Kapitel 1

1. A, C und D. Eine Multi-Faktor-Authentifizierung zu verlangen, ist ebenfalls eine gute Idee, aber sie ist ein Beispiel für das Prinzip der "Defense in Depth", nicht zuletzt der Privilegien.

2. A und D. Strenge Firewall-Kontrollen können hilfreich sein, aber sie bieten keine Tiefenverteidigung, wenn sie nicht mit anderen Kontrollen kombiniert werden. Vertrauensgrenzen sind ebenfalls wichtig und können zur Definition von Kontrollen verwendet werden, sind aber keine Defense-in-Depth-Kontrolle.

3. A, B, C und D. Bedrohungsakteure können alle diese Ziele verfolgen, obwohl das Geldverdienen in der Vergangenheit bei weitem die größte Motivation war. Manche Bedrohungsakteure wollen aber auch einfach nur einbrechen oder ihren Ruf in Hackerkreisen verbessern.

4. A. Je nach Dienstbereitstellungsmodell ist der Cloud-Provider für die Netzwerk- und Betriebssicherheit verantwortlich oder auch nicht. Für die Sicherheit des Datenzugriffs - also die Entscheidung darüber, wer Zugriff auf die Daten erhält - ist fast immer der Verbraucher verantwortlich.

5. A und B. Die meisten Risikobewertungssysteme verwenden eine Form der Wahrscheinlichkeits- und Folgenabschätzung, um den Gesamtrisikograd zu bestimmen. Die Übertragung eines Risikos bestimmt nicht den Schweregrad des Risikos, kann aber eine Möglichkeit sein, das Risiko zu bewältigen. Die Schwere des Risikos hängt auch nicht direkt davon ab, ob ...