Prüfungsprotokoll IT-Sicherheit I + II

  • Name: Christian Schneider
  • Prüferin: Prof. Claudia Eckert
  • Beisitzer: Thomas Buntrock
  • Datum: 06.04.2005
  • Dauer: ca. 60 Minuten (reine Prüfungszeit)

Geprüft wurden:

  • IT-Sicherheit I + II

Vorbereitung

Ich habe mich gut zwei Wochen lang auf die Prüfung vorbereitet.

Dazu habe ich die Folien von IT-Sicherheit I (WS 2003/04), IT-Sichereit II (SS 2004) und IT-Sicherheit I (WS 2004/05) verwendet. Zusätzlich habe ich ziemlich viel aus dem Buch von Fr. Prof. Eckert (die "dicke" Fassung) nachgelesen. Das hat mir doch ein wesentlich tieferes Verständnis für einige Themen gebracht, als es die Folien hergeben. Für IT-Sicherheit I habe ich dann noch die wesentlichen Aspekte Stichpunktartig zusammengefasst. Bei IT-Sicherheit II hatte ich das eigentlich auch vor, hat aber von der Zeit her nicht mehr gelangt.

Die Übungen für beide Vorlesungen hatte ich über das Semester eigentlich meistens selbst bearbeitet und habe mir die Ergebnisse nur nochmal angeschaut. Das meiste wusste ich eigentlich noch.

Atmosphäre

Ich habe die Atmosphäre als angenehm empfunden, auch wenn ich mir mal wieder ein Gläschen Wasser gewünscht hätte. Man muss eben viel Reden in der Prüfung. Frau Eckert war sehr fair in der Prüfung, ich kann mich nicht beklagen.

Fragen

  • Sie sind Sicherheits-Consultant meines Unternehmens und ich beauftrage Sie, die Sicherheit in unserem Unternehmen zu erhöhen. Wie gehen Sie vor?
  • Es gibt ein Projekt, bei dem mobilen Mitarbeiter unterwegs auf sehr vertrauliche Daten zugreifen müssen. Wie genau sieht in so einem Fall die Bedrohungsanalyse aus?
  • Wie sieht die Risikoanalyse an diesem Beispiel aus?
  • Wie kann man die Authentizität beim Login der Mitarbeiter erreichen?
  • Wie funktionieren Zertifikate in einer PKI?
  • Wie kann man die Vertraulichkeit für die mobilen Mitarbieter erreichen? Welche Protokolle dazu kennen Sie?
  • Wie funktioniert IPSec?
    • Was ist bei welchem IPSec-Protokoll authentisiert?
    • Wie unterscheidet sich ITSec von SSL/TSL? Was würden Sie für welchen Zweck verwenden?
  • Welche Sicherheitsmodelle für die Zugriffskontrolle kennen Sie?
    • Welche davon würden Sie für das Beispiel-Szenario verwenden?
    • Wie wird die Zugriffskontrolle in Standard-Betriebssystemen implementiert?
    • Wie können die Modelle [Bell LaPadula und RBAC] in ein Betriebssystem integriert/auf bestehende Funktionen abgebildet werden?
  • Wie kann man Vertraulichkeit und Integrität von E-Mails mittels S/MIME sichern?
    • Wie sieht die Verschlüsselung und Signierung mittels S/MIME aus?
  • Wie kann die Sicherheit von z. B. einer SmartCard herstellerunabhängig beurteilt werden?
    • Was bedeutet es z. B., wenn eine SmartCard nach CC EAL-4 evaluiert wurde?

Bewertung der Prüfung

Die Fragen bezogen sich Thematisch komplett auf die Folien. Allerdings musste man die Ideen und Konzepte selbst auf den Beispiel-Fall anzuwenden wissen, so dass man die Funktionen usw. schon verstanden haben musste. Reines Auswendiglernen hätte nicht viel gebracht.

Zusammengefasst war die Prüfung sehr angenehm, fair, meine Note war sehr gut, so dass ich es auf alle Fälle wieder prüfen würde

Zuletzt geändert am 06 April 2005 17:58 Uhr von chrschn