Aufgaben Berechtigungskonzepte
Diese Lektion enthält fünf Aufgaben im IHK-Stil zu den Themen des Kurses: Authentifizierungsfaktoren und MFA, Zuordnung von Autorisierungsmodellen, Erstellung einer Berechtigungsmatrix, Ablauf einer SSO-Anmeldung und Analyse eines Berechtigungsproblems. Lies jede Aufgabe sorgfältig durch – in der echten Prüfung kommt es auf präzises Lesen an.
0 von 5 Aufgaben abgeschlossen
Zwei-Faktor-Authentifizierung korrekt einordnen
Ein Unternehmen führt Zwei-Faktor-Authentifizierung (2FA) ein. Welche zwei der folgenden Kombinationen stellen eine korrekte 2FA-Lösung dar (zwei verschiedene Faktorkategorien)?
A) Passwort + PIN (beides Wissen)
B) Passwort + TOTP-Code aus Authenticator-App (Wissen + Besitz)
C) Fingerabdruck + Gesichtserkennung (beides Inhärenz)
D) Smartcard (Besitz) + PIN (Wissen)
Autorisierungsmodelle den Szenarien zuordnen
Ordne jedem Szenario das passende Autorisierungsmodell zu. Klicke zuerst ein Szenario links an, dann das Modell rechts.
Szenarien
Dateibesitzer entscheidet selbst, wer seine Dateien lesen darf.
Jeder Mitarbeiter bekommt Rechte über seine Abteilungszugehörigkeit (z.B. „Entwickler-Gruppe").
Zugriff wird verweigert, wenn das Gerät nicht MDM-verwaltet ist – unabhängig von der Rolle.
Militärische Datenbank: Nutzer mit Clearance „GEHEIM" darf nur Dokumente mit Label ≤ GEHEIM lesen.
Modelle
DAC – Discretionary Access Control
MAC – Mandatory Access Control
RBAC – Role-Based Access Control
ABAC – Attribute-Based Access Control
Berechtigungsmatrix vervollständigen
Ein Unternehmen hat drei Ressourcen und vier Rollen. Ergänze die fehlenden Berechtigungsstufen (–, R, R/W, Voll) gemäß folgenden Anforderungen:
• Buchhaltungs-System: Nur Buchhaltung hat Vollzugriff. Geschäftsführung darf lesen. Alle anderen: kein Zugriff.
• Dateiserver (allg.): Alle Mitarbeitenden dürfen lesen und schreiben. IT-Admin hat Vollzugriff.
• Active Directory: Nur IT-Admin hat Vollzugriff. Alle anderen: kein Zugriff.
• Buchhaltungs-System: Nur Buchhaltung hat Vollzugriff. Geschäftsführung darf lesen. Alle anderen: kein Zugriff.
• Dateiserver (allg.): Alle Mitarbeitenden dürfen lesen und schreiben. IT-Admin hat Vollzugriff.
• Active Directory: Nur IT-Admin hat Vollzugriff. Alle anderen: kein Zugriff.
| Ressource | Entwickler | IT-Admin | Buchhaltung | Geschäftsführung |
|---|---|---|---|---|
| Buchhaltungs-System | ||||
| Dateiserver (allg.) | ||||
| Active Directory |
SSO-Anmeldeablauf in die richtige Reihenfolge bringen
Bringe die folgenden Schritte eines SAML-basierten SSO-Anmeldevorgangs in die korrekte Reihenfolge. Ziehe die Elemente an die richtige Position.
⠿Service Provider prüft die Signatur der SAML-Assertion und gewährt Zugang.
⠿Service Provider leitet den Browser zum Identity Provider weiter (Redirect).
⠿Nutzer ruft eine geschützte Seite beim Service Provider auf.
⠿Nutzer ist eingeloggt und greift auf die Ressource zu – ohne erneute Passwortabfrage.
⠿Nutzer authentifiziert sich beim IdP (Passwort + MFA); IdP stellt SAML-Assertion aus.
Sicherheitsprobleme im Berechtigungskonzept identifizieren
Ein IT-Sicherheitsaudit in einem mittelständischen Unternehmen ergibt folgende Befunde:
Befund 1: Alle Entwickler haben dauerhaft lokale Administrator-Rechte auf ihren Arbeitsrechnern, weil sie häufig Software installieren müssen.
Befund 2: Die Gruppe „Alle Mitarbeitenden" hat Lesezugriff auf den Ordner
Befund 3: Ein externer Dienstleister hat seit Projektende vor 8 Monaten noch immer VPN-Zugang und Zugriff auf das Entwicklungsnetz.
Befund 4: Der Datenbank-Serviceaccount läuft unter dem Domain-Admin-Konto.
Ordne jedem Befund das verletzte Sicherheitsprinzip zu:
Befund 1: Alle Entwickler haben dauerhaft lokale Administrator-Rechte auf ihren Arbeitsrechnern, weil sie häufig Software installieren müssen.
Befund 2: Die Gruppe „Alle Mitarbeitenden" hat Lesezugriff auf den Ordner
\\fileserver\personal\gehaelter.Befund 3: Ein externer Dienstleister hat seit Projektende vor 8 Monaten noch immer VPN-Zugang und Zugriff auf das Entwicklungsnetz.
Befund 4: Der Datenbank-Serviceaccount läuft unter dem Domain-Admin-Konto.
Ordne jedem Befund das verletzte Sicherheitsprinzip zu:
Befund 1:
Befund 2:
Befund 3:
Befund 4:
Weitere Prüfungsvorbereitung:
IHK-Aufgaben IT-Sicherheit ·
IHK-Aufgaben Netzwerksicherheit ·
IHK-Aufgaben Kryptografie