×
ZUR STARTSEITE
Fachinformatiker Apps
Lern_Apps AP2_Lernplan FISI_Tools
Cherry Apps
Cherry_Apps Arcade_Tresor Magic_Apps
© 2026 by magicode
Tag 1: IT-Sicherheit

IHK-Vorbereitung · Fachinformatiker Systemintegration

Tag 1: IT-Sicherheit

AP Teil 1 – Gewichtung IT-Sicherheit

AP1

Thema im Prüfungsbereich „Einrichten eines IT-gestützten Arbeitsplatzes"

AP Teil 2 – relevante Bereiche

2 Bereiche

„Konzeption & Administration" + betriebliche Projektarbeit (IT-Sicherheit Pflichtbestandteil)

AP Teil 1

Einrichten eines IT-gestützten Arbeitsplatzes

Hier werden grundlegende IT-Sicherheitskompetenzen abgefragt. Folgende Themen sind prüfungsrelevant:

  • Schutzziele: Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit
  • Schutzbedarfsanalyse im eigenen Arbeitsbereich durchführen
  • Modellierung eines arbeitsplatzbezogenen Sicherheitskonzepts nach BSI IT-Grundschutz
  • Organisatorische, technische und personelle Schutzmaßnahmen benennen
  • Normen und Standards: BSI IT-Grundschutz, ISO/IEC 27001
  • Passwörter, PINs, TANs, Captchas – Sicherheit und Komplexität erklären
AP Teil 2

Konzeption und Administration von IT-Systemen (90 Min. · 10%)

Schriftlicher Prüfungsbereich. Vertieftes Fachwissen zu IT-Sicherheit in Netzwerken, Angriffsvektoren und Gegenmaßnahmen.

  • Sicherheitsanforderungen analysieren und Maßnahmen ableiten
  • Firewalls, Virenschutz, Zugriffsrechte, Monitoring
  • Angriffe: DoS/DDoS, SQL-Injection, Phishing, Social Engineering
  • Betriebliche Regelungen auf Grundschutzniveau anwenden
Betriebliche Projektarbeit (50%)

IT-Sicherheit im Projekt

IT-Sicherheit ist ein Pflichtbestandteil der Projektdokumentation. In der Dokumentation muss D4 (Planung QS und IT-Sicherheit) und D7 (QS und IT-Sicherheit) enthalten sein.

  • Schutzziele begründen (warum welches Ziel für das Projekt relevant ist)
  • Konkrete Maßnahmen dokumentieren
  • Im Fachgespräch: Sicherheitskonzept verteidigen können
Grundlage: CIA-Triad + Authentizität

Die drei (plus ein) Schutzziele der Informationssicherheit

Laut BSI IT-Grundschutz und ISO/IEC 27001 sind dies die Kernbegriffe – in der IHK-Prüfung wird häufig gefragt, ob man sie definieren, voneinander abgrenzen und Maßnahmen zuordnen kann.

🔒

Vertraulichkeit (Confidentiality)

Informationen dürfen nur von autorisierten Personen/Systemen eingesehen oder weitergegeben werden. Schutz vor unbefugtem Zugriff und Datenlecks.

Abhören Datenleck Sniffing Insider-Angriff

Integrität (Integrity)

Daten sind vollständig und unverändert. IT-Systeme funktionieren wie vorgesehen. Unbefugte Änderungen (Einfügen, Löschen, Manipulieren) werden verhindert bzw. erkannt.

Man-in-the-Middle Datenverfälschung Trojaner

Verfügbarkeit (Availability)

IT-Systeme, Anwendungen und Daten stehen autorisierten Nutzern zum geforderten Zeitpunkt ohne Einschränkung zur Verfügung.

DoS/DDoS Ransomware Hardwareausfall Naturkatastrophe
🔑

Authentizität (Authenticity) – erweitertes Ziel

Echtheit und Glaubwürdigkeit: Eine Identität oder Information ist tatsächlich das, was sie vorgibt zu sein. Gilt für Personen, Systeme und Daten.

Phishing Spoofing gefälschte Zertifikate

Schutzmaßnahmen je Schutzziel

Wichtig für die Prüfung: Maßnahme einem Schutzziel zuordnen können.

TechnischVertraulichkeit: Verschlüsselung (TLS, AES), Zugriffsrechte (ACL), VPN, Firewall-Regeln
TechnischIntegrität: Hashwerte (SHA-256), digitale Signaturen, Versionskontrolle, WORM-Speicher
TechnischVerfügbarkeit: RAID, USV, Lastverteilung (Load Balancer), Backup & Recovery, Redundanz
OrganisatorischPasswort-Policy, Rollenkonzept (Need-to-know), IT-Sicherheitsbeauftragter, Notfallplan
PersonellSchulungen, Security Awareness, Sicherheitsüberprüfungen, Vier-Augen-Prinzip
InfrastrukturZugangskontrolle (Chipkarte, Schloss), Klimaanlage, Brandschutz, Notstromversorgung
Standards

ISO 27001 & BSI IT-Grundschutz

  • BSI: Das Bundesamt für Sicherheit in der Informationstechnik gibt Standards und Leitfäden (IT-Grundschutz) für Behörden und Unternehmen heraus.
  • ISO 27001: Die wichtigste internationale Norm für ein funktionierendes Informationssicherheits-Managementsystem (ISMS).
  • Zertifizierung: Unternehmen können sich auf Basis des IT-Grundschutzes (und korrespondierend zur ISO 27001) offiziell zertifizieren lassen, um ein hohes Sicherheitsniveau rechtssicher nachzuweisen.
Gesetzesgrundlage

DSGVO – Art. 5: Grundsätze der Datenverarbeitung

Werden personenbezogene Daten verarbeitet, müssen nach Datenschutzgrundverordnung folgende Prinzipien zwingend eingehalten werden:

  • Zweckbindung: Daten dürfen nur für den vorher festgelegten, eindeutigen Zweck erhoben werden.
  • Rechtmäßigkeit, Treu und Glauben, Transparenz: Die Verarbeitung benötigt eine Rechtsgrundlage (z.B. Einwilligung) und muss für Betroffene nachvollziehbar sein.
  • Datenminimierung: Dem Zweck angemessen, erheblich und auf das notwendige Maß beschränkt.
  • Richtigkeit: Daten müssen sachlich richtig und stets auf dem neuesten Stand sein.
  • Speicherbegrenzung: Personenbezogene Daten müssen gelöscht werden, sobald der Zweck erfüllt ist.
  • Integrität und Vertraulichkeit: Schutz vor unbefugter Verarbeitung, unbeabsichtigtem Verlust oder Zerstörung (wird gesichert durch TOMs).
Praxisumsetzung

TOMs (Technisch-organisatorische Maßnahmen)

Um die Vorgaben der DSGVO (insb. Integrität und Vertraulichkeit) zu gewährleisten, müssen TOMs implementiert werden. In der Praxis unterscheidet man klassischerweise in:

  • Zutrittskontrolle (Räumlich): Unbefugten den physischen Zutritt zu IT-Anlagen verwehren (z.B. Zäune, Wachdienst, Serverraum-Schlüssel, Chipkarten).
  • Zugangskontrolle (Systemebene): Unbefugte Nutzung von IT-Systemen verhindern (z.B. starke Passwörter, 2-Faktor-Authentifizierung, Auto-Lock am Arbeitsplatz).
  • Zugriffskontrolle (Datenebene): Innerhalb eines Systems sicherstellen, dass Berechtigte nur auf die Daten zugreifen können, die sie benötigen (z.B. Rollenkonzept, Read/Write-Rechte).
BSI IT-Grundschutz · BSI-Standard 200-2

Was ist eine Schutzbedarfsanalyse?

Ein strukturierter Prozess, um zu ermitteln, welchen Schutz Informationen, IT-Systeme und Prozesse bezüglich Vertraulichkeit, Integrität und Verfügbarkeit benötigen. Sie bildet die Grundlage für ein angemessenes Sicherheitskonzept.

Prüfungsrelevante Abgrenzung

Feststellung vs. Analyse vs. Risikoanalyse

  • Schutzbedarfsfeststellung / -analyse: Ermittlung der Schutzbedarfskategorie (normal, hoch, sehr hoch) pro Schutzziel. Es werden die Basis- oder Standardmaßnahmen des BSI abgeleitet.
  • Risikoanalyse: Wird zwingend zusätzlich erforderlich, wenn der Schutzbedarf hoch oder sehr hoch ist, oder Einsatzszenarien vorliegen, die der IT-Grundschutz nicht abdeckt. Hier werden konkrete Eintrittswahrscheinlichkeiten und Schadenshöhen individuell bewertet.

Ablauf der Schutzbedarfsanalyse (5 Schritte)

1

Strukturanalyse

Alle zu schützenden Assets erfassen: Geschäftsprozesse, Anwendungen, IT-Systeme, Netzwerke, Räumlichkeiten. Ergebnis: Netzplan und Asset-Inventar.

2

Schadensszenarien entwickeln

„Was-wäre-wenn"-Fragen. Typische Schadensszenarien nach BSI: Verstoß gegen Gesetze/Vorschriften, Beeinträchtigung des informationellen Selbstbestimmungsrechts, finanzielle Schäden, Reputationsverlust.

3

Schutzbedarf festlegen (je Grundwert)

Für jedes Asset wird der Schutzbedarf für Vertraulichkeit, Integrität und Verfügbarkeit getrennt bewertet. Die BSI-Methodik empfiehlt drei Kategorien:

normal – begrenzte Auswirkungen hoch – beträchtliche Auswirkungen sehr hoch – existenzbedrohend
4

Vererbung und Aggregation

Der Schutzbedarf vererbt sich von Anwendungen auf IT-Systeme:

  • Maximumprinzip: Das System erbt den höchsten Schutzbedarf aller auf ihm laufenden Anwendungen.
  • Kumulationseffekt: Wenn mehrere Anwendungen zusammen einen höheren Schaden verursachen als einzeln, kann der Schutzbedarf steigen.
  • Verteilungseffekt: Redundanz (z.B. RAID, Cluster) kann den Schutzbedarf für Verfügbarkeit senken.
5

Maßnahmen ableiten

Auf Basis des Schutzbedarfs werden passende Sicherheitsmaßnahmen ausgewählt (bzw. eine Risikoanalyse bei hohem Schutzbedarf angeschlossen).

Praxisbeispiel: Schutzbedarfstabelle

Typisches Format, das in der Prüfung ausgefüllt werden kann:

Prozess / Asset Vertraulichkeit Integrität Verfügbarkeit Begründung (Beispiel)
Kundendatenbank sehr hoch hoch hoch DSGVO, Reputationsverlust, Fehlbuchungen möglich
Intranet-Wiki normal normal normal Nur intern, kein personenbezogener Bezug
E-Mail-Server hoch hoch hoch Geschäftskommunikation, Vertragsabschlüsse über E-Mail
Zeiterfassungs­system hoch hoch normal Personenbezogene Daten; kurzer Ausfall tolerierbar

Merkhilfe: Typische Prüfungsfragen zur SBA

  • „Führen Sie eine Schutzbedarfsanalyse für das System XY durch" → Tabelle mit 3 Grundwerten + Kategorie + Begründung
  • „Welche Schutzbedarfskategorien unterscheidet der BSI IT-Grundschutz?" → normal / hoch / sehr hoch
  • „Was versteht man unter dem Maximumprinzip?" → höchster Schutzbedarf der Anwendungen wird auf das System übertragen
  • „Wozu dient eine Schutzbedarfsanalyse?" → Basis für wirtschaftliche, angemessene Sicherheitsmaßnahmen
Praxiswissen

Datenschutz in der Systemintegration

Als FISI bist du oft die erste Verteidigungslinie bei der technischen Umsetzung der DSGVO. Während sich Juristen mit den Paragraphen befassen, stellst du die technische und organisatorische Compliance sicher.

Struktur & Rolle

Der Datenschutzbeauftragte (DSB)

Der DSB ist kein „Polizist“, sondern ein unabhängiger Berater und Überwacher innerhalb der Organisation.

  • Unabhängigkeit: Er ist weisungsfrei in Bezug auf die Ausübung seiner Tätigkeit und darf nicht benachteiligt werden.
  • Deine Schnittstelle: Wenn du neue Systeme aufsetzt (z.B. Server, Cloud, Logs), ist der DSB dein Ansprechpartner für die Datenschutz-Folgenabschätzung (DSFA).
  • Interner DSB: Ein fachkundiger Mitarbeiter ohne Interessenkonflikt (der IT-Leiter darf z.B. kein DSB sein, da er sich selbst kontrollieren müsste).
  • Externer DSB: Ein spezialisierter Dienstleister (häufiger Standard in KMUs).
  • Koordinator: In großen Konzernen gibt es oft einen zentralen DSB und lokale Koordinatoren in den IT-Abteilungen.
Art. 33 DSGVO

Meldepflicht bei Datenpannen

Bei einer Datenpanne (z. B. Ransomware, unverschlüsseltes Laufwerk verloren, unbefugter Datenabfluss) tickt die Uhr. Die goldene Regel lautet: Meldung an die Behörde innerhalb von 72 Stunden nach Entdeckung.

Dein Handlungsablauf im Notfall:

1

Erste Reaktion

Sicherheit herstellen: Betroffenes System vom Netz trennen und Incident Response Plan ausführen.

2

Dokumentation

Alles protokollieren: Wann wurde es entdeckt? Welche Daten und wie viele Personen sind betroffen? Welche Gegenmaßnahmen wurden sofort eingeleitet?

3

Meldung an DSB

Den DSB umgehend informieren. Er entscheidet, ob das Risiko für die Rechte der Betroffenen hoch genug für eine offizielle Meldung ist.

4

Meldung an Aufsichtsbehörde

Der DSB oder die Geschäftsführung übermittelt die Daten über das Online-Meldeportal der zuständigen Landesdatenschutzbehörde.

FISI Daily Business

Tägliche Datenschutz-To-Dos

  • Datensparsamkeit & Zweckbindung: Speichere nur, was zwingend nötig ist. (Müssen Log-Files mit personenbezogenen IP-Adressen wirklich 365 Tage gespeichert bleiben?).
  • TOMs umsetzen: Vertraulichkeit (Verschlüsselung, 2FA), Integrität (Least Privilege Prinzip, Backups) und Verfügbarkeit (Redundanz, Notfallpläne).
  • Auftragsverarbeitungsvertrag (AVV): Bevor ein Cloud-Dienst oder SaaS-Tool eingebunden wird, muss zwingend ein AVV vorliegen. Ohne ist der Einsatz rechtlich nicht zulässig.
  • Rechte der Betroffenen: Wenn jemand „Recht auf Löschung“ einfordert, musst du in der Lage sein, die Daten über alle Systeme und Backups hinweg zu identifizieren und zu löschen.

Zusammenfassung für die Praxis

Du musst kein Jurist sein, aber du musst wissen, wann du die rote Flagge hebst. Dein wichtigstes Werkzeug ist das Verzeichnis von Verarbeitungstätigkeiten (VVT). Wenn du ein neues System planst, schau in das VVT – dort steht genau drin, welche Daten dort überhaupt verarbeitet werden dürfen und wer Zugriff haben darf.