Passwörter, Hacker & Schadsoftware als Unterrichtsthema
Onlinesicherheit in der Schule vermitteln
Datenschutzkonforme Plattformen und Kommunikationswege sind eine wichtige Voraussetzung für digitales Lernen und Arbeiten. Jegliche Datensicherheit ist allerdings Makulatur, wenn Kenntnisse im Bereich Passwortsicherheit und Schutz vor Schadsoftware fehlen, denn vor missbrauchten Passwörtern oder von Trojanern kompromittierten Endgeräten schützt die EU-DSGVO nicht!
Schadsoftware, Kostenfallen und Urheberrechtsverstöße wurden bei meinen Lehrerfortbildungen und Elternabenden aus Zeitgründen zunehmend zum Randthema, weil sie „nur“ teuer werden, aber zumeist nicht die Psyche von Kindern und Jugendlichen verletzen. Themen wie Sexting, Cybergrooming oder Cybermobbing können dagegen massive Auswirkungen auf die Entwicklung, die körperliche und seelische Gesundheit sowie auf den Schulerfolg haben.
Dennoch sind solide Kenntnisse in diesem Bereich zunehmend wichtiger geworden, da immer mehr Menschen einen Großteil ihres Lebens digital verwalten und online stellen, v.a. auch Kinder und Jugendliche, deren persönliche Daten besonderen Schutz erfordern. Kenntnisse über IT-Sicherheit sind dabei oft spielentscheidend, da gekaperte Social Media Accounts auch in die oben genannten Themen hineinwirken. Mit einer einzigen Doppelstunde lässt sich eine Klasse in diesem Bereich bereits solide aufstellen! Diese wird idealerweise gehalten, wenn die Kinder sich erstmals in das Schulnetzwerk einloggen und sich dafür sichere Passwörter ausdenken müssen.
Download => Arbeitsblatt_Sichere-Passwörter
Fragt man zu Beginn dieser Unterrichtseinheit – an meiner Schule zu Beginn der Klassenstufe 5 – nach Ideen für die Erstellung von Passwörtern, werden v.a. Konzepte genannt, die leicht zu merken sind: Name des Haustiers, Lieblingspromi, -sportart oder -verein, gerne noch das eigene Geburtsdatum oder -jahr angehängt, der eigene Name rückwärts geschrieben, etc… Das verstößt gegen elementare Grundregeln:
Ein gutes Passwort…
- kann niemand erraten!
- ist kein reales Wort, d.h. es findet sich in keinem Wörterbuch, da Passwortknackprogramme den Duden in wenigen Sekunden Duden abarbeiten!
Als spaßigen Stundeneinstieg lasse ich die Kinder raten, welche Passwörter sich ihre Mitschüler wohl ausdenken würden, und nicht selten treffen die Vermutungen mitten ins Schwarze.
Viele Erwachsene sind diesbezüglich auch nicht besser aufgestellt: Als ich kürzlich einem Freund ein Tablet einrichtete und ihm bei der Übergabe das vorläufiges Passwort nannte, das aus dem Namen seines Hundes und seinem Geburtsjahr bestand, war er entsetzt, woher ich denn „sein Passwort“ kenne! Sprich: Er nutzte ausschließlich und überall dieses eine triviale Passwort!
Hat man sich ein ordentlich obskures Passwort ausgedacht, muss dieses ausreichende Länge und Komplexität besitzen. Die Länge ist das deutlich wichtigere Merkmal, da jede zusätzliche Stelle den Rechenaufwand exponentiell steigert. Empfehlungen, Passwörter mit Ziffern und Sonderzeichen möglichst komplex zu gestalten, um auch damit die Anzahl der mathematischen Möglichkeiten zu erhöhen, sind nicht falsch, erschweren aber die Merkbarkeit. Wer erlebt hat, wie viel Zeit vergeht, bis sich eine fünfte Klasse mit selbst erstellten, superlangen und hochkomplexen Passwörtern in das Schulnetz eingeloggt hat, weiß einfachere, aber dennoch sichere Konzepte zu schätzen.
- Ein gutes Passwort ist lang genug (mindestens 10stellig), nicht komplizierter als nötig UND gut zu merken!
Eine praktikable Alternative zum unknackbaren 25stellige Zahl-Sonderzeichen-Groß-und-Kleinbuchstaben-Ungetüm, das anfällig für Vergessen und Tippfehler ist, sind einfach zu merkende Sätze:
„WoIstMeinJoghurt?“ – „Mainz05IstSupercool!“ – „IchLiebe99Luftballons!“
Gleichzeitig bietet das die einfache Möglichkeit, durch Austausch eines Wortes weitere Passwörter zu erzeugen, denn:
- Ein gutes Passwort benutzt man nur einmal!
Das bedeutet, dass man für jeden Account ein extra Passwort benötigt. Eine Kombination aus Passwort und Benutzername, E-Mail-Adresse oder Handynummer benutzt man immer nur einmal, denn das größte Risiko für Passwortmissbrauch besteht darin, dass es Kriminellen immer wieder gelingt, die Datenbanken großer Anbieter herunterzuladen, um dann mit hoher Rechenleistung die darin gespeicherten Passwörter zu entschlüsseln. Ist eine Zugangskombination entschlüsselt, wird diese bei allen möglichen Anbietern getestet. Dadurch gelingt es immer wieder, komplette Online-Identitäten zu übernehmen und damit hohen Schaden anzurichten oder die Besitzer damit zu erpressen. Dass in einer dieser Datenbanken 773 Millionen E-Mailadresse, aber nur 21 Millionen unterschiedliche Passwörter gefunden wurden, macht deutlich, dass das Kernproblem nicht kriminelle Hacker, sondern digital unbedarfte Nutzer sind: Jedes Passwort wurde hier 37 mal benutzt, was noch durch den Umstand verschlimmert wird, dass die denkbar schlechtesten Passwörter zugleich die beliebtesten sind! 2018 waren die 10 beliebtesten Passwörter der Deutschen:
123456 – 12345 – 123456789 – ficken – 12345678 – hallo123 – hallo – 123 – passwort – master
Meist werden Menschen demnach nicht gehackt, sie sind schlicht digital suboptimal aufgestellt, um es nett auszudrücken…
Cyberkriminelle sind selten mit aufwändigen technischen Attacken erfolgreich, sondern mittels „Social Engineering“, d.h. mit Angriffen, die auf die Schwachstelle Mensch zielen. Dieser Ansatz spielt allerdings auch eine Rolle, wenn Menschen aus dem persönlichen Umfeld Neugierde in Bezug auf Passwörter entwickeln, von daher gilt:
- Ein gutes Passwort ist nur dem/der Besitzer/in bekannt.
Bei Jugendlichen gilt es häufig als Vertrauensbeweis, dem/der „Best friend forever“ Passwörter und die Bildschirmsperre des Smartphones anzuvertrauen. Wenn die Freundschaft dann kriselt, lässt sich mit diesem Wissen heimlich im Onlineleben des anderen schnüffeln, oder auch unter dessen Namen Dinge tun, die dem anderen schaden. In der Regel lässt sich in solchen Fällen nicht beweisen, dass das Passwort von einer anderen Person missbraucht wurde.
Lange wurde empfohlen, Passwörter auch regelmäßig zu wechseln, das gilt inzwischen als überholt. Ein gutes Passwortkonzept sollte nur gewechselt werden, wenn der Verdacht besteht, dass Fremde darauf Zugriff haben. Um die Zugangsdaten im Griff zu haben, können auch Passwortmanager genutzt werden, Programme, die sichere Passwörter generieren und speichern und diese auch plattformübergreifend zwischen mobilen Geräten und PCs synchronisieren. Auch hier gibt es ein Restrisiko: Fällt das Masterpasswort, das den Zugang zum Passwortmanager sichert, in fremde Hände – beispielsweise durch einen Trojaner, der Tastatureingaben abgreift – sind alle Passwörter kompromittiert!
Für die Jüngsten genügt als Merksatz zur Passwortsicherheit diese spaßige Faustregel: „Gute Passwörter sind wie Unterhosen: 1. Man hat mehrere davon 2. Man tauscht sie nicht mit anderen aus 3. Die Länge ist entscheidend!“
Auch bei Schadsoftware und Phishing (= password fishing) ist Social Engineering das primäre Angriffswerkzeug: Links in gefälschten E-Mails sollen die Empfänger auf ebenfalls gefälschte Websites zu lotsen, um dort Ihre Zugangsdaten zu wichtigen Onlinekonten einzugeben: Onlinebanking, Bezahldienste wie PayPal, Onlineshops oder Soziale Netzwerke. Werden dann überall dieselben Zugangsdaten verwendet, kann ein Hacker eine komplette Onlineidentität übernehmen und sämtliche Passwörter ändern. Insbesondere der Zugang zum E-Mail-Postfach ist kritisch, weil dieses häufig als Bestätigungsinstanz für Passwortänderungen in anderen Accounts verwendet wird, z.B. für Onlineshops.
Ein paar einfache Grundregeln helfen, solche unangenehmen Erfahrungen zu vermeiden:
- Wichtige Websites (s.o.) niemals über Links in E-Mails öffnen, sondern die Adresse immer direkt im Browser eintippen.
- Für diese Accounts möglichst die 2-Faktor-Authentifizierung aktivieren, bei der man nach der Eingabe des Passworts z.B. noch einen Code per SMS auf das Handy bekommt, den man auf der Website eingeben muss.
- E-Mail-Anhänge nur öffnen, wenn die Nachricht von einem bekannten Absender stammt (Vorsicht: Absenderadressen lassen sich kinderleicht fälschen) und wenn die Mail plausibel ist. Im Zweifelsfall auf einem anderen Kommunikationsweg beim Absender nachfragen.
- Wenn Dokumente, die als E-Mail-Anhang ankommen, zur Aktivierung von Makros oder zum Einschalten eines Bearbeitungsmodus auffordern, ist höchste Vorsicht geboten! Aktive Inhalte können Schadsoftware enthalten, wie z.B. Erpressungstrojaner, die nach Aktivierung umgehend sämtliche Dateien auf dem Gerät verschlüsseln, um anschließend eine Lösegeldforderung in Bitcoin zu stellen. Auch in diesem Fall hilft eine Nachfrage, ob die Mail und der Anhang authentisch sind. Im beruflichen Kontext sollte im Zweifelsfall die IT-Abteilung hinzugezogen werden.
Zum rein technischen Schutz vor Schadsoftware genügt unter Windows 10 laut Fachleuten inzwischen der integrierte Windows Defender, ein zusätzliches Virenschutzprogramm schadet aber nicht. Hier sollte man dann eine Kaufversion mit vollem Funktionsumfang verwenden sowie aus Datenschutzgründen einen deutschen Anbieter wie Avira oder G-Data bevorzugen.
Cybercrime verursacht in Deutschland jährlich einen Schaden in zweistelliger Milliardenhöhe, weshalb das Know-How zur Vermeidung solcher Angriffe flächendeckend und rechtzeitig vermittelt werden sollte, insbesondere Kindern, die nicht erst durch Schaden klug werden sollen. Nehmen sich die Schulen dieses Themas an, entsteht der Kollateraleffekt, dass die Kinder dieses Wissen in ihre Familien tragen und dabei häufig sehr hartnäckig insistieren, dass Mama und Papa ihre „dummen Passwörter“ ändern sollen.
Dieses Thema vermittle ich den Kindern per Frontalunterricht im PC-Raum oder mit Tablets im Klassenraum – für andere Formate bräuchte es mehr IT-Zeit, die ich leider nicht habe! Um Medienbildung in den Schule nachhaltig umzusetzen, braucht es Konzepte inklusive intensiver Fortbildung der Lehrkräfte und Integration der Themen in die reguläre Stundentafel – aber da ist aktuell noch viel Luft nach oben!