IHK-Aufgaben IT-Sicherheit
Diese Lektion enthält typische IHK-Prüfungsaufgaben zur IT-Sicherheit. Die Aufgaben decken CIA-Triad, Angriffsvektoren, Malware, DDoS, Schwachstellenmanagement, BSI-Grundschutz, Schutzbedarfsanalyse und Security Awareness ab. Löse jede Aufgabe selbst, bevor du die Lösung aufklappst.
1) CIA-Triad und Angriffszuordnung
Aufgabe 1 – Schutzziel bestimmen
Ordne jedem Sicherheitsvorfall das verletzte CIA-Schutzziel (Vertraulichkeit, Integrität, Verfügbarkeit) zu. Begründe kurz.
(a) Ein Angreifer verschlüsselt alle Dateien auf dem Dateiserver mit Ransomware. Die Mitarbeitenden können nicht mehr arbeiten.
(b) Ein Mitarbeiter liest unberechtigterweise die Gehaltsabrechnung seiner Kollegen aus der HR-Datenbank.
(c) Ein Angreifer verändert Preisangaben in der Produktdatenbank des Online-Shops, ohne erkannt zu werden.
(d) Ein DDoS-Angriff überflutet den Webserver des Unternehmens. Die Website ist 4 Stunden nicht erreichbar.
(e) Ein Trojaner sendet heimlich alle gespeicherten E-Mails an eine externe Adresse.
(a) Ein Angreifer verschlüsselt alle Dateien auf dem Dateiserver mit Ransomware. Die Mitarbeitenden können nicht mehr arbeiten.
(b) Ein Mitarbeiter liest unberechtigterweise die Gehaltsabrechnung seiner Kollegen aus der HR-Datenbank.
(c) Ein Angreifer verändert Preisangaben in der Produktdatenbank des Online-Shops, ohne erkannt zu werden.
(d) Ein DDoS-Angriff überflutet den Webserver des Unternehmens. Die Website ist 4 Stunden nicht erreichbar.
(e) Ein Trojaner sendet heimlich alle gespeicherten E-Mails an eine externe Adresse.
(a) Ransomware → Verfügbarkeit verletzt (Mitarbeitende können nicht mehr zugreifen). Zusätzlich oft Integrität (Daten verschlüsselt/verändert).
(b) Unberechtigter Datenbankzugriff → Vertraulichkeit verletzt (Daten eingesehen, die nur Befugte sehen dürfen).
(c) Preismanipulation in Datenbank → Integrität verletzt (Daten unbefugt und unbemerkt verändert).
(d) DDoS → Verfügbarkeit verletzt (autorisierte Nutzer können nicht mehr zugreifen).
(e) Trojaner exfiltriert E-Mails → Vertraulichkeit verletzt (vertrauliche Daten gelangen unbefugt nach außen).
Hinweis: Ransomware verletzt typischerweise alle drei Schutzziele – Vertraulichkeit (Diebstahl vor Verschlüsselung), Integrität (Daten verändert) und Verfügbarkeit (System gesperrt). In Prüfungsaufgaben wird meist das primäre Schutzziel gefragt.
2) Malware und Angriffsvektoren
Aufgabe 2 – Malware-Typ identifizieren
Beschreibe den Malware-Typ und nenne jeweils eine geeignete Schutzmaßnahme:
(a) Eine Schadsoftware verbreitet sich selbstständig über Netzwerklücken und befällt innerhalb von Minuten hunderte Computer im Firmennetz – ohne dass ein Nutzer eine Datei öffnet.
(b) Ein Mitarbeiter lädt eine kostenlose PDF-Konverter-App herunter. Die App funktioniert, öffnet aber heimlich eine Hintertür für Fernzugriff.
(c) Eine Software protokolliert alle Tastatureingaben und sendet sie an einen externen Server – der Nutzer bemerkt nichts.
(d) Infizierte Heim-Router werden von einem Angreifer ferngesteuert, um koordiniert einen Webserver anzugreifen.
(a) Eine Schadsoftware verbreitet sich selbstständig über Netzwerklücken und befällt innerhalb von Minuten hunderte Computer im Firmennetz – ohne dass ein Nutzer eine Datei öffnet.
(b) Ein Mitarbeiter lädt eine kostenlose PDF-Konverter-App herunter. Die App funktioniert, öffnet aber heimlich eine Hintertür für Fernzugriff.
(c) Eine Software protokolliert alle Tastatureingaben und sendet sie an einen externen Server – der Nutzer bemerkt nichts.
(d) Infizierte Heim-Router werden von einem Angreifer ferngesteuert, um koordiniert einen Webserver anzugreifen.
(a) Wurm (Worm) – verbreitet sich selbstständig ohne Nutzerinteraktion über Netzwerkschwachstellen. Schutz: Patch-Management (Schwachstellen schließen), Netzwerksegmentierung, Firewall.
(b) Trojaner – tarnt sich als nützliche Software, enthält versteckten Schadcode (Backdoor). Schutz: Software nur aus offiziellen Quellen, Antivirus, Benutzerrechte einschränken.
(c) Keylogger / Spyware – protokolliert Eingaben heimlich. Schutz: Antivirus/Anti-Spyware, MFA (Passwort allein reicht nicht), regelmäßige Scans.
(d) Botnet – infizierte Geräte (Bots) werden ferngesteuert für koordinierte Angriffe (hier: DDoS). Schutz: IoT-Geräte absichern, Standard-Passwörter ändern, Firmware aktuell halten.
Aufgabe 3 – Social Engineering erkennen
Ein Mitarbeiter erhält folgenden Anruf: „Guten Tag, hier ist Klaus Müller vom IT-Support der Zentrale. Wir haben ein kritisches Sicherheitsproblem festgestellt und müssen Ihren Account sofort zurücksetzen. Können Sie mir bitte kurz Ihren aktuellen Benutzernamen und Ihr Passwort nennen? Das ist sehr dringend, wir haben nur wenige Minuten."
(a) Welche Social-Engineering-Technik wird hier angewendet?
(b) Welche Warnsignale (Red Flags) erkennst du?
(c) Wie sollte der Mitarbeiter reagieren?
(a) Welche Social-Engineering-Technik wird hier angewendet?
(b) Welche Warnsignale (Red Flags) erkennst du?
(c) Wie sollte der Mitarbeiter reagieren?
(a) Vishing (Voice Phishing / Pretexting) – Social Engineering per Telefon. Der Angreifer gibt sich als Autoritätsperson aus (IT-Support) und nutzt Dringlichkeit als Druckmittel.
(b) Red Flags: (1) Passwortabfrage – echter IT-Support fragt nie nach Passwörtern. (2) Künstliche Dringlichkeit – „nur wenige Minuten" soll Nachdenken verhindern. (3) Unerwarteter Anruf ohne vorherige Ankündigung. (4) Druck zur sofortigen Handlung.
(c) Richtige Reaktion: Auflegen. Die Durchwahl des IT-Supports selbst im internen Verzeichnis nachschlagen und zurückrufen. Niemals Passwörter am Telefon nennen – kein Ausnahmefall rechtfertigt das. Den Vorfall der Sicherheitsabteilung melden.
Faustregel: Echter IT-Support richtet einen Passwort-Reset ein, ohne das aktuelle Passwort zu kennen. Wer nach dem Passwort fragt, ist kein echter IT-Support.
3) Schwachstellenmanagement und BSI
Aufgabe 4 – CVSS-Score einordnen und priorisieren
Das Schwachstellen-Scan-Tool meldet folgende CVEs für die Systeme des Unternehmens:
(a) Ordne die vier CVEs nach Handlungspriorität ein und begründe.
(b) Welcher CVE sollte als erstes behoben werden?
| CVE | CVSS-Score | Betroffenes System |
|---|---|---|
| CVE-2024-0001 | 9.8 | Öffentlicher Webserver (Internet-erreichbar) |
| CVE-2024-0002 | 7.5 | Interner Drucker (nur im LAN) |
| CVE-2024-0003 | 4.3 | Produktionsdatenbank (kritisch für Betrieb) |
| CVE-2024-0004 | 9.1 | Testserver (keine Produktionsdaten, kein Internetzugang) |
(a) Ordne die vier CVEs nach Handlungspriorität ein und begründe.
(b) Welcher CVE sollte als erstes behoben werden?
Priorisierung:
1. CVE-2024-0001 (9.8, Webserver) – Höchste Priorität: Critical-Score + direkte Interneterreichbarkeit = akut gefährdet. Sofortiger Patch oder Workaround erforderlich.
2. CVE-2024-0003 (4.3, Produktionsdatenbank) – Trotz niedrigem CVSS-Score: die Produktionsdatenbank ist betriebskritisch. Der Umgebungskontext erhöht die tatsächliche Priorität. Zeitnah patchen.
3. CVE-2024-0002 (7.5, Drucker) – High-Score, aber nur im LAN. Angreifer braucht erst internen Zugang. Im nächsten regulären Patchzyklus beheben.
4. CVE-2024-0004 (9.1, Testserver) – Critical-Score, aber kein Produktivbetrieb, keine sensiblen Daten, kein Internetzugang. Niedrigste Priorität trotz hohem Score.
Zuerst: CVE-2024-0001
Schlüssellernen: CVSS-Score allein reicht nicht – der Kontext (Erreichbarkeit, Datenkritikalität, vorhandene Exploits) bestimmt die tatsächliche Handlungspriorität.
Aufgabe 5 – Schutzbedarfsanalyse
Ein Krankenhaus bewertet den Schutzbedarf folgender Systeme. Ordne jeweils die Schutzbedarfsstufe (normal / hoch / sehr hoch) für Vertraulichkeit, Integrität und Verfügbarkeit zu und begründe kurz:
(a) Das Patientenverwaltungssystem mit Diagnosen, Medikamentenplänen und Stammdaten aller Patienten.
(b) Die Website des Krankenhauses mit allgemeinen Informationen zu Öffnungszeiten und Abteilungen.
(c) Die Beatmungsgeräte-Steuerungssoftware auf der Intensivstation.
(a) Das Patientenverwaltungssystem mit Diagnosen, Medikamentenplänen und Stammdaten aller Patienten.
(b) Die Website des Krankenhauses mit allgemeinen Informationen zu Öffnungszeiten und Abteilungen.
(c) Die Beatmungsgeräte-Steuerungssoftware auf der Intensivstation.
(a) Patientenverwaltung: Vertraulichkeit: sehr hoch (Gesundheitsdaten = besondere Kategorie Art. 9 DSGVO, massiver Schaden bei Datenleck). Integrität: sehr hoch (Fehler bei Medikamentenplänen = Lebensgefahr). Verfügbarkeit: sehr hoch (Ausfall gefährdet Patientenversorgung). → Gesamt: sehr hoch.
(b) Öffentliche Website: Vertraulichkeit: normal (keine sensiblen Daten, alles öffentlich). Integrität: hoch (Defacement = Reputationsschaden, Desinformation). Verfügbarkeit: normal (Ausfall ärgerlich, aber kein Betriebsschaden). → Gesamt: hoch (Maximumprinzip wegen Integrität).
(c) Beatmungsgeräte-Steuerung: Vertraulichkeit: hoch. Integrität: sehr hoch (Manipulation = direkte Lebensgefahr). Verfügbarkeit: sehr hoch (Ausfall = akute Gefahr für Patienten). → Gesamt: sehr hoch.
Das Krankenhaus ist KRITIS-Betreiber – es gelten zusätzliche Anforderungen nach IT-Sicherheitsgesetz 2.0.
K07-Kursüberblick – IT-Sicherheit auf einen Blick
| Thema | Kernaussage | Lektion |
|---|---|---|
| CIA-Triad | Confidentiality, Integrity, Availability – Grundlage aller Schutzmaßnahmen | L1 |
| Angriffsvektoren | Phishing, Social Engineering, Malware, SQL-Injection, Insider | L2 |
| Malware-Typen | Virus, Wurm, Trojaner, Ransomware, Spyware, Rootkit, Botnet, Keylogger | L3 |
| DDoS | Volumetrisch, Protokoll, Application Layer. Schutz: CDN, Scrubbing, Rate-Limiting | L4 |
| MitM + Replay | ARP-Spoofing, SSL-Stripping. Replay durch Timestamps/Nonces verhindern | L5 |
| CVE / CVSS | CVE = eindeutige ID. CVSS 0–10: Low/Medium/High/Critical. Kontext entscheidet Priorität. | L6 |
| BSI-Grundschutz | Bausteine für alle IT-Bereiche. Prozess: Strukturanalyse → Schutzbedarf → Check → Umsetzung | L7 |
| Schutzbedarfsanalyse | Normal / Hoch / Sehr hoch. Maximumprinzip. Für jedes Asset in C, I, A bewerten. | L8 |
| Security Awareness | Mensch als schwächstes Glied. Phishing-Sim, Schulung, Kultur, klare Regeln. | L10 |
IT-Sicherheit in der IHK-Prüfung: Aufgaben kommen als Fallbeschreibungen – ein Vorfall wird geschildert, du sollst Schutzziel bestimmen, Malware-Typ nennen oder Schutzmaßnahmen empfehlen. Übe, Situationen schnell zuzuordnen: Was ist verletzt (CIA)? Was war der Angriffsvektor? Was wäre die Gegenmaßnahme?