Sie befinden sich hier: Termine » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Allgemeines   (Übersicht)

Allgemeines

Prüfungsfach: Human Factors in Security and Privacy
Prüfer: Dr. Benenson + Beisitzer
Stimmung: Locker, gemütlich, ich glaube Frau Benenson war ein wenig müde :D Sie hat auf jeden Fall die 30 Minuten nicht ausgereizt.
Vorbereitung: alle Aufzeichnungen angehört, alle Übungen gemacht und die Musterlösungen durchgelesen. Zusammenfassung geschrieben und dann die „Possible Exam Questions“ durchgearbeitet. Wenn man die kann, hat man schon fast alles gewonnen. Es lohnt sich ein paar Definitionen auswendig zu lernen.
Bewertung: sehr gut, aus den Übungen konnte man noch einen Bonus für eine Notenstufe bekommen

Prüfung

Zunächst zieht man aus 2 Themen und kann sich eines davon aussuchen. Bei mir „Cyberfraud“ (nicht gewählte Alternative war „Awareness, Training, Education“, also nehme ich mal an, dass die großen Teilbereiche auf den Zetteln stehen).

Cyberfraud

Welche Einflussfaktoren gibt es, mit denen man Menschen dazu bringt auf Fraud reinzufallen? Aufzählen mit Beispielen.
- Entweder das Modell mit den 6 oder 7 Faktoren vorstellen. Bin zunächst nicht gleich drauf gekommen, was sie für Faktoren meint, hat nachgeholfen mit dem Hinweis, dass es da zwei gibt, eines hat 6, eines 7 Faktoren. Als Beispiel die Phishing-Mail aus dem Unterricht, wo man schonmal die 6 Faktoren angewendet hat.

Auch wenn ein User über Phishing etc. Bescheid weiß, wieso könnte es trotzdem passieren, dass er auf eine solche Mail klickt?
- Security ist secondary task, schlechte Erfahrung mit Spam Filtern (false positives), System 1

Was sind denn die Unterschiede zwischen System 1 und System 2?
- Fröhlich, leichtgläubig, effizient vs. traurig, aufmerksam, etc.

Ein Unternehmen hört, dass es System 2 gibt und möchte, dass seine Mitarbeiter immer in diesem sind. Was sagen Sie dazu?
- anstrengend, psychologisch und physiologisch, kann Vertrauen unter Kollegen beeinträchtigen, …

Und im User Bereich, sollte man da Trainings machen? Wie kann man die Kosten berechnen, wie viel Aufwand sinnvoll ist?
- Rechnung aus VL. Schaden jährlich durch User Base vs. Mindestlohn

Schöne Rechnung, aber vielleicht nicht ganz realistisch. Was könnten da für Faktoren reinspielen?
- Dunkelziffern, Unternehmen geben nichts bekannt, vllt ungenaue User Base?

Unbekannte Base eher nicht so… Die Werte werden ja meist hochgerechnet…
- Ausreisser, unentdeckte Angriffe, Selbstauskunft?

Wollte eigentlich drauf hinaus, dass die Wahrscheinlichkeit Opfer eines Angriffs zu sein nicht gleichverteilt ist. Themenwechsel.

Privacy

Welche Definition haben wir da benutzt?
- Gibt unterschiedliche Ansätze, informationelle Selbstbestimmtheit. D.h. Kontrolle darüber, wer wann was über mich speichert. Haben auch Dritte Zugriff. Kann ich die Erlaubnis wieder entziehen.

Was heißt Kontrolle z.B.?
- Einsicht was gespeichert wurde und Recht auf Korrektur.

Vorratsdatenspeicherung Pro und Con
- Pro: Kriminalität, Terrorismus bekämpfen Con: Feature Creep, Aggregation, Exklusion (hab da eher weit ausgeholt und übertrieben)

Wie könnte das konkret gehen?
- Server mit Bombenbastelanleitung. IP Adressen der Zugriffe → Provider muss rausgeben, wer wann mit diesen IPs unterwegs war.

Die Contrapunkte waren jetzt eher weit hergeholt. Gibt es da auch was Konkretes? Wie sieht es mit Evidenz zur Wirksamkeit aus?
- Gibts nicht. Bsp. Boston Bomber, Charlie Hebdo (s. VL)

Warum wird Terrorabwehr eigentlich so hoch gewichtet?
- Mensch, Moral, Zeit, Veraenderung (jeweils mit Beispiel)

Woher kommen diese Kriterien? Wieso könnten die evolutiontechnisch gut gewesen sein?
- Direkte Gefahr, rationales Denken noch neu

Noch mal kurz was anderes.

Usability

Wie ist da die Definition?
- ISO Norm aufgesagt. Wichtigkeit von „spezifisch“ hervorgehoben.

Wie für Security anpassen?
- Nicht im Weg sein. Helfen keine schlimmen Fehler zu machen. Kontext sowohl under attack als auch Normalzustand.