Auch Betrüger nutzen die modernen Kommunikationstechnologien. Um Betrugsversuchen zu entgehen, ist ein gewissenhafter Umgang mit sensiblen Daten von großer Bedeutung. Dies sollte in Ausbildungsberufen des kaufmännischen Bereichs frühzeitig thematisiert werden. Der Schwerpunkt der Unterrichtsstunde liegt darin, dass die Lernenden das Phishing als eine Betrugsart, mit deren Hilfe sensible Daten ausspioniert werden, kennen lernen und erarbeiten, wie sie sich davor schützen können. Im Fach Organisationslehre wird im Bereich "Datenschutz und Datensicherheit" der Aspekt des gewissenhaften Umgangs mit persönlichen Daten fokussiert. In diesem Rahmen werden auch die ökonomischen Folgen der Beantwortung einer Phishing-Mail thematisiert. Eine didaktische Reduktion erfolgt in der Stunde dahingehend, dass auf die Erarbeitung von Sicherheitsmerkmalen einer E-Mail-Adresse, wie zum Beispiel die digitale Signatur, verzichtet wird. Dies kann Thema einer Folgestunde sein, wobei die Lernenden dann selbstständig eine digital signierte E-Mail schreiben sollten. Im Fokus der Unterrichtsstunde steht die Problematik des Phishings. Den Schülerinnen und Schülern werden hierzu ausgewählte Internetadressen zur Verfügung gestellt, mit deren Hilfe sie ihre Fragen zum Thema Phishing beantworten können. Unterrichtsablauf Der Ablauf der Unterrichtsstunde wird detailliert erläutert und die Einbindung der Arbeitsmaterialien beschrieben. Die Schülerinnen und Schüler sollen Kriterien ausmachen, anhand derer Phishing-Mails zu erkennen sind. Echtheitsmerkmale von Webseiten einer Bank kennenlernen. die erworbenen Kenntnisse bei der E-Mail aus der Einstiegssituation anwenden und sie als Phishing-Mail identifizieren. das Internet als Informationsquelle zur Bearbeitung der Arbeitsaufträge nutzen. durch die Arbeit mit Partnern ihre Team- und Kommunikationsfähigkeit verbessern. Thema Umgang mit sensiblen Daten - Phishing Autorin Nadine Passia Fach Organisationslehre Zielgruppe Kaufleute für Bürokommunikation, Bürokaufleute Zeitraum 1 Unterrichtsstunde Technische Voraussetzungen Mindestens ein Computer mit Internetanschluss für zwei Lernende, Lehrercomputer mit Beamer Planung Umgang mit sensiblen Daten - Phishing LATTINGER, H. (2001): Neues Lernen für die Informationsgesellschaft. Trendwende durch neue Technologien. In: SCHWETZ, H. / ZEYRINGER, M. / REITER, A. (Hrsg.): Konstruktives Lernen mit neuen Medien. Innsbruck, Wien, München, Bozen 2001. Die Lerngruppe wird aufgrund der besseren Anschaulichkeit für die Schülerinnen und Schüler induktiv, mithilfe einer Phishing-Mail, die bei einer Finanzbuchhalterin der Medienwelt GmbH eingeht, an den Lerninhalt herangeführt. Der Einstiegsfall ist zielgruppenadäquat formuliert, um so die Lernenden zur Mitarbeit zu motivieren. Sie können mithilfe der hier dargestellten Phishing-Mail erkennen, dass besondere Aufmerksamkeit bei der Eingabe von Daten geboten ist. Die Lernenden sollen darüber nachdenken und begründen können, ob Kontonummer, PIN und TAN eingegeben werden dürfen oder nicht. Sie formulieren selbstständig ihre Fragen zum Thema und halten diese schriftlich fest. Die Fragen werden anschließend an der Metaplanwand notiert. Parallel dazu trägt jemand die Fragen in eine vorbereitete Word-Datei ein. Zur weiteren Förderung des selbstständigen Lernens entscheiden die Lernenden anschließend im Plenum, welche der formulierten Fragen in der heutigen Stunde von ihnen unter Berücksichtigung der Bearbeitungszeit beantwortet werden sollen. Die Grundlage für die sich anschließende Erarbeitungsphase bilden die formulierten Fragen der Schülerinnen und Schüler. In Partnerarbeit recherchieren sie Antworten mithilfe vorgegebener Links im Internet, wobei die Ergebnisse in der zuvor erstellten Word-Datei gespeichert werden. Bei der anschließenden Präsentation stellen verschiedene Partnergruppen ihre Ergebnisse vor. Um möglichst viele präsentieren zu lassen, stellt jeweils eine Partnergruppe das Ergebnis einer Aufgabe vor. Hier sollten die Lernenden den Bezug zur E-Mail aus dem Einstieg herstellen um so ihre Ergebnisse zu verdeutlichen. Dies bietet sich zum Beispiel bei der Präsentation der Erkennungsmerkmale einer Phishing-Mail an. In der abschließenden Reflexion begründen die Schülerinnen und Schüler, ob Kontonummer, PIN und TAN eingegeben werden dürfen oder nicht und welche Folgen die Eingabe haben kann. Die präsentierten und besprochenen Ergebnisse werden durch die jeweiligen Schülerinnen und Schüler in einer Datei abgespeichert und der Lerngruppe zur Verfügung gestellt.

In dieser Unterrichtseinheit werden Schülerinnen und Schüler mit dem Phishing (Kurzform für Password-Fishing) konfrontiert. Mit diesem Kunstwort wird der Trick bezeichnet, mithilfe gefälschter E-Mails an vertrauliche, persönliche Daten zu gelangen. Die Verbreitung so genannter Phishing-Mails steigt rasant an. Nutzerinnen und Nutzer werden darin aufgefordert, Namen und Bankverbindungen preiszugeben und diese Daten zu versenden. Phisher versenden E-Mails, in denen zum Beispiel Bankkunden zu einem "Sicherheitscheck" aufgefordert werden. Die Mails enthalten Links zu gefälschten Webseiten, die der Original-Website des Geldinstituts zum Verwechseln ähnlich sehen. Dort werden die Kunden aufgefordert, ihre persönliche Geheimnummer (PIN) und die so genannte Transaktionsnummer (TAN) einzugeben.Die Schülerinnen und Schüler werden in dieser Stunde mit der Vorgehensweise der "Phisher" vertraut gemacht und somit für derartige Betrugsversuche sensibilisiert. Dieses Thema ist nicht nur gegenwärtig, sondern auch zukünftig von Bedeutung, da Betrüger immer wieder das Internet für ihre Zwecke nutzen werden. Somit steht der Lerninhalt exemplarisch für die Schulung des Sicherheitsdenkens im Umgang mit dem Internet wie auch generell mit personenbezogenen Daten. Ausgehend von einer echten Phishing-Mail und einer auf dem Server hinterlegten gefälschten Webseite der "Rastbank" sollen die Lernenden spontan äußern, was ihrer Meinung nach Merkmale sind, an denen sich die Echtheit einer Webseite und einer E-Mail zeigen. Ablauf des Unterrichts Ausgehend von einer echten Phishing-Mail und einer auf dem Server hinterlegten gefälschten Webseite der "Rastbank" sollen die Lernenden spontan äußern, was ihrer Meinung nach Merkmale sind, an denen sich die Echtheit einer Webseite und einer E-Mail zeigen. Die Schülerinnen und Schüler sollen Sicherheits- und Echtheitsmerkmale von Webseiten und E-Mails kennen lernen. durch die Darstellung einer Phishing-Mail diese als Betrugsversuch erkennen können. wissen, wie eine Phishing-Attacke generell abläuft und wie man sich davor schützen kann. das Internet als Informationsquelle nutzen und die benötigten Informationen auswählen. die Informationen strukturieren und gliedern. Hier ist zu erwarten, dass die Lernenden einerseits die URL, andererseits den Absender einer E-Mail nennen werden. Daraus folgt, dass die gezeigte E-Mail echt sein müsste und die Webseite demnach eine Fälschung. Da die vermeintlich echte E-Mail auf die gefälschte Webseite verweist, ergibt sich für die Lernenden ein Widerspruch. Diesen gilt es durch die Informationsrecherche im Internet aufzulösen. Da die E-Mail einen Link enthält, wird auch thematisiert, woran zu erkennen ist, auf welche Webseite ein Link führt. Durch die Internetrecherche wird nachgewiesen, dass ein solcher Link nicht zuverlässig ist. Die Lernenden erhalten ausgewählte Internetadressen, da eine eigenständige Recherche nicht in einer einzelnen Unterrichtsstunde zu bewältigen ist. Jeder Arbeitsauftrag umfasst zwei bis drei Teilaufgaben, so dass sich die Lernenden in der Gruppe hinsichtlich der Aufgabenverteilung und der Ergebniszusammenführung abstimmen müssen. Präsentation Abschließend werden die Ergebnisse der Gruppen präsentiert. Da es sich um eine arbeitsteilige Gruppenarbeit handelt, sollen die Lernenden nach der Präsentation Vorschläge machen, wie die Ergebnisse allen zur Verfügung gestellt werden können.

Der Wert der Datenbestände eines Unternehmens kann nicht hoch genug eingeschätzt werden. Umso wichtiger ist es für Auszubildende, die Bedeutung geeigneter Passwörter richtig einzuschätzen, um unbefugte Zugriffe auf wichtige Datenbestände zu verhindern. Datenbestände werden immer umfangreicher und stellen für ein Unternehmen einen besonderen Wert dar. Der Verlust von Daten kann die Existenz eines Unternehmens gefährden. Vor diesem Hintergrund erfordert die Thematik des Passwortmanagements eine explizite und umfassende Auseinandersetzung und wird für Beschäftigte zu Grundlagenwissen. Zudem erfordern technologische Veränderungen auch eine curriculare Anpassung der Themenbereiche ?Sicherheit und Datenschutz?. Sicherheitsrisiken bei der Nutzung von IT-Systemen werden in den Medien vielfach thematisiert. Die Umsetzung von Sicherheitsmaßnahmen wird hingegen meist als ein "notwendiges Übel" behandelt. Kenntnisse über derartige Sicherheitsrisiken gehören aber zu den wesentlichen Schlüsselqualifikationen im Berufsleben. Daher ist es wichtig, die Schülerinnen und Schüler für die Auswirkungen des Passwortmissbrauchs zu sensibilisieren. Ablauf des Unterrichts Der Verlauf der Unterrichtseinheit wird mithilfe von Folien und Arbeitsblättern unterstützt. Die Schülerinnen und Schüler sollen erkennen, dass Datenbestände einen besonderen Wert darstellen und ihr Verlust die Existenz eines Unternehmens gefährden kann. sichere Passwörter erstellen lernen. die Bedeutung des Themenbereichs für ihre eigene Zukunft erkennen. Das Lernziel ist erreicht, wenn die Schülerinnen und Schüler sichere Passwörter generieren. Thema Passwortmanagement Autor Dr. Ingo Benzenberg Fach Informationswirtschaft Zielgruppe Berufsfachschulen Zeitumfang Eine Unterrichtsstunde Technische Voraussetzungen Mindestens ein PC für zwei SchülerInnen, Browser Mozilla oder Mozilla Firefox Planung Sichere Passwörter Einstieg Der Einstieg erfolgt über einen an die Wand projizierten Zeitungsartikel. Dieser dient ei-nerseits der Begriffsklärung "Phishing" und andererseits soll hiermit die gesamte Lerngruppe in den Prozess der Problematisierung eingebunden werden. Die Schülerinnen und Schüler werden durch das Nennen hoher Geldbeträge im Artikel implizieren, dass das Thema Phishing es wert ist, behandelt zu werden. Eine Phishing-Mail, dargestellt mit einem von den meisten Schülerinnen und Schülern verwendeten Programm, soll das Interesse der Lerngruppe wecken und auch einen persönlichen Bezug herstellen. Ich gehe davon aus, dass nur wenige Schülerinnen und Schüler auf Anhieb erkennen werden, dass es sich hier um eine E-Mail handelt, die zum Ziel hat, Passwörter auszuspionieren. Somit wird die Frage im Raum stehen, woran eine echte Mail von einer Bank zu erkennen ist. Im Anschluss an die Klärung dieser Frage werden weitere Möglichkeiten der Passwortspionage thematisiert. Hierbei wird das Phishing im Unternehmen fokussiert und die Qualität von Passwörtern in den Mittelpunkt gestellt. Dabei wird die These vertreten, dass bei einer geringen Passwortqualität, die Phisher sich erst gar nicht die Mühe der fingierten Mails machen brauchen, da einschlägige Software die Passwörter in Minuten identifiziert hätte. Erarbeitung Infolgedessen muss neben einem "kritischen Bewusstsein" für eventuell fingierte Passwortabfragen die Qualität von Passwörtern betrachtet werden. Der Passwort-Qualitätsmesser im Browser "Mozilla" ermöglicht den Schülerinnen und Schülern eine eigenständige Generierung mit anschließender Qualitätsprüfung von Passwörtern. Sicherung Die Lerninhalte sollen über einen Multiple-Choice-Test gesichert werden. Eine Leistungsbewertung wird mit dem Test nicht verfolgt. Dies wird den Schülerinnen und Schülern auch mitgeteilt. Eine weitere Besonderheit des Tests ist, dass alle vorgegebenen Antworten gültig sind. Damit wird nochmals der Charakter einer Lernsicherung bestätigt und im Gegenzug der Charakter einer Leistungsüberprüfung negiert.

Grundlegende Schutzmaßnahmen und Accountschutz sind unerlässlich, halten aber kriminelle Akteure im Internet nicht uneingeschränkt fern. Beim Phishing versuchen Angreifer, ihre Zielperson zur Preisgabe von sensiblen Daten zu verleiten oder Schadsoftware zu verbreiten und damit Geräte zu infizieren. In dieser Unterrichtseinheit geht es darum, solche Gefahren und deren Merkmale zu erkennen, sich zu schützen und zu wissen, was im Schadensfall zu tun ist. Die Unterrichtseinheit ist der zweite Themenblock des Medienpakets zur Cybersicherheit. Sie bearbeitet Schutzmaßnahmen, die neben dem Basisschutz gleichwertig wichtig, aber anders angelegt sind. Während die Basisschutzmaßnahmen Barrieren gegen Angreifer bieten oder für technische Sicherheit sorgen, können Phishing-Versuche und die Infektion mit Schadprogrammen nicht gänzlich von vorneherein vereitelt werden. Stattdessen muss man aufmerksam sein und sie – bildlich gesagt – ins Leere laufen lassen. Der erste Schritt für den Schutz ist, der möglicherweise eigenen Betroffenheit wachsam gegenüberzustehen und sich der Gefahren bewusst zu sein. Deshalb beginnt die Unterrichtseinheit mit einem fiktiven Beispiel einer verdächtigen E-Mail aus der Lebenswelt der Jugendlichen – aus dem Bereich Online-Spiele. Daran anknüpfend sprechen die Schülerinnen und Schüler über eigene Erfahrungen mit Phishing. Im Kern vermittelt die Unterrichtseinheit, wie man verdächtige Nachrichten erkennt und welche Absichten Angreifer damit verfolgen. Da es mehrere Unterarten von Phishing und viele Formen von Schadsoftware gibt, können diese nur kurz angesprochen werden. Danach fokussiert sich die Unterrichtseinheit darauf, dass in den meisten Fällen ähnliche Prinzip zu erläutern und konzentriert sich auf grundlegende und vor allem auch praktikable Handlungsempfehlungen zum Schutz. Im Mittelpunkt steht der Appell, keinesfalls auf die in den Nachrichten enthaltenen Anforderungen einzugehen und zum Beispiel keine Call-to-Action-Buttons oder Links anzuklicken und keine Downloads auszuführen. Dazu gibt es konkrete Tipps auf jedem Arbeitsblatt. Zum Schluss wird das Thema Identitätsdiebstahl vertieft. Dies erfolgt anhand eines Beispiels mit einem ziemlich überraschenden Schadensszenario zum Online-Shopping. Der Hacker schädigt einen Dritten finanziell über die gehackten Mail- und Social-Media-Konten eines Jugendlichen und eine nicht erkannte Fake-Nachricht. Das führt vor Augen, wie auch Jugendliche von Finanzbetrügerei betroffen sein können. Zusätzlich zu dieser Unterrichtseinheit können die Schülerinnen und Schüler in der interaktiven Übung „Stationen WhatsApp-Nachricht“ den „unsichtbaren Weg“ digitaler Kommunikation anhand der durchlaufenden Stationen einer WhatsApp-Nachricht entdecken. Dazu begleiten die Schülerinnen und Schüler den Weg einer Nachricht aus Deutschland bis nach Australien anhand einer Bildsequenz, die in die korrekte Reihenfolge gebracht werden muss. Die interaktive Übung kombiniert dabei kurze Erklärungen und Visualisierungen, um technische Abläufe verständlich und greifbar zu machen. Die erste Unterrichtseinheit behandelt das Thema Schutzmaßnahmen Smartphone- und App-Sicherheit und die dritte Unterrichtseinheit thematisiert den Accountschutz . Der Inhalt dieser Unterrichtseinheit rückt vor allem das eigene Verhalten in den Vordergrund – nämlich den Angriff zu erkennen und den Forderungen des Angreifers nicht nachzukommen. Das gilt auch für Schadsoftware, wenn sie getarnt als Anhang oder Link in Nachrichten auf das Gerät des Opfers geschickt wird und der User die Schadsoftware beim Download oder Anklicken unbemerkt installiert. Die didaktische Reihung des Lernstoffs ergibt sich bei dem Thema wie folgt: Die Schülerinnen und Schüler werden für die Gefahren sensibilisiert und gewinnen die Einsicht, dass auch sie betroffen sein können. Sie sollen lernen, dass sie aufmerksam sein müssen, um verdächtige Nachrichten zu identifizieren und Schutzmaßnahmen kennen und nutzen sollten. Zudem sollen sie lernen, was im Ernstfall zu tun ist. Dieses Wissen wird zunächst für Phishing erarbeitet, wo es darum geht, nicht auf Betrugsversuche und Forderungen eines Absenders einzugehen, der an Daten gelangen will. Dann folgt die Bearbeitung des Themas Schadsoftware. Hier muss die Interaktion mit verdächtigen Inhalten und das Herunterladen von getarnten schädlichen Dateien vermieden werden. Schadsoftware kann über Dateianhänge oder infizierte Webseiten (Link in der Nachricht) verbreitet werden und auf das eigene Geräte gelangen. Beide Themen bilden die Grundlagen, die abschließend durch das Thema Identitätsdiebstahl noch vertieft werden. Schadsoftware kann natürlich auch über andere Wege auf Smartphones oder Computer gelangen, wie es in der ersten Unterrichtseinheit thematisiert wird. Methodisch ist auch diese Unterrichtseinheit so angelegt, die Inhalte weitgehend selbstständig erarbeiten zu lassen. Auf jedem Arbeitsblatt erschließen sich die Schülerinnen und Schüler nach einer knappen Einführung oder einem Beispiel die Inhalte aus Videos und Arbeitstexten des BSI. Daran knüpfen jeweils Fragestellungen und Aufgaben an. Zum einen erstellen sich die Lernenden darüber schon selbst Handlungstipps, zum anderen gibt es am Ende des Arbeitsblatts kurze, zusammenfassende Praxistipps. Diese Arbeitsweise begründet sich dreifach. Sie sorgt lernpsychologisch für hohe Wirksamkeit. Den Schülerinnen und Schülern werden authentische Fachinformationen des BSI auf aktuellem Stand zugänglich gemacht. Nicht zuletzt wird eingeübt, was alle User digitaler Anwendungen zunehmend benötigen: sich in der schnell weiterentwickelnden digitalen Welt kontinuierlich relevante Informationen selbst zu erschließen. Fachkompetenz Die Schülerinnen und Schüler wissen, dass über E-Mail, SMS und weitere Kommunikationskanäle Nachrichten mit betrügerischen Absichten breit gestreut und oft willkürlich versendet werden und auch sie die Empfänger solcher Nachrichten sein können. verstehen, dass sie sich über den Basisschutz ihres Geräts und den Accountschutz hinaus auch gezielt gegen Phishing-Nachrichten absichern müssen. wissen, dass Phishing, Smishing, Quishing und Vishing zu Betrugszwecken genutzt wird und können wesentliche Formen von Schadsoftware unterscheiden. Medienkompetenz Die Schülerinnen und Schüler verstehen, dass Phishing (und vergleichbare Nachrichten) sie über gängige Kommunikationswege erreichen kann und sie zu einer Handlung veranlassen zu versuchen, über die der Absender z. B. an sensible Daten kommt. Diese können in der Folge für unterschiedliche betrügerische Zwecke genutzt werden. kennen wesentliche Kriterien, mit denen sich Phishing und andere Formen erkennen lassen. wissen, anhand welcher Merkmale sie betrügerische Nachrichten erkennen und mit welchen Maßnahmen sie sich schützen können. Sozialkompetenz Die Schülerinnen und Schüler verstehen, welche persönlichen Folgen es haben kann, wenn sich jemand durch Identitätsdiebstahl als ein anderer im Netz ausgibt und zum Beispiel Unwahres über den Geschädigten verbreitet oder ihn finanziell schädigt. wissen, dass persönliche Daten zur Privatsphäre gehören, in die kein Fremder und auch sonst niemand unerlaubt Einblick haben soll und darf.