Zur Hauptnavigation springen [Alt]+[0] Zum Seiteninhalt springen [Alt]+[1]

Sicherheit bei mobilen Geräten

Hintergrund: 06_run_hintergrund_sicherheit.odt

Wenn ein Smartphone verloren geht, ist der Verlust inzwischen nicht mehr nur auf den Wert des Geräts beschränkt. Ein Smartphone enthält inzwischen eine Menge persönlicher Informationen, die von einem Dieb ausgenutzt werden können. Das sind zum einen Zugangsdaten zu verschiedenen Online-Diensten und zum anderen enthalten App Stores z.B. Zahlungsinformationen, über die ein Dieb auf Kosten des Eigentümers digitale Waren einkaufen kann.

Zur Vorbereitung auf die Stunde sollte die Hausaufgabe aus 01_run_ab_handyverlust.odt gestellt werden. Die Aufgabe in der Stunde selbst bearbeiten zu lassen, ist weniger sinnvoll, da das Schreiben einer brauchbaren Geschichte länger dauert und somit wenig Unterrichtszeit zur Besprechung übrig bleibt.

Idealerweise gehen die Schüler in ihren Geschichten auf Aspekte wie dem Missbrauch persönlicher Daten, Identitätsdiebstahl in sozialen Netzwerken und Betrug durch das Bezahlen über den App Store ein.

Im Unterricht sollte dann besprochen werden, wie die Probleme vermieden werden können. Gemeinsam werden die verschiedenen Verhaltensmaßnahmen (Bildschirmsperre, IMEI-Nummer aufschreiben usw.) besprochen und es sollte auf Vor- und Nachteile hingewiesen werden. Dazu sollte zur Datensparsamkeit angehalten werden: Was gar nicht erst auf dem Smartphone ist, kann nicht damit gestohlen werden.

Als Ergebnissicherung könnten eine Reihe von Sicherheitshinweisen erstellt werden, die einerseits im Vorfeld ergriffen werden und die andererseits im Fall des Diebstahls notwendig sind.

Datensicherheit und Verschlüsselungsverfahren

Hintergrunddokument: 07_run_hintergrund_kryptografie.odt

Dieses Dokument geht deutlich über die in Klasse 7 verlangten Inhalte hinaus. Es dient dem Lehrer zur fachlichen Vorbereitung und zeigt, welche Inhalte im Bereich der Kryptologie in den darauffolgenden Jahren von den SchülerInnen gelernt werden sollen.

Das Internet stellt ein Medium für den Datentransport zur Verfügung. Viele verschiedene Anbieter stellen Dienste zur Datenspeicherung, zur Kommunikation, für Bankgeschäfte usw. zur Verfügung. Diese Dienste sind praktisch und werden zunehmend mehr genutzt. Auf der anderen Seite wird von Kriminellen (z.B. Phishing, Diebstahl von Zugangsdaten oder Kreditkartendaten) oder auch staatlichen Behörden (z.B. NSA-Skandal) versucht, die Daten auszuspähen oder Server anzugreifen. Jedem, der das Internet nutzt, sollte bewusst sein, wie sicher oder unsicher die Nutzung des Internets ist.

Grundsätzlich spielten bei der Konzeption des Internet Fragen der Datensicherheit keine große Rolle. Bei der Datenübertragung wird lediglich sicher gestellt, dass die Daten vollständig und ohne Übertragungsfehler ankommen. Gegen Mitlesen oder bewusster Veränderung der Daten sind keine Maßnahmen ergriffen worden. Erst durch den Einsatz von Verschlüsselungsverfahren (z.B. https statt http als Übertragungsprotokoll beim WWW) werden die Vertraulichkeiten und Datenintegrität gewährleistet. Ohne diese Maßnahmen ist das Internet vergleichbar mit dem Versenden von Postkarten. Jeder Postbote (entspricht den Routern im Internet) kann die Postkarte lesen, wegwerfen, verändern, austauschen usw.

WhatsApp hat erst im Jahr 2016 eine Verschlüsselung der Nachrichten eingeführt. Davor wurden die Nachrichten unverschlüsselt übertragen. Nun sind die Daten Ende-zu-Ende verschlüsselt. Dies wird den Nutzern bei jedem neuen Kontakt einmal mitgeteilt. Die SchülerInnen kennen diese Meldung, wissen aber in der Regel nicht, was sie bedeutet. Daher bietet sich dies als Einstieg in diese Thematik an. Aber auch bei der Nutzung von Cloud-Datenspeichern kann man sich überlegen, dass der Administrator ohne Verschlüsselung Zugriff auf die gespeicherten Daten hat. Dies ist bei sensiblen Daten sicher nicht erwünscht.

WhatsApp tauscht am Beginn des Chats mit einem asymmetrischen Verschlüsselungsverfahren die Schlüssel für ein symmetrisches Verfahren aus. Danach wird dieses symmetrische Verfahren für die Verschlüsselung der Nachrichten verwendet. Das asymmetrische Verfahren ist notwendig, da die Apps der Kommunikationspartner ohne ein Zutun der Nutzer einen Schlüsselaustausch durchführen sollen. Auch die Firmenzentrale/Server von WhatsApp besitzen die Schlüssel zum Entschlüsseln der Nachrichten (auch der Bilder) nicht. Diese asymmetrischen Verfahren sind leider recht schwer zu verstehen und daher für Klasse 7 noch nicht geeignet. In Klasse 7 sollen anhand von einfachen symmetrischen Verfahren einige grundlegende Begriffe (Klartext, Kryptotext, Schlüssel, Verschlüsselungsverfahren, Verschlüsseln, Entschlüsseln) eingeführt und eingeübt werden. Mögliche Angriffe (Brute Force und Häufigkeitsanalyse) auf diese Verfahren zeigen, dass sie noch nicht sicher genug sind. Sichere, in der Praxis verwendete Verfahren (z.B. AES – Advanced Encryption Standard) sind aber deutlich komplizierter und können in der Schule im Detail nicht besprochen werden. Bei der Verwendung eines symmetrischen Verfahrens zum Austausch geheimer Nachrichten innerhalb der Klasse wird auch die Problematik des Schlüsseltauschs deutlich. Dieser kann nicht ebenfalls auf einem Zettel durch die Klasse geschickt werden, sondern muss im Vorfeld in geheimer Absprache festgelegt werden (ein sicherer Kanal ist notwendig).

Der Einstieg in die Thematik erfolgt wieder über eine Präsentation: 03_run_sicherheit_im_internet.odp. Dabei wird wieder ausgehend von Ende-zu-Ende-Verschlüsselung von WhatsApp und Speicherung von Daten in der Cloud deutlich gemacht, wer Zugriff auf unverschlüsselte Daten hätte. Die grundlegenden Fachbegriffe der Kryptologie sollten anhand dieser Präsentation eingeführt werden. Es muss darauf geachtet werden, für die Ver-/Entschlüsselung nicht das Wort Codierung zu benutzen, da ein Code im Allgemeinen keinen geheimen Schlüssel verwendet (z.B. ASCII-Code). Ein Synonym zu Verschlüsselung wäre Chiffrierung.

Danach sollen die SchülerInnen zwei einfache Verfahren (Cäsar-Verschlüsselung und monoalphabetische Verschlüsselung) kennenlernen. Sie lernen zunächst jeweils das Verfahren kennen, verschicken Nachrichten in der Klasse und versuchen dann, den Code zu brechen. Dazu benötigen sie beim Cäsar das Arbeitsblatt 05_run_ab_caesar.odt und die Bastelmaterialien 05_run_caesar-rad.pdf und dazu je eine Musterbeutelklammer. Einige ergänzende Fragen runden das Aufgabenblatt ab. Die Lösungen befinden sich im Unterordner Lösungen. Den Angriff auf die Verschlüsselung kann man auch zeitgleich mit der ganzen Klasse durchführen und jedem Schüler eine Verschiebung zuordnen. Das beschleunigt das Brute-Force-Verfahren.

 

Unterrichtsverlauf: Herunterladen [odt][103 KB]

Unterrichtsverlauf: Herunterladen [pdf][147 KB]

 

Weiter zu Verschlüsselungsverfahren Teil 2