Beschreibung der Unterrichtsreihe - Medienwissenschaft Universität ...

Weitere Magazine

Empfehlungen

Info

Notwendigkeit des Vorsatzes gehe zwar nicht aus dem Gesetzestext selbst, wohl aber aus einer EU- Richtline, die das Gesetz umsetzt, hervor. In der Anhörung des Gesetzes wurde darauf hingewiesen, dass die entsprechende Passage im Sinne der Richtlinie auszulegen sei, was das BVG mit der Ablehnung der Beschwerde tat. Begründung der Ablehnung der Beschwerde durch das BVG zum Nachlesen: http://www.bundesverfassungsgericht.de/entscheidungen/rk20090518_2bvr223307.html. Der Einsatz zu Zwecken der Lehre ist somit statthaft solange Schülerinnen und Schüler darauf hingewiesen werden, dass die Anwendung außerhalb eines eigenen Netzwerks (z.B. Portscannen auf Rechnern im Internet) eine strafbare Handlung darstellen kann. Unabhängig von der juristischen Lage sollte man sich als Pädagoge fragen, ob es sinnvoll ist, Schülerinnen und Schülern aktiv solche Werkzeuge anzubieten. Hier bietet Socket Sniff gegenüber anderen Netzwerkanalysewerkzeugen wie Wireshark den Vorteil, dass es nur solchen Netzwerkverkehr wiedergibt, der auch an eine auf dem Computer des Benutzers laufende Anwendung adressiert ist und so kein Mitlesen von Nachrichten erlaubt, die für andere Computer bestimmt sind. Lernabschnitt 2: Welche Gefahren bestehen bei der Kommunikation über öffentliche Medien? (2h) In diesem Lernabschnitt werden die Schülerinnen und Schüler in einer fiktiven Situation verschiedene reale Gefahren der Kommunikation im Internet erleben. Dazu senden sie sich – wie bereits im Lernschritt zur Rekonstruktion der Protokolle SMTP und POP3 – fiktive Nachrichten über einen auf dem Lehrerrechner (oder einem anderen Rechner mit angeschlossenem Video-Projektor) gestarteten E- Mail-Server. Eingangs empfangen die Schülerinnen und Schüler eine E-Mail, deren Absender sich offensichtlich als jemand anderes ausgibt (z. B. die Bundeskanzlerin). Ausgehend von einer ersten Einordnung der E-Mail ("Hier geht etwas nicht mit rechten Dingen zu!") bekommen die Schülerinnen und Schüler den Auftrag zu beobachten, wie die Lehrerin/ der Lehrer die Kommunikation stört. Simuliert werden in diesem Zusammenhang: • das Vortäuschen einer falschen Identität auf Client-Seite • das Mitlesen von Nachrichten inkl. Zugangsdaten zum Postfach auf dem Kommunikationsweg • die Manipulationen von Nachrichten auf dem E-Mail-Server Das Mitlesen der Zugangsdaten ist mit Socket Sniff nicht möglich. Hier bietet sich das wesentlich mächtigere Netzwerkanalysewerkzeug Wireshark an (Nutzung nur durch den/die Lehrer/in, siehe Anleitung "Netzwerkkommunikation mit Wireshark analysieren"). Der Lernabschnitt soll die Schülerinnen und Schüler für die Gefahren bei der Nutzung von E-Mail- Systemen sensibilisieren. Dabei bereitet er die Grundlage, die Verschlüsselung von Kommunikation als Notwendigkeit anzusehen. Das Argument „Ich habe nichts zu verbergen – warum sollte ich also meine Kommunikation sichern?“ wird in den Unterrichtsstunden unter anderem dadurch entkräftet, dass aufgezeigt wird, dass nicht nur das Mitlesen von E-Mails, sondern auch deren Manipulation mit einfachen Mitteln zu bewerkstelligen ist. Ziel ist es, dass die Schülerinnen und Schüler erkennen, dass elektronische Kommunikation die gleichen Anforderungen erfüllen sollte wie die Kommunikation per Post: Vertraulichkeit, Integrität und Authentizität. Wie diese drei Kernanforderungen durchgesetzt werden können und welche Aufgaben und Probleme sie der Informatik stellen, ist das Thema der folgenden Stunden – der Lernabschnitt wirft somit eine grundlegende Fragestellung der gesamten Unterrichtseinheit auf. E-Mail (nur?) für Dich – Beschreibung der Unterrichtsreihe 8
Sachanalyse Angriffe auf E-Mail-Konten und E-Mail-Verkehr stellen heutzutage eine ernstzunehmende Gefahr dar. Die Intentionen der Hacker können dabei durchaus differieren: Hauptgrund für einen Angriff ist meist die Hoffnung auf monetären Gewinn. Ist das E-Mail-Konto erst gehackt, so ist der Weg offen, weitere Systeme des Kontoinhabers, wie etwa Online-Banken (Neteller, Moneybookers, etc.) oder andere Systeme, die eine Umwandlung von virtueller in reale Währung ermöglichen („MMORPGS“, Glücksspielseiten u.ä.), anzugreifen. Ein weiterer Beweggrund kann politische oder Industrie-Spionage sein. Zuletzt können Hacks auch aus rein destruktiven Gründen durchgeführt werden. Die Angriffe können dabei sowohl zielgerichtet gegen Personen oder Institutionen (bzw. „User“), als auch breit gefächert gegen unbestimmte Ziele stattfinden. Die Angriffsmethoden sind dabei vielfältig – in dem vorliegenden Unterrichtsabschnitt werden exemplarisch drei Methoden analysiert. Grundsätzlich kann man zwischen zwei Formen von Angriffen unterscheiden: den „harten“, die ausschließlich durch technische Methoden realisiert werden und die „weichen“, die auf der Erlangung von relevanten Informationen durch sozialen Kontakt zum Angriffsziel basieren (Stichwort: „social hacking“). Die drei Gefahren, die Inhalt des Lernabschnitts sind wurden so gewählt, dass die Schülerinnen und Schüler in der Lage sind, die drei Anforderungen an sichere Kommunikation (Integrität, Authentizität und Vertraulichkeit) zu erarbeiten: Das Vortäuschen einer falschen Identität auf Client-Seite geschieht über die Manipulation des E-Mail- Headers. Dieser enthält Informationen über den Absender, den Empfänger, das Datum und den Weg der E-Mail. Eine solche Manipulation kann ohne großen Aufwand mittels Programmen wie Outlook oder Thunderbird durchgeführt werden (Informationen zu Durchführung siehe unten: „Informationen zur Durchführung“). Für diese Art der Manipulation ist kein Zugriff auf ein fremdes E-Mail-Konto von Nöten. Das Mitlesen von E-Mails (inklusive übermittelter Passwörter) kann über einen so genannten „man-inthe-middle-attack“ durchgeführt werden. Der Angreifer benötigt dafür Zugriff auf einen Vermittlungsrechner (den er selbst künstlich zwischenschaltet). Er kann somit jeglichen Datenverkehr eines Netzes über den „gefälschten“ Vermittlungsrechner leiten und diesen mittels spezieller Programme (z.B. Wireshark) mitlesen. Filtert man diesen Datenverkehr nach den einschlägigen Protokollen (POP3, SMTP), so können gezielt E-Mail-Verbindungen analysiert werden. Die dadurch gewonnen Passwörter können anschließend dafür genutzt werden, sich in das angegriffene Mailkonto einzuloggen. Das dritte Szenario simuliert, welche Auswirkungen es hat, wenn ein Angreifer direkten Zugriff auf einen E-Mail-Server besitzt. Auf dem Server befinden sich alle gesendeten und empfangenen Nachrichten des Clients (sofern dieser sie nicht gelöscht hat). Besitzt ein Angreifer Zugriff auf diese Daten, so kann er die E-Mails nicht nur mitlesen, sondern sie auch nach Belieben modifizieren. Es sei an dieser Stelle noch einmal darauf hingewiesen, dass der Lernabschnitt nur einen Ausschnitt der möglichen Angriffsmethoden behandelt. An dieser Stelle können natürlich nach Belieben auch weitere Methoden behandelt werden (z.B. Angriffe über die „Sicherheitsfrage“ von E-Mail-Konten oder „social hacking“). Standardbezug Die Schülerinnen und Schüler ... • … reagieren angemessen auf Risiken bei er Nutzung von Informatiksystemen. • … stellen Fragen und äußern Vermutungen über informatische Sachverhalte. • … gewichten verschiedene Kriterien und bewerten deren Brauchbarkeit für das eigene Handeln. E-Mail (nur?) für Dich – Beschreibung der Unterrichtsreihe 9
Seite 1 und 2: E-Mail (nur?) für Dich - Beschreib
Seite 3 und 4: Notwendige Vorkenntnisse Dies erfor
Seite 5 und 6: Nachrichten und meldet sich anschli
Seite 7: • Anleitung Unterhaltung mit eine
Seite 11 und 12: Durchführung Das folgende Szenario
Seite 13 und 14: Lernabschnitt 3: Wie kann ich mit V
Seite 15 und 16: Optionaler Einstieg: Der Goldkäfer
Seite 17 und 18: E-Mail-Client zum entschlüsseln in
Seite 19 und 20: Stunde 9: Trennung von Ver- und Ent
Seite 21 und 22: Stunde 10: Das Prinzip der asymmetr
Seite 23 und 24: den eigenen Geburtstag zu chiffrier
Seite 25 und 26: Dieser Arbeitsschritt motiviert die
Seite 27 und 28: Programmen (z.B. Thunderbird oder O
Seite 29 und 30: 1. Das Echelon-System: Das Echelon-

Beschreibung der Unterrichtsreihe - Medienwissenschaft Universität ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?