Hi Etienne,
ich habe mir gerade auf einem Spaziergang ÃŒberlegt wie man eine
Unterichtseinheit fÃŒr mittlere Klassenstufen zum Thema
Computersicherheit aufbauen mÃŒsste. Dabei ist mir mal eine etwas andere
Idee gekommen, die ich hier mal einfach so in den Raum stellen wollte um
zu sehen ob das nur eine Schnapsidee ist oder ob mir da jemand folgen
kann...
Das eigentliche Thema der Computersicherheit ist m.E. Vertrauen. Darauf
basiert nÀmlich die komplette Computersicherheit. Wem kann ich vertrauen
wenn er behauptet dass seine Methode sicher ist? Warum kann man jemandem
vertrauen? Wie weit kann man jemandem vertrauen, und was sind Anzeichen
dafÃŒr mistrauisch zu werden?
Wenn man mit SHA1, RSA und Elliptical Curves auf 10-15 JÀhrige losgeht
dann wird das zu 99% schiefgehen, da bin ich ganz der Meinung von
Viktor. Aber wenn man sich im Unterricht gemeinsam ÃŒberlegt was denn
Vertrauen eigentlich ist dann kommt man ganz leicht dazu wie und warum
man einer E-Mail trauen kann oder nicht.
D.h. die EinfÃŒhrung in das Thema ist, dass man einige Beispiele bringt:
* Deine Mutter ruft dich an und sagt dass sie einen Bekannten schickt
um Dich von der Schule abzuholen
* Du bekommst einen einen Zettel auf dem ein Freund dich bittet ihm 5
Euro in euer Geheimversteck zu legen, weil er seinen Geldbeutel
verloren hat und jetzt nicht heimfahren kann. Einmal als
Computerausdruck, einmal als handgeschriebenen Zettel.
* Ein Polizist in Uniform schickt dich auf dem Schulweg auf einen
Umweg durch eine NebenstraÃe, weil der normale Weg gesperrt ist. Und
dasselbe Szenario mit einem Zivilpolizisten, einmal mit und einmal
ohne Ausweis.
* Ein Fremder schenkt Dir auf der StraÃe einen USB-Stick und behauptet
dass da ein tolles Spiel drauf ist wenn man die Setup.exe startet
Anhand dieser Beispiele können die SchÌler diskutieren was sie denn tun
wÃŒrden und worauf sie achten wÃŒrden. Worauf man als Lehrer etwas
hinsteuern sollte wÀren die Punkte
* Hat sich der Kommunikationspartner authentisiert? Also
o Hast Du die Stimme der Mutter am Telefon erkannt?
o Kennst Du die Handschrift deines Freundes?
o WeiÃt Du wie eine Polizei-Uniform oder ein Polizeiausweis ausschaut?
* Ist das Umfeld plausibel? Also
o Hat die Mutter vorher schon angekÃŒndigt dass sowas eventuell
passieren könnte? Kennst Du den Bekannten?
o Habt ihr das Geheimversteck schon frÃŒher benutzt?
o Ist zu erkennen dass auf dem normalen Schulweg ein kaputtes
Auto, eine Menschenmenge oder eine Feuerwehrleiter steht?
* Was kann denn passieren? Also z.B.
o Die 5 Euro sind weg
o Ein paar Àltere SchlÀger zocken Dir das Handy ab, weil das
Geheimversteck oder die NebenstraÃe in einer ÃŒblen Gegend liegt
o Auf dem USB-Stick ist kein Spiel sondern ein
Erpressungs-Trojaner, und alle Daten auf deinem Computer sind futsch
Jetzt kann man ÃŒberleiten auf E-Mails, und durchspielen was denn bei
einer E-Mail wegfÀllt.
* Der Absender der Mail kann jederzeit gefÀlscht werden. Am Besten
kommt das natÃŒrlich rÃŒber wenn man eine unsignierte Mail mit dem
Absender ***@deine-schule.de (oder einer anderen bekannten
Respektsperson) an einen SchÃŒler auf sein Handy schicken kann. Muss
man natÌrlich vorher ausprobieren, DKIM oder SPF können einem da
schon das Leben schwer machen, aber wenn es geht ist es vermutlich
doch recht eindrucksvoll. :-)
* Das bedeutet natÃŒrlich nicht unbedingt dass jede unsignierte Mail
gleich gefÀlscht ist. Wenn die Mutter das mit dem Abholen schon zu
Hause erwÀhnt hat, oder man den Bekannten selbst gut kennt spricht
nichts dagegen das zu glauben. Wie das bei den Beispielen mit den 5
Euros im Geheimversteck, der Umleitung der Polizei oder der Mail mit
dem angehÀngten Spiel ist sollen sich die SchÌler selbst Ìberlegen.
Das sollte relativ frei zu der Frage fÃŒhren was man denn tun kann damit
ein Mail-Absender sich authentifizieren kann. Hier muss man vermutlich
zum Frontalunterricht wechseln und ein bischen dozieren, ÃŒber
Zertifikate und CAs. Auch hier besteht natÃŒrlich genau dasselbe Problem,
warum kann ich denn einem Zertifikat trauen? Warum kann ich dem Lehrer
trauen wenn er mir erzÀhlt dass Mails mit Zertifikaten sicher sind?
Vermutlich ist es produktiver wenn man dieses Thema auf das Ende der
Unterrichtseinheit verlegen kann, weil man hier leicht sehr viel Zeit
verlieren kann.
Im Idealfall hat die Schule jetzt bei CAcert eine Organisation Assurance
mitgemacht und der Lehrer ist ein Org Admin. Dann kann er jedem
SchÃŒler/jeder SchÃŒlerin ein E-Mail-Zertifikat der Schule mit
"OU=SchÃŒler" ausstellen, sofern er/sie einen SchÃŒlerausweis dabei hat
oder persönlich bekannt ist. Dann ist die Hausaufgabe/der Arbeitsauftrag
das CAcert-Zertifikat auf dem Handy oder dem heimischen Rechner zu
installieren und eine signierte Mail an den Lehrer zu schicken. DafÃŒr
sollte man sich natÃŒrlich ggf. eine Ausnahmegenehmigung holen dass die
Handys wÀhrend des Unterrichts genutzt werden dÌrfen... :-)
Alternativ kann man sich selbst eine CA bauen, die eine Woche nach dem
Vortrag ablÀuft. Das ist natÌrlich ein bischen mehr Arbeit...
Ãbrigens: Das VerschlÃŒsseln an dieser Stelle eigentlich nur das Zuckerl,
das man mit Zertifikaten als "kostenlose Dreingabe" bekommt.
VerschlÌssen alleine ist (zumindest in diesem Kontext) völlig sinnlos
wenn man nicht weià wer der VerschlÌsselnde war. Das muss natÌrlich
nicht unbedingt mittels Zertifikaten passieren, aber wenn man eine
verschlÌsselte aber unsignierte Mail erhÀlt dann ist die in diesem
Vertrauens-Kontext exakt genauso zu behandeln wie wenn es eine
unverschlÌsselte Mail wÀre. D.h. auf die "Ich habe ja nichts zu
verbergen"-Diskussion muss man sich hier nicht einlassen. Das ist ein
komplett eigenes Thema. Ein sehr sinnvolles Thema, aber eines das meiner
Erfahrung nach schwieriger zu behandeln ist...
So, hat es irgendjemand bis hierher geschafft?
Wenn ja, hilft das weiter? Kann das jemand in eine konkrete Form bringen
oder das einmal mit einer Schulklasse ausprobieren? Kriegt das jemand
hin dass er/sie mit einem CAcert Org-Account auf die Schnelle 20-30
SchÃŒlern ein Zertifikat ausstellen kann?
Ich wÀre echt neugierig ob das klappt. Ich habe schonmal einen Àhnlichen
Vortrag vor einer Schulklasse gehalten, aber ich fÃŒrchte ich war damals
zu technisch...
MfG
Ted
Post by e***@cacert.orgDiese Nachricht wendet sich an alle, die ausser zu CAcert auch irgend einen
Bezug zu Kindern im Alter von ca. 4-18 Jahren haben.
Die deutschsprachigen Kantone der Schweiz fÌhren zur Zeit neue LehrplÀne an
der Volksschule ein, welche untereinander stark koordiniert sind (sogenannter
Lehrplan 21). Ich habe die CAcert evtl. betreffenden Stellen herausgesucht auf
der Seite https://wiki.cacert.org/Lehrplan21 eingestellt.
Nun suche ich alle möglichen neuen Ideen und BezÌge zu bereits bestehendem,
wie man diese Vorgaben mit Hilfe von CAcert oder einem Dienst von CAcert in
den Unterricht einbauen könnte.
Ich werde diese bei den jeweiligen "Kompetenzen" einbauen, aber auch auf der
Seite https://wiki.cacert.org/CAcertAtSchool/DE, wo sie unabhÀngig vom Land
allen Schulen zur VerfÃŒgung stehen.
Ich denke, das ist eine grosse Chance fÃŒr uns, denn das Fach "Medien und
Informatik" ist neu und da kann noch niemand auf Bestehendes zurÃŒckgreifen.
Ich freue mich auf alle Antworten, von einigen Stichworten hin bis zu fertigen
Unterrichtsreihen ;-) -- sei es hier oder an mich direkt.
Freundliche GrÃŒsse
Etienne Ruedin