Inspiriert von Linus Neumanns Vortrag „Hirne Hacken“ auf dem 36C3 habe ich mich entschieden, meinen Informatik-Grundkurs mit dem Thema Phishing zu beschäftigen. Ziel war es, den SchülerInnen die Anforderungen an die Informationssicherheit, insbesondere die Authentizität, näherzubringen.
Um das Thema greifbar zu machen, habe ich eine Phishing-Seite erstellt, die auf der Schulplattform Lernsax basierte. Die SchĂĽlerInnen wurden aufgefordert, ihr Passwort und ihre E-Mail-Adresse einzugeben, um ihren Account zu „bestätigen“. Um die Authentizität der Anfrage zu erhöhen, habe ich die E-Mail ĂĽber eine private Domain verschickt, in der ich vor das „@“ meine Schulkennung geschrieben habe. Ein SchĂĽler wollte sogar wegklicken, aber als er gesehen hat, dass mein Name da steht … naja, man ahnt es:D Der Link zur Phishing-Seite war als Hyperlink verschleiert (z.B. www.schulanmeldung.de), um das Misstrauen der SchĂĽlerInnen zu minimieren. 
Sobald die SchülerInnen das Formular auf der Phishing-Seite bestätigten, erschien ein Popup, das sie über die Täuschung aufklärte. Diese Aufklärung war ein zentraler Bestandteil des Experiments, um den SchülerInnen die Gefahren von Phishing vor Augen zu führen.
Die Reaktion der SchülerInnen war aufschlussreich: Von 20 TeilnehmerInnen klickten 15 auf den Link, und 6 gaben tatsächlich ihr Passwort ab. Diese Zahlen verdeutlichen, wie anfällig selbst technisch versierte NutzerInnen für Phishing-Angriffe sein können.
Nach dem Experiment haben wir den Vortrag von Linus Neumann gemeinsam angesehen und anschließend einige Thesen zur Informationssicherheit diskutiert. Die Reflexion über das eigene Verhalten und die Erkenntnis, wie leicht es ist, in eine solche Falle zu tappen, waren für die SchülerInnen sehr lehrreich. Es ist entscheidend, dass wir SchülerInnen nicht nur die technischen Aspekte der Informationssicherheit vermitteln, sondern sie auch für die psychologischen Tricks sensibilisieren, die hinter Phishing-Angriffen stecken. Auch konnten wir Möglichkeiten durchgehen, inwieweit die UI/UX verbessert werden könnte. Vorschläge waren bspw. externe Mails als EXTERN im Betreff zu klassifizieren und nciht nur den Namen bei Absender sichtbar zu machen sondern immer die konkrete Absender Adresse.