Es gibt viele Möglichkeiten, um persönliche Daten auf digitalen Geräten und in der Cloud zu schützen. Wie funktioniert die verschlüsselte Datenübertragung über HTTPS? Und wie kann man eine Zwei-Faktor-Authentifizierung für das Login aktivieren?
Arbeitsmittel
Arbeitsblatt
Info für Lehrer*innen
Eingeloggte Lehrer*innen werden hier durch Unterrichtsvorschläge und Zusatzinformationen zur Seite und zu Lernzielen unterstützt. Mehr zu SchuBu+
Persönliche Daten
Es gibt Informationen, die man am liebsten nur für sich selbst behalten oder nur mit bestimmten Personen teilen möchte.
Ordne die Daten über dich in die Kategorien ein!
Für alle sichtbar
Nur für mich und bestimmte Personen
Nur für mich
Liebesbrief
Arztdiagnose
Portraitfoto
Tagebucheinträge
Faschingsfotos
Social Media Posts
Passwörter
Wohnadresse
Username auf Social Media
Zeugnis
Vergleiche deine Ergebnisse mit deiner Sitznachbarin oder deinem Sitznachbarn! Besprecht gemeinsam folgende Fragen:
Unterscheidet sich eure Zuordnung? Wenn ja, begründet jeweils eure Entscheidung!
Fallen euch weitere Daten ein, die ihr nur für euch behalten würdet?
Entspricht eure Zuordnung hier auch eurem realen digitalen Auftritt?
Unknackbare Sicherheitsstandards?
Informationen, die auf einem Account im Internet (bzw. in der Cloud) gespeichert sind, können grundsätzlich nur durch Anmeldung mit Username und Passwort angesehen werden. Die Anbieter von solchen Plattformen sind gesetzlich dazu verpflichtet, die Sicherheitsstandards in der EU einzuhalten. Solange die Anbieterfirma keine Fehler bei der Implementierung der Sicherheitsmechanismen gemacht hat, ist es für Cyber-Kriminelle fast unmöglich an persönliche Daten zu kommen.
Abb. 1
Unknackbar?
Hackerinnen und Hacker haben jedoch andere kreative Wege entwickelt, um diese Sicherheitsstandards zu umgehen und an Login-Daten zu gelangen. Beispielsweise könnte jemand, der den Benutzernamen kennt, automatisiert beliebte Passwörter oder zufällige Zeichenkombinationen ausprobieren, bis das Login irgendwann klappt. Diese Möglichkeit wird durch die Anbieter meist unterbunden, indem ein Konto nach einer bestimmten Anzahl von Fehlversuchen gesperrt wird.
Info für Lehrer*innen
Mit SchuBu+ erhalten Lehrer*innen hier kontextbezogene Zusatzinformationen, wie Lösungsvorschläge und Tipps für den Unterricht.
Abb. 2
Manche Passwörter lassen sich leicht knacken.
Beliebte Passwörter, die leicht zu erraten sind und daher vermieden werden sollten:
Einfache Zahlenreihenfolgen (z. B. 123456)
Das Wort Passwort selbst (z. B. passw0rd)
Tastaturmuster (z. B. qwertyuiop)
Standardbenutzernamen (z. B. administrator)
Offensichtliche Phrasen (z. B. letmein)
Persönliche Ausdrücke (z. B. iloveyou)
Allgemeine Wörter (z. B. princess)
Beliebte Sportarten (z. B. fussball)
Verschlüsselung von Daten
Damit geheime Daten nicht einfach gelesen werden können, wenn Unbefugte sich Zugriff dazu verschaffen, werden diese verschlüsselt. Lange bevor es Computer gab, war man bereits daran interessiert, wichtige Informationen zu verschlüsseln.
Cäsar-Verschlüsselung
Der römische Kaiser Gaius Julius Cäsar verwendete bereits 100 v. Chr. eine einfache Art der Verschlüsselung, um Nachrichten über seine militärischen Operationen geheim zu halten. Dabei verschob er die einzelnen Buchstaben seiner Nachricht einfach um 3 Stellen im Alphabet nach rechts. Das sah dann in etwa so aus:
A D
B E
C F
...
X A
Y B
Z C
Um eine Nachricht lesen zu können, verschoben die Empfänger von Cäsars Nachrichten die Buchstaben wieder um 3 Stellen im Alphabet nach links.
Abb. 3
Eine drehbare Scheibe hilft bei der Verschlüsselung mittels „Verdrehung“ des Alphabets.
Überlege, um wie viele Stellen das Alphabet auf der Scheibe am Bild verschoben wird?
Hier wird zum Beispiel aus dem „A“ ein „R“. Das entspricht einer Verdrehung um 17 Stellen.
Die Zahl „17“ wird hier auch als Schlüssel bezeichnet.
Drehe die Cäsar-Scheibe auf die eine Position (Schlüssel) und verschlüssle deine Nachricht
oder trage eine verschlüsselte Nachricht ein, um sie zu entschlüsseln!
Info für Lehrer*innen
Mit SchuBu+ erhalten Lehrer*innen hier kontextbezogene Zusatzinformationen, wie Lösungsvorschläge und Tipps für den Unterricht.
Entschlüssle die versteckte Botschaft mit dem Cäsar-Algorithmus und knacke das Schloss!
MDTMYDGM (Schlüssel: 25)
Info für Lehrer*innen
Mit SchuBu+ erhalten Lehrer*innen hier kontextbezogene Zusatzinformationen, wie Lösungsvorschläge und Tipps für den Unterricht.
Wenn alle Texturen, Bilder und Grafiken von dir selbst erstellt, gemalt oder gezeichnet worden sind, dann stehen sie bei einer Veröffentlichung automatisch unter CC BY-ND. Außer den selbst gemachten dürfen auch Grafiken enthalten sein, die ausdrücklich OHNE NAMENSNENNUNG frei verwendbar sind, dann stehen alle Grafiken, auch deine eigenen, nach Veröffentlichung unter CC0.
Die Texturen sollten genau 62 x 62 Pixel groß sein
Wenn alle Musikstücke und Geräusche von dir selbst erstellt, gesungen, gespielt und komponiert worden sind, dann stehen sie bei einer Veröffentlichung automatisch unter CC BY-ND. Außer den selbst gemachten dürfen auch Sounds enthalten sein, die ausdrücklich OHNE NAMENSNENNUNG frei verwendbar sind, dann stehen alle Sounds, auch deine eigenen, nach Veröffentlichung unter CC0.
Spiel veröffentlichen
Die Cäsar-Scheibe kann man auch sehr einfach selbst nachbasteln!
Computer Verschlüsselung
Bei der sogenannten Blockverschlüsselung wird mittels Computer-Algorithmen aus einem Klartextblock mit vorgeschriebener Länge ein Geheimtextblock mit einer fixen Länge erzeugt.
Blocklängen von zumindest 32 Zeichen gelten heutzutage als sicher, denn für deren Entschlüsselung ohne Kenntnis des Schlüssels würde ein aktueller Computer Milliarden Jahre brauchen.
Verschlüssle deine Geheimbotschaft!
Public Key Verschlüsselung
Bei den bisher betrachteten Verschlüsselungsverfahren wird zum Verschlüsseln und Entschlüsseln der selbe Schlüssel verwendet. Anders ist es bei der Public Key Verschlüsselung. Hier gibt es 2 Schlüssel: den privaten Schlüssel (private key) und den öffentlichen Schlüssel (public key).
Der öffentliche Schlüssel wird zur Verschlüsselung von Nachrichten benutzt. Entschlüsselt werden können die Nachrichten nur mittels dem privaten Schlüssel.
Alice und Bob möchten sich gegenseitig Nachrichten senden, ohne dass jemand anderer diese lesen kann.
Beobachte, wie es ihnen dies mittels „public key“-Verschlüsselung gelingt.
Quantenverschlüsselung
Funktionstüchtige Quantencomputer werden vorraussichtlich herkömmliche Verschlüsselungen in einem Bruchteil der Zeit entschlüsseln können.
Bis dahin vergehen aber wohl noch einige Jahre.
Lies den Text und mache die Textverständnisübungen!
Übertragung von Daten mit HTTPS
Informationen im Internet werden standardmäßig unverschlüsselt über das Netzwerk übertragen – sogar Passwörter. Somit können alle Personen im gleichen Netzwerk (zum Beispiel im selben WLAN) die übermittelten Informationen mitlesen. Aus diesem Grund verwenden die meisten Webseiten, insbesondere solche mit Anmelde-Funktionalität, heute das sogenannte HTTPS Protokoll. Dieses sorgt dafür, dass Informationen nur verschlüsselt verschickt werden. Selbst wenn andere Personen im gleichen WLAN-Netzwerk die verschlüsselten Daten abfangen, sind diese für sie nutzlos, solange ihnen der Schlüssel nicht bekannt ist. Im Browser erkennt man Webseiten, die über HTTPS kommunizieren, an dem Schloss in der Adresszeile.
HTTPS steht für HyperText Transfer Protocol Secure – also Protokoll zur sicheren Übertragung von Webseiteninhalten.
Abb. 4
Webseiten mit HTTPS erkennt man meistens an dem Schloss-Symbol in der Browser-Eingabezeile.
Damit eine sichere Übertragung mittels HTTPS gewährleistet werden kann, schickt der Server dem Gerät seinen öffentlichen Schlüssel, das Gerät schickt ebenfalls seinen öffentlichen Schlüssel zurück. Ab diesem Zeitpunkt werden Daten nur mehr verschlüsselt verschickt und können nur mit dem dazu passenden privaten Schlüssel vom Server bzw. Gerät entschlüsselt und verarbeitet werden. Zusätzlich wird die Echtheit des Servers mit einem digitalen Zertifikat sichergestellt.
Melde dich nur auf Webseiten mit Username und Passwort an, die über HTTPS kommunizieren, besonders, wenn du in einem öffentlichen WLAN-Netzwerk eingeloggt bist.
Achtung! Eine mit HTTPS verschlüsselte Übertragung sagt noch nichts über die Echtheit einer Webseite aus. Jemand könnte eine Webseite bauen, die fast dieselbe URL und dasselbe Aussehen hat wie eine bekannte Webseite.
Überprüfe hier dein Passwort auf Sicherheit! 😉
Authentifizierung – bist du es wirklich?
Es gibt verschiedene Möglichkeiten, um Geräte, Speichermedien oder Webseiten vor unberechtigten Zugriffen zu bewahren:
Besitzbasierte Authentifizierung:
Beispiel: SMS an Handy mit einem kurzzeitig gültigen einmaligen Passwort
Authentifizierung mit kryptographischen Schlüsseln:
Beispiel: private und public Key
Vor- und Nachteile
Bestimme, ob es sich um einen Vorteil (+) oder Nachteil (-) der jeweiligen Authentifizierungmethode handelt!
Die Authentifizierung funktioniert nicht, wenn Handschuhe getragen werden oder eine Maske im Gesicht ist.
Wenn eine Person Zugriff auf das System hat, in dem sich der private Schlüssel befindet, kann sie diesen problemlos verwenden.
Es ist eine sehr sichere Art der Authentifizierung und verringert die Wahrscheinlichkeit eines Fremdzugriffs auf das Konto.
Wenn das Handy gestohlen wird und keinen Passwortschutz hat, kann sich der Dieb einloggen.
Man braucht länger, um sich einzuloggen.
Um Zugang zu erhalten, müsste ein Dieb das Handy in die Hände bekommen.
Nur die echte Person hat die richtigen biometrischen Merkmale.
Es ist keine weitere Passworteingabe erforderlich.
Zwei-Faktor Authentifizierung
Ein sicheres Passwort schützt grundsätzlich gut gegen anonyme Angriffe aus dem Internet. Kommt es aber durch schlechte Sicherheitsvorkehrungen einer Webseite oder durch eigenes Verschulden dazu, dass ein Passwort in die falschen Hände gerät, hilft auch das kreativste Passwort nichts mehr. Deshalb ist die Verwendung von Zwei-Faktor Authentifizierung (2FA) ratsam.
Die 2FA ist eine Sicherheitsmethode, bei der zur Bestätigung der Identität nicht nur ein Passwort eingegeben werden muss, sondern auch ein zweiter Schritt nötig ist. Dieser zweite Schritt kann beispielsweise eine SMS sein, die an das Handy geschickt wird, oder eine spezielle Code-Nummer, die man von einer App bekommt. Das bedeutet, selbst wenn eine fremde Person das Passwort kennt, kann sie ohne den zweiten Schritt nicht in das Konto gelangen. Viele Webseiten und Social Media Apps unterstützen dies bereits, die Funktion ist aber standardmäßig deaktiviert und muss manuell in den Einstellungen aktiviert werden.
Aus diesem Grund ist es ratsam, niemals dasselbe Passwort auf verschiedenen Webseiten zu verwenden. Denn wenn jemand das Passwort kennt, könnte er sich überall anmelden.
Die Entriegelung eines Handys mittels Fingerabdruck oder Gesichtserkennung stellt keine Zwei-Faktor-Authentifizierung dar, da lediglich entweder der Fingerabdruck/Gesichtserkennung oder der Code/das Muster erforderlich ist – jedoch nicht beide Faktoren gleichzeitig.
Anwendungsbereiche: Social Media Accounts, Steuererklärung, Online-Banking,
Benutzername + Passwort
Benutzername + Passwort + 2. Faktor
Hacker muss „nur“ an Passwort kommen
Hacker muss an 2 Passwörter verschiedener Art kommen
Online-Authentifizierung
Webseitenbetreiber sind verpflichtet, die Anmeldedaten ihrer Nutzerinnen und Nutzer sicher zu speichern. Passwörter werden deshalb gleich beim Registrieren verschlüsselt und erst danach gespeichert. Selbst wenn jemand Zugriff auf die Datenbank hat, sieht diese Person also nur die verschlüsselte Version des Passworts. Beim nächsten Login wird das eingegebene Passwort auf dieselbe Art verschlüsselt und mit dem gespeicherten Schlüssel verglichen. Nur wenn diese übereinstimmen wird der Login-Versuch akzeptiert.
Probiere es aus!
Eine zusätzliche Absicherung gegen unbefugte Anmeldungen bieten persönliche Zusatzinformationen oder Sicherheitsfragen während des Anmeldevorgangs.
Hacks und Tricks
Zugriffseinstellungen im Cloud-Speicher
Bekannte Cloud-Speicher sind
Dropbox,
Google Drive,
OneDrive,
iCloud, und
Mediafire.
Wenn eine Datei auf einen Cloud-Speicher hochgeladen wird, muss unbedingt beachtet werden, ob der Ordner privat ist, das heißt nur die Kontoinhaberin oder der Kontoinhaber selbst Zugriff darauf hat.
Teilt man eine Datei oder einen ganzen Ordner mit anderen, kann man deren Zugriffsrechte festlegen:
nur lesen,
bearbeiten,
speichern,
kopieren
löschen
Abb. 5
Zugriffseinstellung auf der GoogleDrive
Besonders sensible Informationen besser nicht auf eine Internetplattform oder die Cloud laden, sondern direkt auf die Festplatte des Geräts speichern. Zusätzlich zum Passwort oder PIN-Code des Accounts kann man Dateien, Ordner oder externe Datenträger mit einem Passwort schützen, um ganz sicher zu gehen. (Achtung! Vergisst man dieses Passwort, ist es unmöglich wieder an seine Daten zu kommen.)
Man sagt auch lokal auf dem Gerät gespeichert, wenn die Datei nur auf der Festplatte und nicht im Internet gespeichert ist. In der Cloud hingegen wäre eine Datei remote gespeichert.
Wichtig dabei ist, wie immer, auf ein sicheres Passwort zu achten. Ua9hJQo14B ist sicherer als hallo123!! – obwohl beide aus 10 Zeichen bestehen.
