Diskutiert, ob Security by Obscurity in bestimmten Situationen
gerechtfertigt sein kann. Gibt es Szenarien, in denen die Geheimhaltung
von Schwachstellen sinnvoll ist?
Welche langfristigen Risiken birgt dieser Ansatz für die
IT-Sicherheitsstrategie einer Organisation?
30.2 Aufgabe 2: Security by
Design
Welche Herausforderungen könnten bei der Einführung von Security by
Design in bestehenden Entwicklungsprozessen auftreten?
Diskutiert, wie sich dieser Ansatz auf die Kosten und den
Zeitaufwand bei der Softwareentwicklung auswirkt. Welche Vorteile
rechtfertigen dennoch den Mehraufwand?
30.3 Aufgabe 3:
Defense-in-Depth
Defense-in-Depth basiert auf mehreren Sicherheitsstufen. Welche
dieser Schichten haltet ihr in einem kleinen Unternehmen mit begrenztem
Budget für besonders wichtig? Warum?
Diskutiert, wie ein solcher Ansatz die Resilienz gegenüber modernen
Cyberangriffen verbessert.
30.4 Aufgabe 4:
Zero-Trust-Policy
In welchen Arten von Organisationen ist eine Zero-Trust-Policy
besonders wichtig? Warum?
Diskutiert mögliche Widerstände bei der Einführung dieses Konzepts
und wie diese überwunden werden könnten.
30.5 Aufgabe 5:
Need-to-Know-Prinzip
Warum wird das Need-to-Know-Prinzip in vielen Organisationen
vernachlässigt? Welche Risiken entstehen dadurch?
Diskutiert praktische Maßnahmen, wie das Prinzip effektiv umgesetzt
und die Akzeptanz unter den Mitarbeitern erhöht werden kann.
30.6 Aufgabe 6: Trennung der
Verantwortlichkeiten
In welchen Szenarien kann die Trennung der Verantwortlichkeiten die
IT-Sicherheitsmaßnahmen behindern oder verkomplizieren?
Diskutiert, wie Organisationen dieses Prinzip dennoch effizient
umsetzen können, ohne ihre Agilität zu verlieren.