Inspiriert von Linus Neumanns Vortrag „Hirne Hacken“ auf dem 36C3 habe ich mich entschieden, meinen Informatik-Grundkurs mit dem Thema Phishing zu beschäftigen. Ziel war es, den SchülerInnen die Anforderungen an die Informationssicherheit, insbesondere die Authentizität, näherzubringen.
Um das Thema greifbar zu machen, habe ich eine Phishing-Seite erstellt, die auf der Schulplattform Lernsax basierte. Die SchülerInnen wurden aufgefordert, ihr Passwort und ihre E-Mail-Adresse einzugeben, um ihren Account zu „bestätigen“. Um die Authentizität der Anfrage zu erhöhen, habe ich die E-Mail über eine private Domain verschickt, in der ich vor das „@“ meine Schulkennung geschrieben habe. Ein Schüler wollte sogar wegklicken, aber als er gesehen hat, dass mein Name da steht … naja, man ahnt es:D Der Link zur Phishing-Seite war als Hyperlink verschleiert (z.B. www.schulanmeldung.de), um das Misstrauen der SchülerInnen zu minimieren. 
Sobald die SchülerInnen das Formular auf der Phishing-Seite bestätigten, erschien ein Popup, das sie über die Täuschung aufklärte. Diese Aufklärung war ein zentraler Bestandteil des Experiments, um den SchülerInnen die Gefahren von Phishing vor Augen zu führen.
Die Reaktion der SchülerInnen war aufschlussreich: Von 20 TeilnehmerInnen klickten 15 auf den Link, und 6 gaben tatsächlich ihr Passwort ab. Diese Zahlen verdeutlichen, wie anfällig selbst technisch versierte NutzerInnen für Phishing-Angriffe sein können.
Nach dem Experiment haben wir den Vortrag von Linus Neumann gemeinsam angesehen und anschließend einige Thesen zur Informationssicherheit diskutiert. Die Reflexion über das eigene Verhalten und die Erkenntnis, wie leicht es ist, in eine solche Falle zu tappen, waren für die SchülerInnen sehr lehrreich. Es ist entscheidend, dass wir SchülerInnen nicht nur die technischen Aspekte der Informationssicherheit vermitteln, sondern sie auch für die psychologischen Tricks sensibilisieren, die hinter Phishing-Angriffen stecken. Auch konnten wir Möglichkeiten durchgehen, inwieweit die UI/UX verbessert werden könnte. Vorschläge waren bspw. externe Mails als EXTERN im Betreff zu klassifizieren und nciht nur den Namen bei Absender sichtbar zu machen sondern immer die konkrete Absender Adresse.
Kommentare
Antworte auf diesen Post auf Mastodon: Hier klicken für den Post 🔗 oder zum kopieren des Links und einfügen in deinem Client!
https://media.ccc.de/v/36c3-11175-hirne_hacken
Für die Fitten im Kurs gibt’s immer viel Humor und der Kern der Sache bleibt sehr schön verständlich für alle anderen.
@mldot @linuzifer
Gute Idee! Dieser Teil war in meinem Kurs etwas theoretischer, dafür haben wir alle gnupg installiert und uns gegenseitig signierte + verschlüsselte Nachrichten geschrieben, evtl. wäre das ja noch was für dich für den zweiten Teil.
@andreasgoebel @linuzifer Genau! Das kommt noch, wenn wir RSA und Hashing und co durcharbeiten. Mit Crypttool geht das ganz nett!
7 von 10 SuS haben das Passwort eingegeben. 2 haben die Mail gar nicht geöffnet (keine Zeit gehabt), und nur eine Schülerin hat sich bewusst dagegen entschieden.
Stunde also erfolgreich!