confidentiality, Integrity, Availability.

Die drei Schutzziele der IT-Sicherheit

Vertraulichkeit

Daten sind nur für Befugte zugänglich. Schutz vor unberechtigtem Lesen. Mittel: Verschlüsselung, Zugriffsrechte, Passwörter.

Integrität

Daten sind unverändert und vollständig. Schutz vor unberechtigter Manipulation. Mittel: Hash-Funktionen, Signaturen, Logging.

Verfügbarkeit

Daten und Systeme sind nutzbar, wenn gebraucht. Schutz vor Ausfall und DoS. Mittel: Redundanz, Backups, USV, Hochverfügbarkeit.

Manche Quellen ergänzen die Triade um Authentizität (Identität nachweisbar) und Nichtabstreitbarkeit (Aktion einer Person eindeutig zuordenbar). In der AP1 reichen meist die drei klassischen Ziele – nenne sie immer mit präzisem Beispiel, das bringt die volle Punktzahl.

Wenn die Aufgabe lautet „nennen und erläutern Sie die drei Schutzziele", reicht nicht die bloße Aufzählung. Pro Schutzziel sollte deine Antwort folgende drei Bausteine enthalten: Name, Definition in einem Satz, konkrete Maßnahme zur Erfüllung. Damit holst du sicher die volle Punktzahl.

2) Verschlüsselungsverfahren

Verschlüsselungsfragen sind ein Dauerbrenner. Die wichtigste Unterscheidung: symmetrisch vs. asymmetrisch – plus die dritte Kategorie Hash, die technisch keine Verschlüsselung im engeren Sinne ist, aber meist mit abgefragt wird.

Die drei kryptografischen Grundverfahren

Symmetrisch

Ein Schlüssel für Ver- und Entschlüsseln. Schnell, geeignet für große Datenmengen. Problem: Schlüsselaustausch muss sicher passieren.

AES, DES, 3DES, ChaCha20

Asymmetrisch

Schlüsselpaar: Public Key (verschlüsselt) und Private Key (entschlüsselt). Langsamer, aber kein Schlüsselaustauschproblem.

RSA, ECC, DH-Schlüsseltausch

Hash

Einweg-Funktion. Aus Daten wird ein eindeutiger Fingerabdruck. Nicht umkehrbar. Anwendung: Passwörter, Integrität.

SHA-256, SHA-3, bcrypt (für Passwörter)

Hybride Verfahren

Kombination beider Welten: asymmetrisch für Schlüsselaustausch, danach symmetrisch für die Daten. Standardansatz im Web.

TLS (HTTPS), SSH, PGP, S/MIME

Eine typische AP1-Frage: „Welches Verschlüsselungsverfahren würden Sie für eine Festplattenverschlüsselung wählen und warum?" Antwort: symmetrisch (z. B. AES), weil bei großen Datenmengen Geschwindigkeit zählt und kein Schlüsselaustauschproblem besteht – der Schlüssel bleibt lokal. Eine andere typische Frage: „Wie funktioniert die Authentifizierung eines Webservers per HTTPS?" Antwort: asymmetrisch über ein Zertifikat – der Server weist sich mit seinem Private Key aus, der Client prüft das Zertifikat über die Zertifikatskette.

3) Wann welches Verfahren?

Eine kompakte Zuordnung – Auswendiglernen lohnt sich, weil sie in vielen Aufgaben gebraucht wird:

Symmetrisch (AES): Festplatte, USB-Stick, Datei-Verschlüsselung, Backup, große Datenmengen
Asymmetrisch (RSA, ECC): Schlüsselaustausch, digitale Signaturen, Authentifizierung, kleine Datenmengen
Hash (SHA-256): Passwortspeicherung (mit Salt!), Integritätsprüfung, digitale Signaturen (Hash der Daten wird signiert)
Hybrid (TLS): HTTPS, SSH – das Beste aus beiden Welten

4) Authentifizierungsverfahren

Authentifizierung („Wer bist du?") ist die Grundlage jeder Zugriffskontrolle. Klassisch unterscheidet man drei Faktoren, aus denen sich eine Authentifizierung zusammensetzen kann:

Wissen: Passwort, PIN, Sicherheitsfrage
Besitz: Smartcard, Hardware-Token, Smartphone mit Authenticator-App
Inhärenz / Biometrie: Fingerabdruck, Gesichtserkennung, Iris

Eine Zwei-Faktor-Authentifizierung (2FA) kombiniert zwei dieser Faktoren – typisch Passwort plus SMS-Code oder Authenticator-App. Eine Mehr-Faktor-Authentifizierung (MFA) kombiniert drei oder mehr. Wichtig: zwei Passwörter sind keine 2FA, weil beides aus der Kategorie Wissen kommt. Echte 2FA verlangt mindestens zwei verschiedene Faktorkategorien.

Passwort-Anforderungen aus heutiger Sicht (BSI-Empfehlung): Länge ist wichtiger als komplexe Sonderzeichen – ein langes, leicht merkbares Passwort (etwa 16+ Zeichen) ist sicherer als ein kurzes mit Sonderzeichen. Niemals dasselbe Passwort für mehrere Dienste. Passwort-Manager nutzen. Bei verdächtigem Login: sofort Passwort wechseln und 2FA aktivieren.

5) Firewall, IDS/IPS

Netzwerksicherheit setzt auf Firewalls als zentrale Filter. Eine Firewall arbeitet je nach Bauart auf verschiedenen OSI-Schichten:

Paketfilter (Stateless Firewall): filtert anhand IP, Port, Protokoll – OSI-Schichten 3–4. Schnell, aber einfach.
Stateful Firewall: merkt sich Verbindungszustände – kann z. B. erkennen, ob ein Paket Teil einer bereits aufgebauten Verbindung ist.
Application-Firewall (Layer-7-FW): filtert auch nach Inhalten der Anwendungsschicht – kann z. B. SQL-Injection erkennen.
Next-Generation Firewall (NGFW): kombiniert mehrere Funktionen, oft mit IDS/IPS, Antivirus, Deep Packet Inspection.

IDS (Intrusion Detection System) erkennt Angriffe und alarmiert – greift aber nicht aktiv ein. IPS (Intrusion Prevention System) erkennt und blockiert sofort. Eine sehr häufige AP1-Frage ist genau diese Unterscheidung – merk dir: D für Detection (erkennen, melden), P für Prevention (verhindern, blockieren).

6) Backup-Strategien

Backups sind die letzte Verteidigungslinie gegen Datenverlust – sei es durch Ransomware, Hardware-Ausfall, menschliche Fehler oder Brand. Drei klassische Backup-Strategien, die in der AP1 regelmäßig abgefragt werden:

Die drei klassischen Backup-Strategien

Strategie

Was gesichert wird

Speicherbedarf

Wiederherstellung

Vollsicherung

Alle Daten komplett, jedes Mal.

Sehr hoch (alle Daten × Anzahl Backups)

Einfach: nur die letzte Vollsicherung einspielen.

Differentiell

Nur das, was sich seit der letzten Vollsicherung geändert hat.

Mittel, wächst zwischen Vollsicherungen.

Letzte Vollsicherung + letzte differentielle.

Inkrementell

Nur das, was sich seit dem letzten Backup (egal welcher Art) geändert hat.

Gering pro Backup, sehr platzsparend.

Aufwendig: Vollsicherung + alle inkrementellen Backups in Reihenfolge.

Beim Vergleichen dieser Strategien ist die Trade-off-Logik wichtig: viel Platz aber einfach (Voll), wenig Platz aber aufwendige Wiederherstellung (Inkrementell), Mittelweg (Differentiell). In der Praxis kombiniert man – z. B. wöchentliche Vollsicherung und tägliche inkrementelle.

7) Die 3-2-1-Regel

Eine berühmte Faustregel, die in fast jeder AP1 mit Backup-Bezug auftaucht: die 3-2-1-Regel. Sie ist einfach zu merken und liefert eine vollständige Backup-Architektur:

Die 3-2-1-Backup-Regel

Kopien

Original + 2 Backups. Eine einzige Sicherung kann ausfallen oder beschädigt sein.

verschiedene Medien

Z. B. interne Festplatte + externe Festplatte oder Tape. Vermeidet Totalausfälle einer Technologie.

räumlich getrennt

Mindestens eine Kopie außer Haus (Off-Site). Schutz vor Brand, Diebstahl, Hochwasser.

Moderne Erweiterungen sind die 3-2-1-1-0- oder 3-2-1-Air-Gap-Regel: zusätzlich eine offline/air-gapped Kopie (vor Ransomware sicher) und 0 Fehler beim Restore-Test (mindestens halbjährlich Restore üben). Wer Restore-Tests vergisst, hat schlechte Karten, wenn der Ernstfall kommt – das ist der häufigste Grund für gescheiterte Recovery in der Praxis.

8) Bedrohungsarten kennen

In der AP1 werden regelmäßig Bedrohungen und ihre Abwehr gefragt. Die wichtigsten Begriffe – jeder mit ein paar Schlagworten zu Erkennung und Abwehr:

Wichtige Bedrohungen im IT-Alltag

Phishing

Gefälschte Mails/Webseiten, die Zugangsdaten abgreifen. Abwehr: Schulung, 2FA, Mail-Filter.

Spear Phishing

Phishing gezielt auf eine Person zugeschnitten. Häufig bei Führungskräften.

Ransomware

Verschlüsselt Daten, fordert Lösegeld. Abwehr: Off-Site-Backups, Patches, AV.

DDoS

Distributed Denial of Service – Server mit Anfragen lahmlegen. Abwehr: CDN, Cloud-Filter.

Social Engineering

Manipulieren von Menschen statt Technik. Abwehr: Awareness-Trainings, klare Prozesse.

Brute Force

Passwörter durchprobieren. Abwehr: starke Passwörter, Login-Lockout, 2FA.

Man-in-the-Middle

Angreifer zwischen Kommunikationspartnern. Abwehr: HTTPS, Zertifikate, VPN.

SQL Injection

Schadcode in Datenbankabfragen. Abwehr: Prepared Statements, Validation.

Zero-Day

Angriff auf noch nicht bekannte Lücke. Abwehr: Defense-in-Depth, Monitoring.

Insider-Bedrohung

Mitarbeitende mit Zugang missbrauchen Rechte. Abwehr: Least Privilege, Logging.

⚠ Wichtige Faustregel: der Mensch ist die häufigste Schwachstelle. Etwa 80–90 % der erfolgreichen Cyberangriffe beginnen mit Social Engineering oder Phishing – nicht mit technischen Lücken. Sicherheitsschulungen und Awareness-Programme sind daher fester Bestandteil jeder ernsthaften Sicherheitsstrategie.

9) DSGVO-Grundlagen für die AP1

Die DSGVO taucht in fast jeder AP1 in irgendeiner Form auf – meist als Frage zu Akteuren, Grundsätzen oder Betroffenenrechten. Das sind die Pflichtinhalte:

DSGVO-Akteure und ihre Rollen

Verantwortlicher

Die Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Z. B. das Unternehmen. Trägt die Hauptverantwortung.

Betroffene Person

Die natürliche Person, deren Daten verarbeitet werden. Z. B. Kunde, Mitarbeiter, Website-Besucher.

Auftragsverarbeiter

Dienstleister, der Daten im Auftrag des Verantwortlichen verarbeitet. Z. B. Cloud-Provider, externe Lohnbuchhaltung.

Datenschutzbeauftragter (DSB)

Interne oder externe Person zur Überwachung der DSGVO-Konformität. Pflicht ab bestimmten Datenmengen oder Verarbeitungsarten.

Aufsichtsbehörde

In Deutschland landes- oder bundeskompetent. Kontrolliert, sanktioniert. Z. B. der Bayerische Landesbeauftragte für Datenschutz.

Die Verarbeitungsgrundsätze nach Art. 5 DSGVO sind kompakt: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit, Rechenschaftspflicht. Kennzahl, die du nennen können solltest: Bußgelder bis 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist).

Die Betroffenenrechte aus der DSGVO im Schnelldurchlauf: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17, „Recht auf Vergessenwerden"), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), keine automatisierte Einzelentscheidung (Art. 22). Mehr Details findest du in DSGVO und Datenschutz.

10) Technisch-organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt von Verantwortlichen technische und organisatorische Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Diese TOMs sind ein typisches Prüfungsthema, weil sie konkret beschreibbar sind und gut Punkte bringen.

Zutrittskontrolle: physischer Schutz von Räumen (Schlüssel, Chipkarten, Alarmanlagen)
Zugangskontrolle: Schutz von Systemen vor unbefugter Nutzung (Passwörter, 2FA, Bildschirmsperre)
Zugriffskontrolle: Berechtigungen pro Person (Least Privilege, Rollenkonzepte)
Weitergabekontrolle: Verschlüsselung bei Transport, sichere Mailverfahren
Eingabekontrolle: Protokollierung wer wann was geändert hat
Verfügbarkeitskontrolle: Backups, USV, Hochverfügbarkeit
Trennungskontrolle: getrennte Verarbeitung verschiedener Zwecke
Pseudonymisierung / Anonymisierung: Daten so verändern, dass Personen nicht oder nur mit Zusatzwissen zuordenbar

11) Eine typische AP1-Sicherheitsaufgabe

Übungs-Aufgabe IT-Sicherheit

12 Pkt

Die Firma Schmidt & Söhne (15 Mitarbeitende) hat einen kleinen Server-Raum mit einem Datenbank-Server, in dem Kundendaten gespeichert sind.
a) Nennen und erläutern Sie die drei Schutzziele der IT-Sicherheit. (3 Pkt)
b) Beschreiben Sie eine geeignete Backup-Strategie nach der 3-2-1-Regel. (3 Pkt)
c) Welche zwei kryptografischen Verfahren würden Sie einsetzen, und wofür jeweils? (4 Pkt)
d) Welche zwei TOMs nach DSGVO würden Sie konkret umsetzen? (2 Pkt)

a) Drei Schutzziele:
Vertraulichkeit: Daten nur für Befugte zugänglich – durch Verschlüsselung und Zugriffsrechte.
Integrität: Daten unverändert – durch Hash-Werte, digitale Signaturen und Logging.
Verfügbarkeit: Systeme nutzbar, wenn gebraucht – durch Backups, USV und ggf. Hochverfügbarkeit.

b) Backup-Strategie (3-2-1):
3 Kopien: Original auf dem Server + lokales Backup auf NAS + Off-Site-Backup in der Cloud.
2 verschiedene Medien: Festplatte (NAS) + Cloud-Speicher.
1 räumlich getrennt: das Cloud-Backup liegt extern, schützt vor Brand und Diebstahl.
Zyklus: wöchentliche Vollsicherung, tägliche inkrementelle, mindestens halbjährlich Restore-Test.

c) Kryptografische Verfahren:
Symmetrisch (AES-256): Festplatten- und Backup-Verschlüsselung – schnell für große Datenmengen.
Asymmetrisch (TLS/HTTPS): für die Übertragung zwischen Server und Clients (z. B. Web-Frontend) – sichere Authentifizierung und Schlüsselaustausch über digitale Zertifikate.

d) Zwei TOMs nach DSGVO:
Zugriffskontrolle: Rollen- und Berechtigungskonzept, dass nur befugte Mitarbeitende auf Kundendaten zugreifen können (Least Privilege).
Verfügbarkeitskontrolle: regelmäßige Backups nach 3-2-1, USV und Notfallplan, damit Daten im Schadensfall wiederhergestellt werden können.

12) Häufige Fehler bei Sicherheitsaufgaben

Schutzziele nur aufzählen: ohne Erläuterung und Beispiel oft nur halbe Punkte. Drei-Bausteine-Regel beachten
Symmetrisch vs. asymmetrisch verwechseln: Faustregel – ein Schlüssel = symmetrisch, zwei Schlüssel = asymmetrisch
Hash mit Verschlüsselung gleichsetzen: Hash ist Einweg, daraus lässt sich der Originalwert nicht zurückrechnen. Wichtige Unterscheidung
2FA ungenau erklären: zwei verschiedene Faktorkategorien sind nötig, nicht „zweimal Passwort"
Backup-Strategien austauschen: differentiell und inkrementell verwechseln. Eselsbrücke: Differenziell = Differenz zur letzten Voll, Inkrementell = Immer nur seit letztem Backup
3-2-1 unvollständig nennen: oft fehlt das räumliche Trennen (die „1"). Volle Punkte erst mit allen drei Zahlen
DSGVO-Akteure verwechseln: Verantwortlicher und Auftragsverarbeiter sind nicht dasselbe. Wer entscheidet, ist Verantwortlicher
TOMs zu allgemein: „wir machen Backups" reicht selten. Konkrete Maßnahme mit Bezug zu einem Schutzziel

💡 Praxis-Tipp: in Sicherheitsaufgaben zählt sehr oft die Begründung mehr als die nackte Antwort. „Ich empfehle AES" bringt 1 Punkt, „Ich empfehle AES, weil bei der Festplattenverschlüsselung große Datenmengen schnell verarbeitet werden müssen und der Schlüssel nicht ausgetauscht werden muss" bringt 3 Punkte. Übe das Begründen aktiv – schreibe für jede Kernempfehlung zwei Begründungssätze.

Zusammenfassung

Die CIA-Triade umfasst Vertraulichkeit, Integrität und Verfügbarkeit – die drei Schutzziele der IT-Sicherheit. Kryptografie unterscheidet symmetrisch (AES, schnell, große Daten), asymmetrisch (RSA, Schlüsselpaar, Authentifizierung) und Hash (SHA-256, Einweg, Integrität). Hybride Verfahren wie TLS kombinieren beides. Authentifizierung mit Faktoren Wissen/Besitz/Inhärenz; echte 2FA verlangt zwei verschiedene Kategorien. Backup-Strategien: Voll, differentiell, inkrementell – ergänzt durch die 3-2-1-Regel (3 Kopien, 2 Medien, 1 räumlich getrennt). Bedrohungen: Phishing, Ransomware, DDoS, Social Engineering, MITM, SQL Injection. DSGVO: Akteure (Verantwortlicher, Betroffener, Auftragsverarbeiter, DSB), Grundsätze (Art. 5), Betroffenenrechte (Art. 15–22), Bußgelder bis 20 Mio. Euro oder 4 % Jahresumsatz, TOMs nach Art. 32 (Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Verfügbarkeits-, Trennungskontrolle, Pseudonymisierung). Maxime: der Mensch ist die häufigste Schwachstelle.

IT-Sicherheit in AP1-Aufgaben

1) Die CIA-Triade – die drei Schutzziele

2) Verschlüsselungs­verfahren

3) Wann welches Verfahren?

4) Authentifizierungs­verfahren

5) Firewall, IDS/IPS

6) Backup-Strategien

7) Die 3-2-1-Regel

8) Bedrohungs­arten kennen

9) DSGVO-Grundlagen für die AP1

10) Technisch-organisatorische Maßnahmen (TOM)

11) Eine typische AP1-Sicherheits­aufgabe

12) Häufige Fehler bei Sicherheits­aufgaben

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title

2) Verschlüsselungsverfahren

4) Authentifizierungsverfahren

8) Bedrohungsarten kennen

11) Eine typische AP1-Sicherheitsaufgabe

12) Häufige Fehler bei Sicherheitsaufgaben