IT-Grundschutz Übungsfragen & Mock-Klausur

Umfassende Vorbereitung auf deine Klausur mit über 50 Fragen

Prüfungssimulation - Realistische Klausurbedingungen für optimale Vorbereitung

Anweisungen

  • Beantworte alle Fragen erst vollständig, bevor du die Lösungen anschaust
  • Bei Multiple-Choice-Fragen können mehrere Antworten richtig sein
  • Die Mock-Klausur simuliert eine echte Prüfungssituation (90 Minuten)
  • Lösungen und Erklärungen findest du am Ende jeder Sektion

Teil 1: Multiple-Choice-Fragen

Grundlagen des IT-Grundschutzes

Frage 1

Welche der folgenden Aussagen zum IT-Grundschutz sind korrekt?

Frage 2

Welche BSI-Standards gehören zum IT-Grundschutz?

Frage 3

Was sind die drei Vorgehensweisen des IT-Grundschutzes?

ISMS und Sicherheitsmanagement

Frage 4

Welche Phasen gehören zum PDCA-Zyklus?

Frage 5

Welche Aussagen zum Informationssicherheitsbeauftragten (ISB) sind korrekt?

Frage 6

Was ist der Unterschied zwischen ISB und ICS-ISB?

Strukturanalyse

Frage 7

Welche Objekte werden in der Strukturanalyse erfasst?

Frage 8

Nach welchen Kriterien werden Objekte gruppiert?

Schutzbedarfsfeststellung

Frage 9

Welche Grundwerte (CIA-Triad) werden beim IT-Grundschutz betrachtet?

Frage 10

Welche Schutzbedarfskategorien gibt es?

Frage 11

Welche Vererbungsprinzipien gibt es bei der Schutzbedarfsfeststellung?

Teil 2: Offene Fragen

Frage 12

Erklären Sie den PDCA-Zyklus und seine vier Phasen im Kontext des IT-Grundschutzes.

Frage 13

Beschreiben Sie die Unterschiede zwischen den drei Vorgehensweisen des IT-Grundschutzes (Basis-, Standard-, Kern-Absicherung) und nennen Sie jeweils ein Anwendungsbeispiel.

Frage 14

Welche Aufgaben hat ein Informationssicherheitsbeauftragter (ISB) und welche Anforderungen sollte er erfüllen?

Frage 15

Erklären Sie das Maximumprinzip und den Kumulationseffekt bei der Schutzbedarfsfeststellung anhand von Beispielen.

Frage 16

Beschreiben Sie den Ablauf einer Strukturanalyse. Welche Schritte sind zu beachten und in welcher Reihenfolge?

Teil 3: Mock-Klausur (90 Minuten)

Prüfungsbedingungen

  • Zeit: 90 Minuten
  • Punkte: 100 Punkte insgesamt
  • Bestehensgrenze: 50 Punkte
  • Hilfsmittel: Keine

Aufgabe 1 (15 Punkte)

Multiple-Choice: IT-Grundschutz Grundlagen

Kreuzen Sie alle zutreffenden Aussagen an. Für jede richtige Antwort gibt es 2 Punkte, für jede falsche wird 1 Punkt abgezogen. Mindestpunktzahl: 0.

a) Welche Aussagen zum IT-Grundschutz sind korrekt?

Aufgabe 2 (20 Punkte)

ISMS und Organisationsstrukturen

a) Erklären Sie den PDCA-Zyklus und ordnen Sie die folgenden Aktivitäten den richtigen Phasen zu: (8 Punkte)

Aktivitäten: Schwachstellenanalyse, Maßnahmenumsetzung, Sicherheitskonzept erstellen, Verbesserungsmaßnahmen einleiten

Plan:

Do:

Check:

Act:

b) Nennen Sie vier Hauptaufgaben eines ISB und erklären Sie, warum der ISB nicht der IT-Abteilung direkt unterstellt sein sollte. (12 Punkte)

Aufgabe 3 (25 Punkte)

Schutzbedarfsfeststellung - Fallstudie

Die Firma "TechSolutions GmbH" betreibt eine Online-Handelsplattform. Führen Sie eine Schutzbedarfsfeststellung für die folgenden Komponenten durch:

Gegeben:

  • Kundendatenbank: Enthält persönliche Daten von 50.000 Kunden, Zahlungsinformationen
  • Webserver: Hostet die Handelsplattform, 24/7 verfügbar
  • Backup-System: Sichert täglich alle Daten
  • Büro-PCs: Standard-Arbeitsplätze für Verwaltung

Schadensszenarien: Normal: <10.000€, Hoch: 10.000-100.000€, Sehr hoch: >100.000€

a) Bestimmen Sie den Schutzbedarf für alle drei Grundwerte (V, I, A) für jede Komponente und begründen Sie Ihre Entscheidung: (20 Punkte)

Komponente Vertraulichkeit Integrität Verfügbarkeit Begründung
Kundendatenbank
Webserver
Backup-System
Büro-PCs

b) Erklären Sie, welches Vererbungsprinzip Sie angewendet haben und warum: (5 Punkte)

Aufgabe 4 (20 Punkte)

Strukturanalyse

a) Erklären Sie das Ziel der Strukturanalyse und nennen Sie die fünf Hauptkategorien von Objekten, die erfasst werden müssen: (8 Punkte)

b) Beschreiben Sie die Kriterien für die Gruppierung von IT-Systemen und nennen Sie drei Vorteile der Gruppenbildung: (12 Punkte)

Aufgabe 5 (20 Punkte)

Vergleich der Vorgehensweisen und praktische Anwendung

a) Vervollständigen Sie die folgende Tabelle zu den drei Vorgehensweisen des IT-Grundschutzes: (12 Punkte)

Vorgehensweise Zielgruppe Schutzbedarfsbewertung Fokus
Basis-Absicherung
Standard-Absicherung
Kern-Absicherung

b) Ein mittelständisches Unternehmen (200 Mitarbeiter) möchte IT-Grundschutz einführen. Empfehlen Sie eine Vorgehensweise und begründen Sie Ihre Wahl: (8 Punkte)

Lösungen und Erklärungen

Teil 1: Multiple-Choice-Lösungen

Frage 1: B, C, E sind korrekt

Erklärung: A ist falsch - IT-Grundschutz ist für alle Organisationsgrößen geeignet. D ist falsch - Sicherheit ist ein kontinuierlicher Prozess, kein einmaliger Zustand.

Frage 2: A, B, C sind korrekt

Erklärung: Die drei BSI-Standards 200-1, 200-2 und 200-3 bilden das Rückgrat des IT-Grundschutzes. 200-4 und 100-1 gehören nicht dazu.

Frage 3: A, B, C sind korrekt

Erklärung: Die drei offiziellen Vorgehensweisen sind Basis-, Standard- und Kern-Absicherung. Premium- und Minimal-Absicherung existieren nicht.

Frage 4: A, B, C, D sind korrekt

Erklärung: PDCA steht für Plan-Do-Check-Act. Deploy gehört nicht zum PDCA-Zyklus.

Frage 5: B, C, D, E sind korrekt

Erklärung: A ist falsch - Der ISB sollte NICHT der IT-Abteilung direkt unterstellt sein, um Interessenskonflikte zu vermeiden.

Frage 6: A, C, E sind korrekt

Erklärung: ICS-ISB ist speziell für industrielle Steuerungen zuständig, ersetzt aber nicht den ISB, sondern arbeitet als Schnittstelle. Relevanz ist nicht größenabhängig.

Frage 7: A, B, C, D, E sind alle korrekt

Erklärung: Alle genannten Objekte werden in der Strukturanalyse erfasst: Geschäftsprozesse, Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen.

Frage 8: A, B, C sind korrekt

Erklärung: Gruppierung erfolgt nach technischen und funktionalen Kriterien. Anschaffungskosten und Hersteller sind nicht primäre Gruppierungskriterien.

Frage 9: A, B, C sind korrekt

Erklärung: Die CIA-Triad umfasst Confidentiality, Integrity und Availability. Authentizität und Nachvollziehbarkeit sind zusätzliche Schutzziele, aber nicht Teil der Grundtriad.

Frage 10: A, B, C sind korrekt

Erklärung: Die drei empfohlenen Schutzbedarfskategorien sind normal, hoch und sehr hoch. Niedrig und Kritisch sind keine offiziellen Kategorien.

Frage 11: A, B, C sind korrekt

Erklärung: Die drei wichtigen Prinzipien sind Maximumprinzip, Kumulationseffekt und Verteilungseffekt. Minimum- und Durchschnittsprinzip existieren nicht im IT-Grundschutz.

Teil 2: Lösungen offene Fragen

Frage 12: PDCA-Zyklus

Musterlösung:

  • Plan: Planung von Sicherheitsmaßnahmen, Erstellung von Sicherheitskonzepten, Festlegung von Zielen
  • Do: Umsetzung der geplanten Maßnahmen, Implementierung von Sicherheitskontrollen
  • Check: Überwachung und Bewertung der umgesetzten Maßnahmen, Audits, Wirksamkeitskontrolle
  • Act: Verbesserungsmaßnahmen einleiten, Anpassungen vornehmen, kontinuierliche Verbesserung

Frage 13: Drei Vorgehensweisen

Musterlösung:

  • Basis-Absicherung: Schneller Einstieg, wichtigste Basismaßnahmen, keine detaillierte Schutzbedarfsbewertung. Beispiel: Kleines Handwerksunternehmen
  • Standard-Absicherung: Vollständige Erhebung, systematische Schutzbedarfsbewertung, umfassende Absicherung. Beispiel: Mittelständisches Unternehmen
  • Kern-Absicherung: Fokus auf kritische "Kronjuwelen", Standard-Absicherung für ausgewählte Bereiche. Beispiel: Großunternehmen mit begrenzten Ressourcen

Frage 14: ISB Aufgaben und Anforderungen

Aufgaben: Koordination des Sicherheitsprozesses, Entwicklung und Kontrolle von Sicherheitskonzepten, Berichterstattung an die Leitung, Sensibilisierung und Schulung, Untersuchung von Sicherheitsvorfällen

Anforderungen: Fachwissen, Unabhängigkeit, direkter Berichtsweg zur Leitung, ausreichende Ressourcen, nicht der IT-Abteilung unterstellt

Teil 3: Mock-Klausur Lösungen

Aufgabe 1: Multiple-Choice (15 Punkte)

Richtige Antworten: 1., 3., 5. Aussage sind korrekt

  • BSI-Standards 200-1, 200-2, 200-3 ✓
  • Nur für Behörden ✗ (auch für Unternehmen)
  • Basis-Absicherung für KMU ✓
  • Einmaliger Zustand ✗ (kontinuierlicher Prozess)
  • Ganzheitlicher Ansatz ✓

Aufgabe 2: ISMS (20 Punkte)

a) PDCA-Zuordnung:

  • Plan: Sicherheitskonzept erstellen
  • Do: Maßnahmenumsetzung
  • Check: Schwachstellenanalyse
  • Act: Verbesserungsmaßnahmen einleiten

b) ISB-Aufgaben: Koordination, Konzeptentwicklung, Berichterstattung, Schulung. Unabhängigkeit wichtig zur Vermeidung von Interessenskonflikten.

Aufgabe 3: Schutzbedarfsfeststellung (25 Punkte)

Musterlösung:

  • Kundendatenbank: V=sehr hoch, I=sehr hoch, A=hoch (DSGVO, Geschäftskritisch)
  • Webserver: V=hoch, I=sehr hoch, A=sehr hoch (24/7 Betrieb erforderlich)
  • Backup-System: V=sehr hoch, I=sehr hoch, A=normal (Wiederherstellung möglich)
  • Büro-PCs: V=normal, I=normal, A=normal (Standard-Arbeitsplätze)

Vererbungsprinzip: Maximumprinzip - höchster Schutzbedarf der verarbeiteten Daten bestimmt den Schutzbedarf des Systems.

Bewertungsschema Mock-Klausur

Notenskala:

  • 90-100 Punkte: Sehr gut (1)
  • 80-89 Punkte: Gut (2)
  • 70-79 Punkte: Befriedigend (3)
  • 60-69 Punkte: Ausreichend (4)
  • 50-59 Punkte: Mangelhaft (5)
  • 0-49 Punkte: Ungenügend (6)

Punkteverteilung:

  • Aufgabe 1: 15 Punkte
  • Aufgabe 2: 20 Punkte
  • Aufgabe 3: 25 Punkte
  • Aufgabe 4: 20 Punkte
  • Aufgabe 5: 20 Punkte
  • Gesamt: 100 Punkte

Viel Erfolg bei deiner Klausur!

Mit dieser umfangreichen Vorbereitung bist du bestens gerüstet für deine IT-Grundschutz Prüfung.

Denk daran: Üben, verstehen, anwenden! 🚀