Phishing und Social Engineering
Die Schülerinnen und Schüler erkennen gängige Betrugsmaschen wie Phishing und lernen, sich davor zu schützen.
Über dieses Thema
Phishing und Social Engineering sind zentrale Themen in der Informatik für Klasse 8. Die Schülerinnen und Schüler lernen, gängige Betrugsmaschen zu erkennen, wie verdächtige E-Mails mit gefälschten Absendern, Dringlichkeitsappellen oder geforderten persönlichen Daten. Sie analysieren Merkmale solcher Nachrichten, etwa ungewöhnliche URLs oder Rechtschreibfehler, und verstehen, wie Social Engineering menschliche Schwachstellen wie Neugier oder Angst ausnutzt, um Passwörter oder Zugangsdaten zu erlangen.
Dieses Thema knüpft direkt an die KMK-Standards für Sicherheit und Schutz sowie Wirkungen von Informatiksystemen in der Sekundarstufe I an. Es fördert ein Bewusstsein für Risiken im digitalen Alltag und verbindet Informatik mit Ethik und Verantwortung. Schüler entwickeln Strategien wie Zwei-Faktor-Authentifizierung, Überprüfung von Quellen oder Ignorieren verdächtiger Anfragen, was langfristig zu sichererem Online-Verhalten führt.
Aktives Lernen eignet sich besonders gut für dieses Thema, da abstrakte Bedrohungen durch Rollenspiele, Analyse realer Beispiele und Gruppendiskussionen konkret und nachvollziehbar werden. So internalisieren Schüler Schutzmechanismen spielerisch und behalten sie im echten Leben bei.
Leitfragen
- Analysieren Sie die Merkmale einer Phishing-E-Mail oder -Nachricht.
- Erklären Sie, wie Social Engineering menschliche Schwachstellen ausnutzt.
- Entwickeln Sie Strategien, um sich vor Phishing-Angriffen zu schützen.
Lernziele
- Analysieren Sie die typischen Merkmale von Phishing-E-Mails und -Nachrichten, um gefälschte Kommunikationen zu identifizieren.
- Erklären Sie, wie Social-Engineering-Taktiken psychologische Anfälligkeiten bei Menschen ausnutzen, um an sensible Daten zu gelangen.
- Entwickeln Sie konkrete Schutzstrategien gegen Phishing- und Social-Engineering-Angriffe für den persönlichen Gebrauch.
- Bewerten Sie die Glaubwürdigkeit von Online-Anfragen, die nach persönlichen Informationen fragen, anhand von Sicherheitskriterien.
Bevor es losgeht
Warum: Schülerinnen und Schüler müssen grundlegende Kenntnisse über das Surfen im Internet und die Nutzung von E-Mail haben, um die Risiken von Phishing und Social Engineering nachvollziehen zu können.
Warum: Ein Verständnis dafür, welche Daten als persönlich und schützenswert gelten, ist notwendig, um die Ziele von Phishing-Angriffen zu verstehen.
Schlüsselvokabular
| Phishing | Eine betrügerische Methode, bei der Angreifer versuchen, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendaten zu stehlen, indem sie sich als vertrauenswürdige Entität ausgeben. |
| Social Engineering | Die Kunst, Menschen dazu zu manipulieren, Handlungen auszuführen oder vertrauliche Informationen preiszugeben, oft durch psychologische Tricks und Täuschung. |
| Ködern (Baiting) | Eine Social-Engineering-Taktik, bei der ein verlockendes Angebot (z. B. ein kostenloser Download oder ein USB-Stick) verwendet wird, um Opfer dazu zu bringen, schädliche Software herunterzuladen oder zu installieren. |
| Vishing | Phishing über Telefonanrufe, bei denen Betrüger versuchen, durch Vortäuschen einer falschen Identität oder einer dringenden Notlage an Informationen zu gelangen. |
| Smishing | Phishing über SMS-Nachrichten, die oft Links zu gefälschten Webseiten enthalten oder dazu auffordern, auf eine Nummer zu antworten. |
Vorsicht vor diesen Fehlvorstellungen
Häufige FehlvorstellungPhishing kommt nur per E-Mail.
Was Sie stattdessen lehren sollten
Viele glauben, Phishing beschränkt sich auf E-Mails, doch es erfolgt auch über SMS, Anrufe oder Social Media. Aktive Analyse verschiedener Beispiele in Stationen zeigt die Vielfalt und hilft, alle Kanäle zu sensibilisieren.
Häufige FehlvorstellungMan erkennt Phishing immer an Fehlern.
Was Sie stattdessen lehren sollten
Professionelle Phishing-Mails wirken oft makellos. Rollenspiele demonstrieren, dass Social Engineering auf Psychologie setzt. Gruppendiskussionen korrigieren diese Annahme und stärken das Urteilsvermögen.
Häufige FehlvorstellungSocial Engineering betrifft nur Unwissende.
Was Sie stattdessen lehren sollten
Jeder ist anfällig durch menschliche Faktoren. Peer-Feedback in Rollenspielen macht dies erlebbar und fördert Empathie sowie kollektive Strategienentwicklung.
Ideen für aktives Lernen
Alle Aktivitäten ansehenStationenrotation: Phishing-Analyse
Richten Sie vier Stationen ein: E-Mail-Beispiele prüfen, SMS-Phishing identifizieren, Social-Engineering-Szenarien besprechen und Schutzstrategien notieren. Gruppen rotieren alle 10 Minuten und protokollieren Merkmale. Abschließend teilen sie Erkenntnisse im Plenum.
Rollenspiel: Social Engineering
Teilen Sie Rollen zu: Angreifer, Opfer und Beobachter. Der Angreifer nutzt Techniken wie Autorität vortäuschen, das Opfer reagiert, Beobachter notieren Schwachstellen. Nach zwei Runden reflektiert die Gruppe Abwehrstrategien.
Paararbeit: Eigene Schutzplakate
Paare analysieren eine Phishing-Nachricht, listen Merkmale auf und entwerfen ein Plakat mit Schutztipps. Sie präsentieren es der Klasse und diskutieren Ergänzungen gemeinsam.
Klassenrunde: Risiko-Checkliste
Die Klasse erstellt gemeinsam eine Checkliste für verdächtige Nachrichten. Jeder Schüler testet sie an Beispielen und bewertet Wirksamkeit in einer Abstimmung.
Bezüge zur Lebenswelt
- Banken wie die Sparkasse oder die Deutsche Bank warnen ihre Kunden regelmäßig vor Phishing-E-Mails, die angeblich von der Bank stammen und zur Eingabe von Online-Banking-Daten auffordern. Mitarbeiter im Kundenservice werden geschult, solche Anfragen zu erkennen und Kunden zu schützen.
- Online-Shops wie Amazon oder Zalando nutzen Sicherheitssysteme und informieren ihre Kunden über gängige Betrugsmaschen, bei denen gefälschte Bestellbestätigungen oder Versandinformationen versendet werden, um an Zahlungsdaten zu gelangen.
Ideen zur Lernstandserhebung
Geben Sie den Schülerinnen und Schülern eine gefälschte Phishing-E-Mail (anonymisiert). Bitten Sie sie, drei Merkmale zu identifizieren, die auf einen Betrug hindeuten, und einen Satz zu schreiben, wie sie auf eine solche E-Mail reagieren würden.
Stellen Sie die Frage: 'Warum sind Menschen anfälliger für Social-Engineering-Angriffe als für rein technische Angriffe?' Lassen Sie die Schülerinnen und Schüler in Kleingruppen diskutieren und anschließend ihre wichtigsten Erkenntnisse im Plenum vorstellen.
Zeigen Sie verschiedene E-Mail-Betreffzeilen (z. B. 'Ihr Konto wurde gesperrt', 'Wichtige Sicherheitsinformationen', 'Glückwunsch, Sie haben gewonnen!'). Bitten Sie die Schülerinnen und Schüler, auf einer Skala von 1 (sehr verdächtig) bis 5 (wahrscheinlich legitim) einzuschätzen, wie verdächtig jede Betreffzeile ist, und kurz zu begründen.
Häufig gestellte Fragen
Was sind Merkmale einer Phishing-E-Mail?
Wie funktioniert Social Engineering?
Welche Strategien schützen vor Phishing?
Wie hilft aktives Lernen beim Thema Phishing?
Planungsvorlagen für Informatik
Mehr in Daten und Geheimnisse: Kryptographie und Sicherheit
Grundlagen der Informationssicherheit
Die Schülerinnen und Schüler identifizieren die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit).
2 methodologies
Caesar-Chiffre: Erste Verschlüsselung
Die Schülerinnen und Schüler wenden die Caesar-Chiffre an und entschlüsseln Nachrichten manuell.
2 methodologies
Vigenère-Chiffre: Mehr Sicherheit?
Die Schülerinnen und Schüler lernen die Vigenère-Chiffre kennen und vergleichen ihre Komplexität mit der Caesar-Chiffre.
2 methodologies
Symmetrische Verschlüsselung
Die Schülerinnen und Schüler verstehen das Prinzip der symmetrischen Verschlüsselung und ihre Herausforderungen bei der Schlüsselverteilung.
2 methodologies
Asymmetrische Verschlüsselung (Public-Key)
Die Schülerinnen und Schüler lernen das Konzept von Public-Key-Verfahren kennen und deren Anwendung im Internet.
2 methodologies
Digitale Signaturen und Authentizität
Die Schülerinnen und Schüler verstehen die Funktion digitaler Signaturen zur Sicherstellung der Authentizität und Integrität von Daten.
2 methodologies