• Wie steht’s mit der Sicherheit? Nennen Sie Beispiele für Pannen aus der Praxis.

• Wie wirkt sich die Technikabhängigkeit auf die Überlebensfähigkeit von Unternehmen bei Rechnerausfall in den einzelnen Branchen aus?

• Was war die Fehlerursache bei dem Absturz der Ariane 5 am 4. Juni 1996?

• Was bedeutet "Computersicherheit"? Geben Sie eher eine intuitive als formale Definition an.

• Was heißt "erwartungsgemäß"? Was erwarten Sie von Ihrem Computer?

• Welche Arten von Gefährdungen der (Computer-)Sicherheit kennen Sie?

• Was sind die Aspekte der Computersicherheit / wichtige Eigenschaften eines sicheren Systems?

• Was definiert eine umfassende Sicherheitspolitik?

• Nennen Sie die drei Stufen für die Definition einer Sicherheitspolitik?

• Was versteht man unter dem Begriff "Netiquette"?

• Wie lauten die "Zehn Gebote der Computerethik"?

• Wie wird Computerethik durch die Gesetzgebung garantiert?

• Welche Regelungen der Benutzerordnung des Fachbereichs Informatik der TUD betreffen die Sicherheit und inwiefern?

• In welchem Buch wird eine Klassifizierung bezüglich der Sicherheit von Systemen vorgenommen?

• Beschreiben Sie das "Orange Book"?

• In welche Sicherheitsklassen werden nach dem Orange Book Computersysteme eingeteilt? Was wird bewertet?

• Ein System muß bestimmte Kriterien / Sicherheitsfunktionen erfüllen, um einer Klasse zugeordnet zu werden. Welche Kategorien sind hierbei relevant?

• Was versteht man unter TCB?

• Diskutieren Sie die Objektwiederverwendung? Welche Problematik besteht hierbei? Nennen Sie Beispiele?

• Welche Methoden sollten von einem System, das Objektwiederverwendungsfunktionen unterstützt, implementiert werden?

• Was versteht man unter einem "vertrauenswürdigen Pfad"?

• Nennen Sie Gefahren bei Nichtbestehen eines vertrauenswürdigen Pfades?

• Was bedeutet "Spoofing" bzw. was sind "Spoofing-Programme"?

• Was sollte bei einer umfassenden Systemüberwachung alles überwacht werden?

• Wozu ist das alles nötig?

• Welche Informationen sollen nach dem "Orange Book" überwacht werden?

• Was ist dabei noch wichtig? Wo ist näheres dazu beschrieben (welches Buch)?

• Wie muß die Systemarchitektur bezüglich einer hohen Vertrauenswürdigkeit gestaltet sein?

• Was ist ein "verdeckter Kanal"?

• Welche Möglichkeiten bestehen für eine "vertrauenswürdige Distribution"?

• Was ist zur Dokumentation vertrauenswürdiger Systeme zu sagen?

• Welche Punkte können am "Orange Book" kritisiert werden?

• Was ist das "Common Criteria Projekt"?

2.V, S.21

• Grenzen Sie den Begriff Kryptographie ab.

2.V, F.15 und S.23

• Welches ist die Zielsetzung kryptographischer Verfahren?

• Aus welchen Komponenten besteht ein Verschlüsselungsverfahren?

• Welches wichtige Prinzip gilt bei Verschlüsselungsverfahren?

• Welche Anwendungsgebiete gibt es für Verschlüsselungsverfahren?

• Was versteht man unter einem "Brute-Force"-Angriff?

• Welche weiteren Angriffe sind möglich, die ein gutes Verschlüsselungsverfahren abwehren können muß?

• Wie können Verschlüsselungsverfahren klassifiziert werden?

• Beschreiben Sie die symmetrische Verschlüsselung (das Prinzip), ihre Haupteinsatzgebiete und nennen Sie bekannte Verfahren?

• Beschreiben Sie DES.

• Wie funktioniert DES (Arbeitsweise)?

• Welche unterschiedlichen DES-Betriebsarten kennen Sie?

• Was ist "Triple DES"?

• Kennen Sie noch weitere DES-Varianten?

• Erläutern Sie weitere symmetrische Verschlüsselungsverfahren?

• Worin besteht die Problematik beim Schlüsseltausch?

• Wie läuft das "Diffie-Hellman Protokoll" ab?

• Worin besteht der Schwachpunkt des "Diffie-Hellman Protokolls"?

• Was versteht man unter einem "man-in-the-middle" Angriff?

• Was ist das "El Gamal" Verfahren?

• Welches Prinzip liegt der asymmetrischen Verschlüsselung zugrunde? Welche Haupteinsatzgebiete hat die asymmetrische Verschlüsselung? Welche Verfahren der asymmetrischen Verschlüsselung kennen Sie?

• Was ist eine "digitale Signatur"?

• Stellen Sie die Vor- und Nachteile symmetrischer und asymmetrischer Verschlüsselungsverfahren gegenüber?

• Was versteht man unter einem hybriden Verschlüsselungsverfahren?

• Beschreiben Sie das "RSA-Verfahren".

• Bewerten Sie das "RSA-Verfahren" hinsichtlich seiner Schnelligkeit und Sicherheit?

• Veranschaulichen Sie Ihre Aussagen anhand von Zahlenbeispielen.

• Was ist ein "One-Time-Pad" und welche Probleme treten bei seiner Anwendung auf?

• Was versteht man unter einer "kryptographischen Prüfsumme"?

• Was ist in diesem Zusammenhang mit "Kollision" gemeint?

• Welche "Einweg-Hashfunktionen" kennen Sie und worin unterscheiden diese sich?

• Welche "Signaturverfahren" kennen Sie? Welche Einsatzmöglichkeiten gibt es?

• Was ist "MAC" und welche Anwendungsgebiete von MAC kennen Sie?

• Was versteht man unter "Authentisierung"?

• Auf welche Weise kann ein Benutzer seine Identität nachweisen?

• Was geschieht beim Login Vorgang? In welchem Zusammenhang stehen hier Benutzerkennung und Passwort?

• Beschreiben Sie die Phasen bei der Arbeit mit einem Computersystem.

• Was ist zur Wahl eines geeigneten Passwortes zu sagen?

• In welchen Dateien werden unter Unix und Windows NT die Passwörter abgespeichert?

• Wie funktioniert die Verschlüsselung von Unix-Passwörtern? Was versteht man unter "Passwort versalzen"?

• Warum werden Passwörter mit 16 Zeichen trotz höherer Sicherheit noch nicht oft eingesetzt?

• Wie sieht der Aufbau einer Unix Passwort-Datei aus?

• Warum ist es sinnvoll freigegebene Accounts in der Unix Passwort-Datei mit einem entsprechenden Eintrag beizubehalten und wie sieht dieser aus?

• Wie funktioniert der "Wörterbuchangriff"?

• Was sind "Schattendateien" bzw. "shadow passwords"?

• Was machen "Passwort-Überprüfungsprogramme" wie Crack?

• Was wird unter einem "trojanischen Pferd" innerhalb eines Programms verstanden?

• Was stellte sich bei einer Analyse von Passwörtern heraus?

• Was versteht man unter "Passwort Sniffing" und wie kann man sich dagegen schützen?

• Was sind "Einmal-Passwörter"?

• Welche Techniken existieren, damit Benutzer und Zielsystem (Server) wissen, welches Passwort gerade gültig ist?

• Wie funktioniert das System "SECURID" (Token Card) und die "SecureNet key card" (Token Card) nach dem "Challenge-Response-Verfahren"?

• Wie funktioniert das "S/Key-System"?

• Was ist eine "Passphrase"?

• Wie wird die Eindeutigkeit eines Benutzers in Unix-Systemen gewährleistet? Wie geschieht die Rechte-Prüfung unter Unix?

• Wie erhalte ich in Unix Informationen über mich?

• Wo ist die Hauptgruppe eines Benutzers gespeichert? Wo sind evtl. weitere Einträge gespeichert und wie sieht deren Struktur aus?

• Welche besonderen Benutzerkennungen in einem Unix-System kennen Sie?

• Welche Gefahren entstehen durch Standardwerte bei der Passwortvergabe und wie können Passworteinträge abgeschaltet werden?

• Was sind "Superuser"-Rechte und welche UID erhalten diese?

• Auf welche Arten läßt sich der Benutzer bei laufendem Betrieb des Systems ändern?

• Welche Möglichkeiten besitzt ein Superuser-Prozeß?

• Was sind "Read-Only" Medien und wodurch zeichnen sich diese aus?

• Warum ist fast immer die Superuser-Kennung letztendlich Ziel aller Angriffe gegen ein System? Wie läuft ein typischer Angriff ab?

• Welche Vorteile besitzt ein Zeilendrucker hinsichtlich der Protokollierung? Welche weiteren Schutzvorkehrungen kennen Sie?

• Was kann alles passieren, wenn der Systemverwalter nicht genau weiß, was er tut? Welche Fälle sind Ihnen bekannt?

• Wieso stellt das Dateisystem einen für die Sicherheit des Computersystems zentralen Punkt dar?

• Was ist eine Unix-Datei? Wie wird ein Hinweis auf die Art der abgespeicherten Informationen gegeben?

• In welcher Form wird das Unix-Dateisystem verwaltet?

• Wie sieht das Plattenlayout bei Unix aus?

• Was ist ein "inode"?

• Beschreiben Sie den internen Vorgang bei Öffnen einer Datei.

• Was sind Zugriffsbits und wie sind diese aufgebaut?

• Wie werden diese angezeigt und mit welchem Kommando lassen sich diese ändern?

• Wie ist die Bedeutung bei Verzeichnissen zu interpretieren?

• Welche weiteren vordefinierten Bits kennen Sie in diesem Zusammenhang?

• Was versteht man unter realer und effektiver UID?

5.V, F.11 und S.60

• Was bewirkt das "umask-Kommando"?

• Wie sieht die oktale Darstellung der Unix-Zugriffsberechtigungen aus?

• Was bewirkt das Setzen des SUID- oder des SGID-Bits?

• Gehen Sie auf die Problematik von "SUID Kommandodateien" ein.

• Wie bekomme ich "root"-Rechte? Wie kann sich der Systemverwalter davor schützen?

• Was versteht man unter "defensiver Programmiertechnik"?

• Was ist im einzelnen beim Schreiben von Programmen mit erweiterten Rechten alles zu beachten (Regeln zum defensiven Programmieren)?

• Was ist eine "Race-Condition"?

• Welche Schutzmechanismen im Betriebssystem kennen Sie?

• Welche erweiterten Techniken zur Zugriffskontrolle kennen Sie?

• Was ist eine Zugriffskontrollmatrix?

• Grenzen Sie in diesem Zusammenhang die Begriffe Zugriffsrecht, Schutzumgebung und Befähigung ab.

• Was ist eine Zugriffskontrolliste / ACL?

• Erläutern Sie anhand der HP-UX Implementierung die Integration von ACLs in Unix?

• Wie ist die Ableitungsreihenfolge bei den Rechten aus einer ACL bestimmt?

6.V, F.4 und S.66

• Welche ACL-Kommandos kennen Sie?

• Was ist eine Befähigungsliste?

• Beschreiben Sie die Möglichkeiten durch eine Kombination von Befähigungslisten und Zugriffskontrollisten.

• Wie funktioniert das "Bell-LaPadula" Zugriffskontrollverfahren? Unter welcher Bezeichnung ist es im "Orange Book" zu finden?

• Was ist am "Bell-LaPadula"-Verfahren zu kritisieren?

• Welches sind die wichtigen Kriterien bzw. tragenden Säulen der Systemsicherheit?

• Diskutieren Sie die Möglichkeiten für die Speicherverwaltung und den Schutz in Abhängigkeit der vorgegebenen Hardware (einfache Lösung, konkurrierende Programme).

• Was ist bei einfacher Hardware zu tun, wenn sich mehrere Programme gleichzeitig im Hauptspeicher befinden?

• Wozu braucht man Basisregister? Welche Vorteile bringen diese mit sich?

• Wieso genügt die Schutzmöglichkeit durch Basisregister bei Mehrprogrammbetrieb nicht?

• Was ist ein Grenzregister?

• Beschreiben Sie das Konzept des virtuellen Speichers.

• Wie funktioniert dabei die Adreßumsetzung?

• Wie sieht ein Seitentabelleneintrag aus?

• Welcher kurioser Designfehler wird für ewigen Ruhm des TENEX-Betriebssystems sorgen? Zeigen Sie, wie wichtig es für den Entwurf sicherheitsrelevanter Programme ist, Kenntnisse über darunterliegende Betriebssystem-Mechanismen zu haben.

• Gehen Sie auf den Schutz und die gemeinsame Benutzung von Prozessen ein. Wieviele Seitentabellen hat jeder Prozeß?

• Wie findet die Umsetzungs-Hardware die richtige Tabelle?

• Welche Funktionen übernehmen Schutzbits?

• Was ist für ein sicheres Booten nötig? Welche Implementierung hierfür kennen Sie?

• Was versteht man unter einem "trojanischen Pferd"?

• Wie läßt sich das Ziel des "Sicheren Bootens" verwirklichen? Gehen Sie auf die drei Phasen ein.

• Welcher Preis ist für die Anbindung an ein weltweites Computernetz zu zahlen?

• Wie entstand das Internet (Entwicklung)?

• Welche Rolle spielt dabei das World-Wide Web?

• Wieso treten Sicherheitsprobleme bei der Umgestaltung des ursprünglichen militärischen Netzes zu einem Netzwerk mit nunmehr wirtschaftlicher Ausrichtung auf? Welche Lösungsmöglichkeit schlagen Sie vor?

• Beschreiben Sie das ISO/OSI Referenzmodell.

• Wieso sind die Implementierungen des OSI Schichtenmodells, trotz Verfügbarkeit, nicht weit verbreitet?

• Was ist das Internet Protocol (IP)?

• Wie sehen IP Pakete (® IP Header) aus?

• Wie sehen IP Adressen aus?

• Welche Unsicherheiten der Paketübermittlung müssen auf IP aufsetzende Protokolle berücksichtigen und ggf. kompensieren?

• Was bedeutet "Timeout"?

• Wodurch ist "IPv6" gekennzeichnet?

• Beschreiben Sie das Transmission Control Protocol (TCP).

• Durch was ist eine TCP Verbindung festgelegt?

• Was sind privilegierte Ports?

• Was sind ACK-Bits und SYN-Bits?

• Wie funktioniert der Aufbau einer TCP Verbindung bzw. der "Drei-Wege Handshake"?

• Wozu sind eine Reihe von Standarddiensten per Konvention bestimmten Portnummern zugeordnet?

• Welche TCP-Dienste mit vordefinierten Portnummern kennen Sie und von wem werden diese verwaltet?

• Beschreiben Sie das User Datagram Protocol (UDP).

• Beschreiben Sie das Address Resolution Protocol (ARP). Wann kommt es zum Einsatz? Was sind in diesem Zusammenhang MAC?

• Welche Aufgabe übernimmt das Domain Name System? Wie wird dabei eine DNS Anfrage abgearbeitet?

• Was bewirkt der "reverse lookup"?

• Was versteht man unter Routing und Router?

• Wie sind in kleineren und größeren Netzen die Routingtabellen zu bestimmen?

• Welche Angriffe auf Protokolle der TCP/IP Familie sind Ihnen bekannt?

• Beschreiben Sie einen passiven Angriff auf die Übertragung.

• Was passiert im "promiscuous mode"?

• Beschreiben Sie einen passiven Angriff auf die Adressierung (® Maskeradeangriffe). Welche weiteren Arten von passiven Angriffen auf die Adressierung sind Ihnen bekannt?

• Was ist "DNS Spoofing"?

• Was sind "Source-Routed" IP Pakete?

• Welche Arten von aktiven Angriffen sind Ihnen bekannt?

• Stellen Sie Angriffe der Achtziger den Neunzigern gegenüber?

• Was ist mit Secure Socket Layer (SSL) gemeint?

• Welche Exportrestriktion bezüglich kryptographischer Verfahren wurde in den Vereinigten Staaten auferlegt?

• Stellen Sie einen Vergleich zwischen dem ISO/OSI Schichtenmodell mit dem TCP/IP Protokollstack her.

• Erläutern Sie die "blockorientierte Übertragung" von SSL.

• Was versteht man unter "Padding"?

• Wie funktioniert der Schlüsseltausch und die Authentisierung bei SSL?

• Wie läuft die Übertragung der Nutzdaten bei SSL ab?

• Was ist zur Sicherheit der Exportversion von SSL zu sagen?

• Was ist das WWW?

• Wodurch ist jedes Dokument eindeutig bezeichnet (® Beispieldokument, HTML-beispiel auf 8.V, F.11-12)?

• Wie sieht der Verbindungsaufbau bei HTTP aus?

• Was ist zur Sicherheit der Browser-Software zu sagen?

• Wie bewerten Sie die Server-Sicherheit?

• Welche Verzeichnisse verwendet ein WWW-Server in der Regel?

• Welche unsicheren Optionen kennen Sie?

• Was sind "Server-Side-Includes"?

• Was sind "CGI-Programme"?

• Auf welche Arten kann das Übersenden der Parameter vom Client zum Server erfolgen?

• Wie läßt sich der Zugriff auf die im WWW angebotenen Dokumente steuern?

• Wie kann der Schutz der Kommunikation und damit Vertraulichkeit im WWW gewährleistet werden?

• Ist anonymes Surfen im Web überhaupt möglich?

• Welche Informationen werden alle in Protokolldateien des Servers abgelegt?

• Was ist mit Transparenz in netzwerkeinheitlichen Benutzerumgebungen gemeint? Welchen Komfort erwünscht sich der Benutzer?

• Was muß dafür alles verwaltet werden?

• Was implementierte die Firma Sun zur Bereitstellung der oben beschriebenen Funktionalität?

• Erläutern Sie das "SUN-Schichtenmodell" inklusive RPC (Prinzip, Anwendungen, Implementierungen), NIS und NFS.

• Wieso kann sich der Nachfolger von RPC, nämlich "Secure RPC" nicht durchsetzen?

• Beschreiben Sie die interne Seite von RPC? Was ist dabei XDR?

• Was ist ein "Stub-Compiler" und wie funktioniert er?

• Welche Problemfälle können die totale Transparenz dennoch gefährden?

• Welche "RPC-Semantiken" werden angeboten?

• Skizzieren Sie den Verbindungsaufbau und die Kommunikation beim RPC.

• Welche unterschiedlichen Authentisierungsmodi bei RPC kennen Sie, um eine optionale Authentisierung des Aufrufers durchführen zu können?

• Beschreiben Sie "Secure RPC".

• Wie sieht der Verbindungsaufbau mit Passworttausch beim Secure RPC aus?

• Was versteht man unter einer "Replay-Attacke"? Wie kann man sich davor schützen?

• Nennen Sie Nachteile des "Secure RPC".

• Erläutern Sie NIS von Sun.

• Welche Angriffe sind auf NIS möglich?

• Was ist "NIS Spoofing"?

• Was ist "RPC Spoofing"?

• Was sind "portmapper"?

• Beschreiben SIE NIS+.

• Wie läuft der "Authentisierungs-Handshake" ab?

• Was bewirkt das Kommando "keylogout"?

• Wie entstand "Kerberos"?

• Welche zentralen Anforderungen werden durch das Authentisierungssystem Kerberos erfüllt?

• Was ist ein "Spoofing-Angriff"?

• Beschreiben Sie den Authentisierungsvorgang bei Kerberos.

• Was ist ein Kerberos Ticket? Wie ist es aufgebaut?

• Bewerten Sie das Kerberos-System.

• Welche Probleme entstehen durch Anbindung interner Netze an öffentliche Netze?

• Welche Hauptaufgabe übernehmen "Firewalls"?

• Welche zwei prinzipiellen Strategien für die Konfiguration eines "Firewalls" gibt es?

• Welche unterschiedlichen Einsatzmöglichkeiten für einen "Firewall" kennen Sie?

• Was sind "Virtual Private Networks" (VPN)?

• Gehen Sie auf die Architektur von Firewall-Systemen ein. Welche Komponenten sind Ihnen bekannt?

• Welche unterschiedlichen Firewall-Architekturen kennen Sie?

• Erörtern Sie die Möglichkeiten der Konfigurierung und Programmierung eines "Cisco-Routers".

• Was ist bei der Konfiguration des "Gate-Rechners" zu beachten?

• Was versteht man unter "Denial-of-Service" Angriffen?

• Kann ein "Firewall" als zentrale Stütze der Systemsicherheit gelten?

• Was ist ein "Wrapper"? Welche Aufgabe erfüllt dieser?

• Welche Wrapper-Implementierungen sind Ihnen bekannt und welche Anwendungsgebiete für diese gibt es?

• Welche Möglichkeiten für einen "Denial-of-Service" kennen Sie?

• Welche konkreten Beispiele für "Denial of Service" Attacken wurden in der Vorlesung vorgestellt (® inkl. "Smurf" Angriff)?

• Woran kann man einen "Denial-of-Service"-Angriff erkennen?

• Wie sollte man sich nach einem erfolgten Angriff verhalten?

• Wie ist die Computersicherheit früher/heute zu bewerten?