Interviewfragen für GRC / Compliance Analyst
Governance, risk and compliance: frameworks, audits, risk assessment and security policy.
Sobald deine Daten in der Cloud sind, liegt ihre Sicherung vollständig in der Verantwortung des Anbieters?
Nein. Die Cloud läuft nach einem Modell geteilter Verantwortung: Der Anbieter sichert die zugrunde liegende Infrastruktur („Sicherheit der Cloud“), aber du bleibst verantwortlich für deine Daten, das Identitäts- und Zugriffsmanagement, die Konfiguration und — bei IaaS — das Betriebssystem und Patches („Sicherheit in der Cloud“). Die große Mehrheit der Cloud-Verstöße sind kundenseitige Fehlkonfigurationen wie öffentliche Buckets und zu freizügiges IAM, keine Anbieterausfälle. Anzunehmen, der Anbieter sichere deine Daten, ist genau, wie diese Verstöße entstehen.
Entwickler fügen Kunden-PII in eine LLM-API eines Drittanbieters ein, um Support-Antworten zu entwerfen. Was ist das Bedenken und die Maßnahme?
Kunden-PII an eine externe API zu senden, setzt sie der Verarbeitung und Aufbewahrung durch einen Dritten aus und kann Datenschutzpflichten verletzen. Minimieren und redigieren Sie, was gesendet wird, bestätigen Sie die Nutzungs-/Aufbewahrungsbedingungen des Anbieters und einen Auftragsverarbeitungsvertrag (oder Kein-Training-Garantien), oder wechseln Sie für sensible Daten zu einer privaten Bereitstellung. Die Schlüssellänge ist irrelevant, und mehr PII zu senden erhöht die Exposition.
Ein Auditor verlangt einen Nachweis, dass Zugriffsüberprüfungen vierteljährlich stattfinden. Was legen Sie vor?
Auditoren prüfen Nachweise, nicht Absichten: Legen Sie die Richtlinie zur Zugriffsüberprüfung vor, datierte Aufzeichnungen jeder Überprüfung mit der Freigabe eines Genehmigers sowie die Bestätigung, dass markierte Zugriffe tatsächlich entzogen und verifiziert wurden. Eine mündliche Bestätigung beweist nichts Wiederholbares, ein Versprechen, nächstes Quartal anzufangen, zeigt, dass die Kontrolle im Prüfzeitraum nicht wirksam war, und ein Organigramm beschreibt Berichtslinien, keine Zugriffsentscheidungen. Nur die datierten, zuordenbaren Artefakte belegen, dass die Kontrolle über den gesamten Zeitraum wie vorgesehen wirksam war.
Die Führung sagt: „Wir haben Backups, also sind wir für die Notfallwiederherstellung abgesichert.“ Was stellen Sie klar?
Backups sind notwendig, aber nicht hinreichend: Notfallwiederherstellung und Geschäftskontinuität sind die getestete Fähigkeit, den Betrieb innerhalb vereinbarter Wiederherstellungszeit- und -punktziele (RTO/RPO) wiederherzustellen, was einen dokumentierten Plan, abgebildete Abhängigkeiten, Runbooks und validierte Wiederherstellungen erfordert — nicht nur die Existenz von Backup-Dateien. Beide gleichzusetzen verwechselt eine Datenkopie mit einer betrieblichen Fähigkeit. DR bedeutet nicht bloß, eine Versicherung abzuschließen, die den finanziellen Verlust überträgt, aber keine Systeme wiederherstellt. Und Backups machen einen DR-Plan nicht überflüssig — ungetestete Backups versagen regelmäßig, wenn sie endlich gebraucht werden. Die Klarstellung: DR muss geübt, nicht angenommen werden.
Ein System besteht die Compliance-Checkliste, aber Sie erkennen eine echte Sicherheitslücke. Was ist die richtige Haltung?
Rahmenwerke setzen eine Mindestlatte und können vollständig erfüllt sein, während ein echtes Risiko bestehen bleibt; eine bestandene Checkliste bedeutet daher nicht sicher: Melden Sie die Lücke, bewerten Sie ihr Risiko und treiben Sie die Behandlung voran, unabhängig vom Compliance-Status. Zu schließen, es sei sicher, weil die Compliance bestanden wurde, ist eine gefährliche Vermischung zweier verschiedener Dinge. Die Lücke aus dem Bericht zu entfernen ist eine Falschdarstellung, möglicherweise Betrug. Auf den nächsten Auditzyklus zu warten lässt eine echte Gefährdung wissentlich offen. Die reife Haltung behandelt Compliance als Nachweis eines Bodens, nicht einer Decke, und handelt nach dem Risiko, das man tatsächlich sieht.
Teams behandeln Daten uneinheitlich — manche überschützen triviale Daten, manche legen sensible Daten offen. Welche grundlegende Kontrolle hilft?
Uneinheitliche Handhabung bedeutet meist, dass es keine gemeinsame Definition von Sensibilität gibt; die grundlegende Kontrolle ist daher ein Datenklassifizierungsschema (z. B. öffentlich/intern/vertraulich/streng vertraulich) mit definierten Anforderungen an Handhabung, Speicherung und Weitergabe je Stufe, das es Teams erlaubt, verhältnismäßige Kontrollen anzuwenden. Nichts zu verschlüsseln „der Einfachheit halber“ oder alle Daten als öffentlich zu behandeln nimmt den Daten, die ihn brauchen, den Schutz. Alle Daten zu löschen, die älter als ein Tag sind, vernichtet Aufzeichnungen, die das Unternehmen und das Gesetz benötigen. Nur ein Klassifizierungsschema richtet die Stärke der Kontrollen an der tatsächlichen Sensibilität der Daten aus.
Ein Mitarbeiter verlässt das Unternehmen. Welche GRC-relevante Kontrolle ist zu verifizieren?
Das Austrittsrisiko ist der verbleibende Zugriff, daher ist die zu verifizierende Kontrolle das zeitnahe Deprovisioning jedes Zugriffswegs — Verzeichniskonten, SSO, VPN, privilegierte und Dienstkonten sowie Drittanbieter-SaaS — abgeglichen mit dem Joiner/Mover/Leaver-Prozess (JML). Anzunehmen, die Personalabteilung erledige alles ohne Verifizierung, hinterlässt Lücken, die niemandem gehören. Das Konto „für den Fall der Rückkehr“ aktiv zu lassen ist ein dauerhaftes, unüberwachtes Risiko. Nur die E-Mail zu deaktivieren ignoriert die vielen anderen Systeme, die die Person noch erreichen könnte. Es geht darum, zu verifizieren, dass der Zugriff tatsächlich und vollständig entfernt ist, nicht darauf zu vertrauen.
Sie wollen den PCI-DSS-Geltungsbereich reduzieren. Was ist der Standardansatz?
Der PCI-DSS-Geltungsbereich umfasst Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen, sowie alles, was mit ihnen verbunden ist oder sie beeinflussen kann; eine wirksame Netzwerksegmentierung isoliert daher das Karteninhaberdaten-Umfeld (CDE) und nimmt fremde Systeme aus dem Geltungsbereich, was Kosten, Aufwand und Risiko senkt. Alle Server zu verschlüsseln definiert keine Grenze, und verbundene Systeme bleiben im Geltungsbereich; überall ungezielt Firewalls hinzuzufügen ist keine Segmentierung, wenn es die Datenflüsse nicht einschränkt und validiert; und Kartennummern nicht mehr laut vorzulesen ist Hygiene, keine Geltungsbereichskontrolle. Die systemische Antwort lautet: zu kontrollieren, wo Karteninhaberdaten liegen und was sie erreichen kann.
Ein Team identifiziert ein neues Risiko. Was tun Sie als GRC-Analyst damit?
Governance bedeutet, dass das Risiko erfasst und gesteuert wird, nicht informell behandelt: Tragen Sie es mit bewerteter Eintrittswahrscheinlichkeit und Auswirkung ins Risikoregister ein, weisen Sie einen verantwortlichen Eigentümer zu, treffen und dokumentieren Sie die Behandlung (mindern, übertragen, akzeptieren oder vermeiden) und legen Sie einen Überprüfungstermin fest. Es selbst auf der Stelle zu beheben überspringt Verantwortung, Priorisierung und Nachverfolgung und liegt vielleicht gar nicht in Ihrer Hand. Es zu ignorieren, bis daraus ein Vorfall wird, ist fahrlässig, und es per E-Mail an alle zu schicken erzeugt Lärm, aber keine Verantwortlichkeit oder Nachverfolgung. Das Register macht aus einer einmaligen Beobachtung eine nachverfolgte, zugeordnete und erneut geprüfte Entscheidung.
Ein Anbieter schickt Ihnen einen SOC-2-Bericht. Was sollten Sie tatsächlich prüfen?
Ein SOC-2-Bericht gibt Ihnen nur dann Sicherheit, wenn Sie ihn tatsächlich lesen: Bestätigen Sie den richtigen Typ (Typ II prüft die Wirksamkeit über die Zeit, Typ I nur die Ausgestaltung zu einem Zeitpunkt), prüfen Sie Umfang und welche Trust-Services-Kriterien abgedeckt sind, ob der Zeitraum aktuell und lückenlos ist, welches Urteil der Prüfer abgegeben hat (uneingeschränkt oder eingeschränkt), und sehen Sie sich die vermerkten Ausnahmen sowie die ergänzenden Kontrollen der nutzenden Organisation (CUECs) an, für die Sie verantwortlich sind. Nur zu bestätigen, dass der Bericht existiert — oder ihn nach Titellogo oder Seitenzahl zu beurteilen — sagt nichts über die tatsächliche Wirksamkeit der Kontrollen des Anbieters oder Ihre Restpflichten aus.
Eine Fachabteilung will nächste Woche Kunden-PII in einen neuen SaaS-Anbieter übertragen. Was verlangt der Architekt zuerst?
PII an einen Dritten zu geben erweitert deine Vertrauensgrenze, also führe zuerst eine Anbieter-Sicherheitsbewertung durch — Datenverarbeitung, Verschlüsselung, Zugriffskontrollen, Zertifizierungen wie SOC 2 / ISO 27001, Unterauftragsverarbeiter, Bedingungen zur Verletzungsmeldung — und schließe einen Auftragsverarbeitungsvertrag (AVV) ab, bevor PII fließt. Ein Preisvertrag oder das mündliche Wort eines Vertrieblers ist keine Sorgfaltsprüfung. Und eine „gepflegte Website" sagt nichts darüber, wie der Anbieter Daten tatsächlich schützt; du bleibst dafür verantwortlich.
Sie bestätigen eine Datenpanne mit Kunden-PII, und die Rechtsabteilung zögert mit der Offenlegung. Was treibt der CISO voran?
Der Umgang mit einer Datenpanne wird durch Gesetz und Vertrag geregelt: mit der Rechtsabteilung die verpflichtenden Meldefristen einhalten (etwa die 72 Stunden der DSGVO an die Aufsichtsbehörde) und Betroffene korrekt informieren. Verschleierung birgt weit höhere Bußgelder, behördliche Maßnahmen und Reputationsschäden, wenn sie später ans Licht kommt. Das vorzeitige Veröffentlichen roher, ungeprüfter technischer Details kann Kunden in die Irre führen und Angreifern helfen. Einen einzelnen Mitarbeiter öffentlich zum Sündenbock zu machen ist weder korrekt, noch rechtmäßig, noch wirksames Krisenmanagement.
Ein Altsystem lässt sich nicht patchen, und das Unternehmen finanziert dieses Jahr keinen Ersatz. Was ist die richtige Maßnahme des CISO?
Wenn man nicht beheben kann, steuert man das Risiko: die Exposition mit kompensierenden Kontrollen verringern (Netzsegmentierung, eingeschränkter Zugriff, verstärktes Monitoring), das Restrisiko quantifizieren und es vom verantwortlichen Fachbereichseigentümer mit definiertem Prüftermin formal akzeptieren lassen. Eine einseitige Abschaltung überschreitet die Befugnis des CISO und schadet dem Geschäft. Es zu ignorieren, weil es nicht behebbar ist, ist Fahrlässigkeit. Es aus dem Risikoregister wegzulassen verschleiert die Verantwortung, unterbricht die Audit-Spur und bedeutet, dass niemand die Entscheidung dokumentiert verantwortet.
Erklären Sie DAC, MAC, RBAC und ABAC. Wann würden Sie welches wählen?
DAC lässt den Dateneigentümer den Zugriff nach eigenem Ermessen gewähren; MAC erzwingt den Zugriff zentral über Labels/Freigaben und ist nicht-diskretionär; RBAC gewährt Zugriff über Jobrollen; ABAC bewertet Attribute (Benutzer, Ressource, Umgebung) gegen eine Richtlinie für feingranulare, kontextbewusste Entscheidungen.
Erklären Sie BCP versus DRP und definieren Sie RTO und RPO.
Geschäftskontinuität (BCP) ist die umfassende Strategie, um kritische Geschäftsfunktionen während und nach einer Störung am Laufen zu halten; Notfallwiederherstellung (DRP) ist die IT-fokussierte Teilmenge, die Systeme und Daten wiederherstellt. RTO ist die maximal tolerierbare Zeit zur Wiederherstellung einer Funktion; RPO ist der maximal tolerierbare, in Zeit gemessene Datenverlust.
Erklären Sie die Rolle der Datenklassifizierung und die Verantwortlichkeiten des Dateneigentümers gegenüber dem Datenverwalter.
Die Klassifizierung kennzeichnet Daten nach Sensibilität, damit die Organisation Kontrollen anwendet, die zu Wert und Risiko verhältnismäßig sind, und so sowohl Unterschutz als auch verschwenderischen Überschutz vermeidet. Der Dateneigentümer (eine Geschäftsrolle) legt die Klassifizierung fest und akzeptiert das Risiko, während der Datenverwalter (oft die IT) die Schutzkontrollen umsetzt und pflegt.
Erklären Sie Due Care versus Due Diligence und geben Sie je ein Beispiel.
Due Diligence ist die fortlaufende Untersuchung und das Verständnis von Risiken (wissen, was getan werden sollte), während Due Care das Ergreifen der angemessenen Maßnahmen ist, die eine umsichtige Person ergreifen würde, um sie anzugehen (es tatsächlich tun). Diligence ist Recherche und Aufsicht; Care ist Umsetzung und Pflege.
Beschreiben Sie den Identitätslebenszyklus von der Bereitstellung bis zur Deaktivierung. Wo scheitern die meisten Organisationen?
Das Identity-Lifecycle-Management steuert ein Konto von der Erstellung bis zur Stilllegung: Bereitstellung beim Onboarding (Joiner), Anpassung der Berechtigungen bei Rollenwechsel (Mover) und zeitnahe Deaktivierung beim Austritt (Leaver), mit durchgängigen periodischen Zugriffsüberprüfungen. Die häufigsten Fehler sind schleichende Rechteanhäufung bei Movern und verwaiste Konten durch versäumte Deaktivierungen.
Unterscheiden Sie eine Richtlinie, einen Standard, eine Prozedur und eine Leitlinie. Welche sind verbindlich?
Eine Richtlinie ist die übergeordnete verbindliche Absichtserklärung des Managements; ein Standard ist eine verbindliche konkrete Regel, die die Richtlinie durchsetzt (z. B. AES-256); eine Prozedur ist die verbindliche Schritt-für-Schritt-Anleitung; eine Leitlinie ist eine optionale Empfehlung. Richtlinien, Standards und Prozeduren sind verbindlich, während Leitlinien im Ermessen liegen.
Führen Sie mich durch quantitative versus qualitative Risikoanalyse und definieren Sie ALE, SLE und ARO.
Die quantitative Analyse weist konkrete Geldwerte zu, um den erwarteten Verlust zu berechnen; die qualitative Analyse stuft das Risiko auf relativen Skalen (hoch/mittel/niedrig) per Experteneinschätzung ein. Quantitativ verwendet SLE = Vermögenswert x Expositionsfaktor, ARO = erwartete Vorkommen pro Jahr und ALE = SLE x ARO, um den jährlich erwarteten Verlust in Euro auszudrücken.
Welche Optionen haben Sie nach einer Risikobewertung, um ein Risiko zu behandeln? Geben Sie je ein Beispiel.
Sie können mindern (Eintrittswahrscheinlichkeit/Auswirkung mit Kontrollen senken), übertragen (die finanzielle Auswirkung über Versicherung oder Verträge verlagern), vermeiden (die riskante Tätigkeit ganz einstellen) oder akzeptieren (das Restrisiko bewusst hinnehmen). Die Wahl hängt vom Risikoappetit und einem Kosten-Nutzen-Vergleich gegenüber dem erwarteten Verlust des Risikos ab.
Wie handhabt man Verschlüsselung im Ruhezustand und während der Übertragung in der Cloud?
Verschlüsselung während der Übertragung (TLS) schützt Daten, die über das Netz wandern, vor Abhören und Manipulation; erzwinge TLS überall und lehne Klartext ab. Verschlüsselung im Ruhezustand schützt gespeicherte Daten auf Festplatten und Backups, typischerweise über KMS-verwaltete Schlüssel mit Umschlagverschlüsselung. Beide sind Basiskontrollen, aber keine stoppt eine autorisierte, aber bösartige Anfrage — der Dienst entschlüsselt transparent für gültige Aufrufer — daher bleibt Zugriffskontrolle am wichtigsten.
IAM-Rollen vs. Benutzer vs. Richtlinien — wie wendet man geringste Rechte in der Cloud an?
Ein Benutzer ist eine langlebige Identität mit permanenten Anmeldedaten; eine Rolle ist eine Identität ohne permanente Anmeldedaten, die jeder vertrauenswürdige Principal annehmen kann, um kurzlebige Tokens zu erhalten; eine Richtlinie ist das JSON-Dokument, das Berechtigungen gewährt und an beide angehängt wird. Geringste Rechte bedeutet, Rollen Benutzern vorzuziehen, Richtlinien auf konkrete Aktionen und Ressourcen einzugrenzen und nur das zu gewähren, was eine Aufgabe braucht — und im Lauf der Zeit zu überprüfen und auszumisten.
Erkläre das Modell der geteilten Verantwortung in der Cloud.
Der Anbieter sichert die Cloud selbst ab — physische Rechenzentren, Hardware, den Hypervisor und die von ihm betriebenen verwalteten Dienste. Du sicherst ab, was du in die Cloud stellst — deine Daten, Identitäten, Konfigurationen, das OS-Patching wo zutreffend und die Zugriffskontrollen. Die genaue Grenze verschiebt sich: Bei IaaS besitzt du das OS aufwärts, bei SaaS besitzt du vor allem Daten und Zugriff.
Was ist eine digitale Signatur und wie beweist sie Herkunft und Integrität?
Eine digitale Signatur ist der mit dem privaten Schlüssel des Unterzeichners umgewandelte Hash einer Nachricht. Der Prüfer berechnet den Hash neu, wendet den öffentlichen Schlüssel des Unterzeichners an und prüft auf Übereinstimmung. Da nur der Unterzeichner den privaten Schlüssel besitzt, beweist eine gültige Signatur, dass die Nachricht von ihm stammt (Authentizität), nicht verändert wurde (Integrität) und dass er es nicht glaubhaft abstreiten kann (Nichtabstreitbarkeit).
Können Sie die CIA-Triade erklären und warum sie wichtig ist?
Die CIA-Triade umfasst die drei Kernziele der Informationssicherheit: Vertraulichkeit (nur autorisierte Parteien können Daten lesen), Integrität (Daten werden nicht unbefugt verändert) und Verfügbarkeit (autorisierte Nutzer können bei Bedarf auf Systeme zugreifen). Nahezu jede Maßnahme lässt sich einem oder mehreren dieser Ziele zuordnen.
Wie unterscheiden Sie eine Schwachstelle von einer Bedrohung und einem Risiko?
Eine Schwachstelle ist eine Schwäche (ungepatchte Software). Eine Bedrohung ist ein Akteur oder Ereignis, das sie ausnutzen könnte (eine Ransomware-Gruppe). Risiko ist die Kombination aus der Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, und der Auswirkung, falls dies geschieht. Risiko = Bedrohung x Schwachstelle x Auswirkung, und das ist es, was man tatsächlich priorisiert.
Erklären Sie die Kategorien von Sicherheitskontrollen und nennen Sie Beispiele für jede.
Kontrollen werden auf zwei Arten klassifiziert. Nach Typ: administrativ (Richtlinien, Schulungen, Verfahren), technisch/logisch (Firewalls, MFA, Verschlüsselung) und physisch (Schlösser, Ausweise, Kameras). Nach Funktion: präventiv (ein Ereignis verhindern — MFA, Zugriffskontrolle), detektiv (ein Ereignis aufdecken — SIEM, IDS, Audit-Logs), korrektiv (danach beheben — Wiederherstellung aus Backup, Patch), abschreckend (entmutigen — Warnhinweise) und kompensierend (eine Alternative, wenn die Hauptkontrolle nicht machbar ist). Die Defense in Depth schichtet diese, sodass kein einzelner Kontrollausfall zu einer Kompromittierung führt.
Was sind die Grundprinzipien der GDPR und wie lautet die Frist für die Meldung von Datenschutzverletzungen?
Artikel 5 der GDPR legt sieben Grundsätze fest: Rechtmäßigkeit/Verarbeitung nach Treu und Glauben/Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Bei einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche die zuständige Aufsichtsbehörde unverzüglich und nach Möglichkeit binnen 72 Stunden nach Bekanntwerden benachrichtigen (Artikel 33). Birgt die Verletzung voraussichtlich ein hohes Risiko für die Personen, muss der Verantwortliche auch die betroffenen Personen unverzüglich benachrichtigen (Artikel 34).
Wie unterscheiden sich Governance, Risiko und Compliance, und wie hängen sie zusammen?
Governance ist die Art, wie die Führung die Richtung vorgibt, Verantwortlichkeit festlegt und die Sicherheit auf die Geschäftsziele ausrichtet — die Richtlinien, Rollen und Aufsicht, die definieren, wie „gut" aussieht. Risikomanagement ist der Prozess, Bedrohungen für diese Ziele zu erkennen, zu bewerten, zu behandeln und zu überwachen. Compliance bedeutet, die Einhaltung von Verpflichtungen nachzuweisen — Gesetze, Vorschriften, Verträge und interne Richtlinien. Governance steuert Risikoentscheidungen; das Risiko bestimmt, welche Kontrollen Sie brauchen; Compliance belegt, dass diese Kontrollen die geforderten Standards erfüllen. Compliance ist ein Ergebnis guter GRC, kein Ersatz für Sicherheit.
Erklären Sie die HIPAA-Grundlagen: PHI, die Schutzmaßnahmen der Security Rule und wer sie einhalten muss.
HIPAA (der US-amerikanische Health Insurance Portability and Accountability Act) schützt Protected Health Information (PHI). Die Privacy Rule regelt Nutzung und Offenlegung von PHI; die Security Rule gilt für elektronische PHI (ePHI) und verlangt drei Kategorien von Schutzmaßnahmen — administrative, physische und technische. Sie gilt für covered entities (Leistungserbringer, Gesundheitspläne, Clearingstellen) und für business associates, die in ihrem Auftrag PHI verarbeiten und durch Business Associate Agreements gebunden sind. Die Breach Notification Rule legt die Pflichten zur Benachrichtigung von Personen, des HHS und mitunter der Medien fest.
Was ist ein ISMS nach ISO/IEC 27001, und welche Rolle spielt Anhang A?
ISO/IEC 27001 legt die Anforderungen an ein Information Security Management System (ISMS) fest: ein risikobasiertes, von oben gesteuertes Rahmenwerk aus Richtlinien, Prozessen, Rollen und kontinuierlicher Verbesserung (Plan-Do-Check-Act), das regelt, wie eine Organisation die Informationssicherheit handhabt. Anhang A ist ein Referenzkatalog von Kontrollen. Man wendet nicht alle blind an — man führt eine Risikobewertung durch, entscheidet, welche Kontrollen nötig sind, und dokumentiert die Aufnahme-/Ausschlussentscheidungen mit Begründung in einer Statement of Applicability (SoA).
Nennen und erklären Sie die Kernfunktionen des NIST Cybersecurity Framework.
Das NIST Cybersecurity Framework ordnet Cybersicherheitsergebnisse in Kernfunktionen. Im CSF 2.0 gibt es sechs: Govern (die neue übergreifende Funktion für Strategie, Rollen, Risikoentscheidungen und Aufsicht), Identify (Werte und Risiken verstehen), Protect (Schutzmaßnahmen zur Begrenzung der Auswirkungen), Detect (Ereignisse aufdecken), Respond (auf Vorfälle reagieren) und Recover (Fähigkeiten wiederherstellen). Sie verlaufen nicht streng sequenziell — sie laufen kontinuierlich und beschreiben zusammen einen vollständigen Lebenszyklus des Managements von Cyberrisiken.
Erklären Sie die PCI-DSS-Grundlagen: was es schützt, für wen es gilt und die Reduzierung des Geltungsbereichs.
PCI DSS (Payment Card Industry Data Security Standard) ist ein vom PCI Security Standards Council gepflegter Sicherheitsstandard, der für jede Organisation gilt, die Karteninhaberdaten speichert, verarbeitet oder übermittelt. Er ist um Kontrollziele herum aufgebaut, die ein sicheres Netzwerk, den Schutz gespeicherter Karteninhaberdaten, das Schwachstellenmanagement, eine starke Zugriffskontrolle, Überwachung/Tests und eine Informationssicherheitsrichtlinie abdecken. Der Geltungsbereich ist alles im cardholder data environment (CDE) — daher sind Segmentierung, Tokenisierung und das Nichtspeichern unnötiger Daten die wichtigsten Wege, ihn zu verkleinern.
Wie würden Sie ein Programm für Sicherheitsbewusstsein und -schulung gestalten und messen?
Behandeln Sie Bewusstseinsbildung als Verhaltensänderung, nicht als jährliches Häkchen. Machen Sie sie rollenbasiert (eine Entwicklerin braucht andere Inhalte als die Finanzabteilung), kontinuierlich statt einer Folienpräsentation einmal im Jahr und verankert in realen Risiken wie Phishing, Social Engineering und Datenhandhabung. Verstärken Sie sie mit Phishing-Simulationen, zeitnahen Hinweisen und klaren Meldewegen. Messen Sie Ergebnisse — Phishing-Melderate, Klickrate, Zeit bis zur Meldung — nicht nur Abschlussquoten. Bauen Sie eine Kultur auf, in der Menschen Fehler ohne Angst melden, denn Angst unterdrückt das Melden.
Erkläre den Unterschied zwischen Security-KPIs und -KRIs, mit Beispielen.
Ein KPI (Key Performance Indicator) misst, wie gut eine Sicherheitsaktivität gegenüber ihrem Ziel abschneidet — zum Beispiel Mean Time to Detect, Patch-SLA-Einhaltung oder Prozentsatz der Systeme mit MFA. Ein KRI (Key Risk Indicator) ist ein vorausschauendes Signal, dass das Risikoexposure auf ein inakzeptables Niveau ansteigt, mit einer Schwelle, die Handeln auslösen sollte — zum Beispiel die Zahl überfälliger kritischer Patches, die Anzahl unverwalteter Geräte oder fehlgeschlagene Access Reviews mit steigendem Trend. KPIs sagen dir, wie es läuft; KRIs warnen dich, wohin es sich entwickelt.
Erklären Sie SOC 2 Typ I vs. Typ II und die Trust Services Criteria.
Ein SOC-2-Bericht vom Typ I beurteilt, ob die Kontrollen einer Dienstleistungsorganisation zu einem einzelnen Zeitpunkt angemessen gestaltet sind. Ein Typ-II-Bericht geht weiter: Er prüft, ob diese Kontrollen über einen Prüfzeitraum hinweg wirksam funktioniert haben, typischerweise 3 bis 12 Monate. Beide basieren auf den Trust Services Criteria der AICPA — Sicherheit (die verpflichtenden gemeinsamen Kriterien), plus optional Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
Führe mich durch, wie du Drittanbieter- (Lieferanten-)Risiko bewertest und steuerst.
Behandle Lieferantenrisiko als Lebenszyklus, nicht als einmaligen Fragebogen. Inventarisiere deine Drittparteien und stufe sie nach Kritikalität und Datensensibilität ein. Führe Due Diligence proportional zur Stufe durch — prüfe SOC 2- / ISO 27001-Berichte, Sicherheitsfragebögen, Pentest-Zusammenfassungen sowie die betroffenen Daten und Zugriffe. Verankere Kontrollen im Vertrag (Sicherheitsanforderungen, Auditrecht, Meldepflicht bei Datenpannen, Datenverarbeitung, Unterauftragsverarbeiter). Überwache dann kontinuierlich, nicht nur beim Onboarding, und habe einen sauberen Offboarding-Prozess, um Zugriffe zu entziehen und Daten zurückzuholen oder zu vernichten. Auch das Viertparteien-Risiko (Unterauftragsverarbeiter) zählt.
Wie führen Sie eine Risikobewertung durch?
Eine Risikobewertung identifiziert Assets und ihren Wert, die Bedrohungen und Schwachstellen, die sie betreffen könnten, und schätzt das Risiko dann als Funktion von Eintrittswahrscheinlichkeit und Auswirkung. Sie können es qualitativ durchführen (hoch/mittel/niedrig, schnell und subjektiv) oder quantitativ (SLE × ARO = ALE, datengetrieben, aber schwieriger). Rahmenwerke wie NIST RMF und ISO 27005 geben Struktur, und das Ergebnis speist die Risikobehandlung: mindern, übertragen, vermeiden oder akzeptieren.
Erläutern Sie mir den Lebenszyklus des Schwachstellenmanagements.
Schwachstellenmanagement ist eine fortlaufende Schleife: Assets und Schwachstellen entdecken (Scanning, Asset-Inventar), nach echtem Risiko priorisieren (CVSS plus Ausnutzbarkeit, Exposition und Asset-Kritikalität — Frameworks wie EPSS und SSVC helfen), beheben oder mindern, den Fix verifizieren und über Trends und SLAs berichten. Der Scan ist der leichte Teil; die Disziplin liegt darin, zu priorisieren und die Schleife zu schließen, damit das Risiko mit der Zeit tatsächlich sinkt.
Ein Kunde fragt, warum er für einen Pentest zahlen soll, wenn er bereits Schwachstellenscans durchführt. Wie antworten Sie?
Ein Schwachstellenscan ist eine automatisierte, in die Breite gehende Bestandsaufnahme potenzieller Schwächen, oft mit Fehlalarmen. Ein Penetrationstest ist menschengeführt: Er validiert Funde, verkettet sie und demonstriert durch tatsächliche Ausnutzung echte geschäftliche Auswirkungen.
Die technische Arbeit ist erledigt. Was gehört in einen Bericht, auf den der Kunde tatsächlich reagiert?
Ein guter Bericht bedient zwei Zielgruppen: eine Executive Summary, die das Geschäftsrisiko für die Führung einordnet, und detaillierte, reproduzierbare Funde mit Beweisen, präzisen Risikobewertungen und priorisierter Behebung für das technische Team. Der Bericht — nicht der Exploit — ist das Liefergut.
Was ist das Prinzip der geringsten Rechte, und wie würdest du es in der Praxis durchsetzen?
Geringste Rechte bedeutet, dass jeder Benutzer, Prozess oder Dienst nur den minimal für seine Aufgabe nötigen Zugriff erhält, und nicht mehr. Das verkleinert den Wirkungsradius jeder Kompromittierung oder jedes Fehlers. Man setzt es mit rollenbasiertem Zugriff, Just-in-Time-Erhöhung, regelmäßigen Zugriffsüberprüfungen und der Abschaffung dauerhafter Adminrechte durch.
Erhalte 100 Cybersecurity-Interviewfragen + Antworten
Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.
Kein Spam. Jederzeit abbestellbar.