Auch Betrüger nutzen die modernen Kommunikationstechnologien. Um Betrugsversuchen zu entgehen, ist ein gewissenhafter Umgang mit sensiblen Daten von großer Bedeutung. Dies sollte in Ausbildungsberufen des kaufmännischen Bereichs frühzeitig thematisiert werden. Der Schwerpunkt der Unterrichtsstunde liegt darin, dass die Lernenden das Phishing als eine Betrugsart, mit deren Hilfe sensible Daten ausspioniert werden, kennen lernen und erarbeiten, wie sie sich davor schützen können. Im Fach Organisationslehre wird im Bereich "Datenschutz und Datensicherheit" der Aspekt des gewissenhaften Umgangs mit persönlichen Daten fokussiert. In diesem Rahmen werden auch die ökonomischen Folgen der Beantwortung einer Phishing-Mail thematisiert. Eine didaktische Reduktion erfolgt in der Stunde dahingehend, dass auf die Erarbeitung von Sicherheitsmerkmalen einer E-Mail-Adresse, wie zum Beispiel die digitale Signatur, verzichtet wird. Dies kann Thema einer Folgestunde sein, wobei die Lernenden dann selbstständig eine digital signierte E-Mail schreiben sollten. Im Fokus der Unterrichtsstunde steht die Problematik des Phishings. Den Schülerinnen und Schülern werden hierzu ausgewählte Internetadressen zur Verfügung gestellt, mit deren Hilfe sie ihre Fragen zum Thema Phishing beantworten können. Unterrichtsablauf Der Ablauf der Unterrichtsstunde wird detailliert erläutert und die Einbindung der Arbeitsmaterialien beschrieben. Die Schülerinnen und Schüler sollen Kriterien ausmachen, anhand derer Phishing-Mails zu erkennen sind. Echtheitsmerkmale von Webseiten einer Bank kennenlernen. die erworbenen Kenntnisse bei der E-Mail aus der Einstiegssituation anwenden und sie als Phishing-Mail identifizieren. das Internet als Informationsquelle zur Bearbeitung der Arbeitsaufträge nutzen. durch die Arbeit mit Partnern ihre Team- und Kommunikationsfähigkeit verbessern. Thema Umgang mit sensiblen Daten - Phishing Autorin Nadine Passia Fach Organisationslehre Zielgruppe Kaufleute für Bürokommunikation, Bürokaufleute Zeitraum 1 Unterrichtsstunde Technische Voraussetzungen Mindestens ein Computer mit Internetanschluss für zwei Lernende, Lehrercomputer mit Beamer Planung Umgang mit sensiblen Daten - Phishing LATTINGER, H. (2001): Neues Lernen für die Informationsgesellschaft. Trendwende durch neue Technologien. In: SCHWETZ, H. / ZEYRINGER, M. / REITER, A. (Hrsg.): Konstruktives Lernen mit neuen Medien. Innsbruck, Wien, München, Bozen 2001. Die Lerngruppe wird aufgrund der besseren Anschaulichkeit für die Schülerinnen und Schüler induktiv, mithilfe einer Phishing-Mail, die bei einer Finanzbuchhalterin der Medienwelt GmbH eingeht, an den Lerninhalt herangeführt. Der Einstiegsfall ist zielgruppenadäquat formuliert, um so die Lernenden zur Mitarbeit zu motivieren. Sie können mithilfe der hier dargestellten Phishing-Mail erkennen, dass besondere Aufmerksamkeit bei der Eingabe von Daten geboten ist. Die Lernenden sollen darüber nachdenken und begründen können, ob Kontonummer, PIN und TAN eingegeben werden dürfen oder nicht. Sie formulieren selbstständig ihre Fragen zum Thema und halten diese schriftlich fest. Die Fragen werden anschließend an der Metaplanwand notiert. Parallel dazu trägt jemand die Fragen in eine vorbereitete Word-Datei ein. Zur weiteren Förderung des selbstständigen Lernens entscheiden die Lernenden anschließend im Plenum, welche der formulierten Fragen in der heutigen Stunde von ihnen unter Berücksichtigung der Bearbeitungszeit beantwortet werden sollen. Die Grundlage für die sich anschließende Erarbeitungsphase bilden die formulierten Fragen der Schülerinnen und Schüler. In Partnerarbeit recherchieren sie Antworten mithilfe vorgegebener Links im Internet, wobei die Ergebnisse in der zuvor erstellten Word-Datei gespeichert werden. Bei der anschließenden Präsentation stellen verschiedene Partnergruppen ihre Ergebnisse vor. Um möglichst viele präsentieren zu lassen, stellt jeweils eine Partnergruppe das Ergebnis einer Aufgabe vor. Hier sollten die Lernenden den Bezug zur E-Mail aus dem Einstieg herstellen um so ihre Ergebnisse zu verdeutlichen. Dies bietet sich zum Beispiel bei der Präsentation der Erkennungsmerkmale einer Phishing-Mail an. In der abschließenden Reflexion begründen die Schülerinnen und Schüler, ob Kontonummer, PIN und TAN eingegeben werden dürfen oder nicht und welche Folgen die Eingabe haben kann. Die präsentierten und besprochenen Ergebnisse werden durch die jeweiligen Schülerinnen und Schüler in einer Datei abgespeichert und der Lerngruppe zur Verfügung gestellt.

In dieser Unterrichtseinheit werden Schülerinnen und Schüler mit dem Phishing (Kurzform für Password-Fishing) konfrontiert. Mit diesem Kunstwort wird der Trick bezeichnet, mithilfe gefälschter E-Mails an vertrauliche, persönliche Daten zu gelangen. Die Verbreitung so genannter Phishing-Mails steigt rasant an. Nutzerinnen und Nutzer werden darin aufgefordert, Namen und Bankverbindungen preiszugeben und diese Daten zu versenden. Phisher versenden E-Mails, in denen zum Beispiel Bankkunden zu einem "Sicherheitscheck" aufgefordert werden. Die Mails enthalten Links zu gefälschten Webseiten, die der Original-Website des Geldinstituts zum Verwechseln ähnlich sehen. Dort werden die Kunden aufgefordert, ihre persönliche Geheimnummer (PIN) und die so genannte Transaktionsnummer (TAN) einzugeben.Die Schülerinnen und Schüler werden in dieser Stunde mit der Vorgehensweise der "Phisher" vertraut gemacht und somit für derartige Betrugsversuche sensibilisiert. Dieses Thema ist nicht nur gegenwärtig, sondern auch zukünftig von Bedeutung, da Betrüger immer wieder das Internet für ihre Zwecke nutzen werden. Somit steht der Lerninhalt exemplarisch für die Schulung des Sicherheitsdenkens im Umgang mit dem Internet wie auch generell mit personenbezogenen Daten. Ausgehend von einer echten Phishing-Mail und einer auf dem Server hinterlegten gefälschten Webseite der "Rastbank" sollen die Lernenden spontan äußern, was ihrer Meinung nach Merkmale sind, an denen sich die Echtheit einer Webseite und einer E-Mail zeigen. Ablauf des Unterrichts Ausgehend von einer echten Phishing-Mail und einer auf dem Server hinterlegten gefälschten Webseite der "Rastbank" sollen die Lernenden spontan äußern, was ihrer Meinung nach Merkmale sind, an denen sich die Echtheit einer Webseite und einer E-Mail zeigen. Die Schülerinnen und Schüler sollen Sicherheits- und Echtheitsmerkmale von Webseiten und E-Mails kennen lernen. durch die Darstellung einer Phishing-Mail diese als Betrugsversuch erkennen können. wissen, wie eine Phishing-Attacke generell abläuft und wie man sich davor schützen kann. das Internet als Informationsquelle nutzen und die benötigten Informationen auswählen. die Informationen strukturieren und gliedern. Hier ist zu erwarten, dass die Lernenden einerseits die URL, andererseits den Absender einer E-Mail nennen werden. Daraus folgt, dass die gezeigte E-Mail echt sein müsste und die Webseite demnach eine Fälschung. Da die vermeintlich echte E-Mail auf die gefälschte Webseite verweist, ergibt sich für die Lernenden ein Widerspruch. Diesen gilt es durch die Informationsrecherche im Internet aufzulösen. Da die E-Mail einen Link enthält, wird auch thematisiert, woran zu erkennen ist, auf welche Webseite ein Link führt. Durch die Internetrecherche wird nachgewiesen, dass ein solcher Link nicht zuverlässig ist. Die Lernenden erhalten ausgewählte Internetadressen, da eine eigenständige Recherche nicht in einer einzelnen Unterrichtsstunde zu bewältigen ist. Jeder Arbeitsauftrag umfasst zwei bis drei Teilaufgaben, so dass sich die Lernenden in der Gruppe hinsichtlich der Aufgabenverteilung und der Ergebniszusammenführung abstimmen müssen. Präsentation Abschließend werden die Ergebnisse der Gruppen präsentiert. Da es sich um eine arbeitsteilige Gruppenarbeit handelt, sollen die Lernenden nach der Präsentation Vorschläge machen, wie die Ergebnisse allen zur Verfügung gestellt werden können.

Der Wert der Datenbestände eines Unternehmens kann nicht hoch genug eingeschätzt werden. Umso wichtiger ist es für Auszubildende, die Bedeutung geeigneter Passwörter richtig einzuschätzen, um unbefugte Zugriffe auf wichtige Datenbestände zu verhindern. Datenbestände werden immer umfangreicher und stellen für ein Unternehmen einen besonderen Wert dar. Der Verlust von Daten kann die Existenz eines Unternehmens gefährden. Vor diesem Hintergrund erfordert die Thematik des Passwortmanagements eine explizite und umfassende Auseinandersetzung und wird für Beschäftigte zu Grundlagenwissen. Zudem erfordern technologische Veränderungen auch eine curriculare Anpassung der Themenbereiche ?Sicherheit und Datenschutz?. Sicherheitsrisiken bei der Nutzung von IT-Systemen werden in den Medien vielfach thematisiert. Die Umsetzung von Sicherheitsmaßnahmen wird hingegen meist als ein "notwendiges Übel" behandelt. Kenntnisse über derartige Sicherheitsrisiken gehören aber zu den wesentlichen Schlüsselqualifikationen im Berufsleben. Daher ist es wichtig, die Schülerinnen und Schüler für die Auswirkungen des Passwortmissbrauchs zu sensibilisieren. Ablauf des Unterrichts Der Verlauf der Unterrichtseinheit wird mithilfe von Folien und Arbeitsblättern unterstützt. Die Schülerinnen und Schüler sollen erkennen, dass Datenbestände einen besonderen Wert darstellen und ihr Verlust die Existenz eines Unternehmens gefährden kann. sichere Passwörter erstellen lernen. die Bedeutung des Themenbereichs für ihre eigene Zukunft erkennen. Das Lernziel ist erreicht, wenn die Schülerinnen und Schüler sichere Passwörter generieren. Thema Passwortmanagement Autor Dr. Ingo Benzenberg Fach Informationswirtschaft Zielgruppe Berufsfachschulen Zeitumfang Eine Unterrichtsstunde Technische Voraussetzungen Mindestens ein PC für zwei SchülerInnen, Browser Mozilla oder Mozilla Firefox Planung Sichere Passwörter Einstieg Der Einstieg erfolgt über einen an die Wand projizierten Zeitungsartikel. Dieser dient ei-nerseits der Begriffsklärung "Phishing" und andererseits soll hiermit die gesamte Lerngruppe in den Prozess der Problematisierung eingebunden werden. Die Schülerinnen und Schüler werden durch das Nennen hoher Geldbeträge im Artikel implizieren, dass das Thema Phishing es wert ist, behandelt zu werden. Eine Phishing-Mail, dargestellt mit einem von den meisten Schülerinnen und Schülern verwendeten Programm, soll das Interesse der Lerngruppe wecken und auch einen persönlichen Bezug herstellen. Ich gehe davon aus, dass nur wenige Schülerinnen und Schüler auf Anhieb erkennen werden, dass es sich hier um eine E-Mail handelt, die zum Ziel hat, Passwörter auszuspionieren. Somit wird die Frage im Raum stehen, woran eine echte Mail von einer Bank zu erkennen ist. Im Anschluss an die Klärung dieser Frage werden weitere Möglichkeiten der Passwortspionage thematisiert. Hierbei wird das Phishing im Unternehmen fokussiert und die Qualität von Passwörtern in den Mittelpunkt gestellt. Dabei wird die These vertreten, dass bei einer geringen Passwortqualität, die Phisher sich erst gar nicht die Mühe der fingierten Mails machen brauchen, da einschlägige Software die Passwörter in Minuten identifiziert hätte. Erarbeitung Infolgedessen muss neben einem "kritischen Bewusstsein" für eventuell fingierte Passwortabfragen die Qualität von Passwörtern betrachtet werden. Der Passwort-Qualitätsmesser im Browser "Mozilla" ermöglicht den Schülerinnen und Schülern eine eigenständige Generierung mit anschließender Qualitätsprüfung von Passwörtern. Sicherung Die Lerninhalte sollen über einen Multiple-Choice-Test gesichert werden. Eine Leistungsbewertung wird mit dem Test nicht verfolgt. Dies wird den Schülerinnen und Schülern auch mitgeteilt. Eine weitere Besonderheit des Tests ist, dass alle vorgegebenen Antworten gültig sind. Damit wird nochmals der Charakter einer Lernsicherung bestätigt und im Gegenzug der Charakter einer Leistungsüberprüfung negiert.