Beiträge

Siche­re Accounts – bes­ser mit zwei Schlüsseln

Neben einem siche­ren Pass­wort wird für den effek­ti­ven Schutz von Online-Diens­ten viel­fach – etwa von den Ver­brau­cher­schutz­zen­tra­len, der Stif­tung Waren­test oder dem BSI – ein soge­nann­ter „zwei­ter Fak­tor“ emp­foh­len. Man spricht dann von der „Zwei-Fak­tor-Authen­ti­sie­rung“.

Was ist Zwei-Fak­tor-Authen­ti­sie­rung und wozu braucht man sie?

Da selbst sehr siche­re Pass­wör­ter z. B. durch Daten­lecks in fal­sche Hän­de gera­ten kön­nen, ist es rat­sam, den Schutz wich­ti­ger Online-Diens­te wie E‑Mail, Cloud oder Ban­king nicht nur einem Pass­wort zu über­las­sen. Bei der Zwei-Fak­tor-Authen­ti­sie­rung iden­ti­fi­ziert man sich durch zwei unter­schied­li­che und mög­lichst von­ein­an­der unab­hän­gi­ge Kom­po­nen­ten (Fak­to­ren): Schon lan­ge ken­nen wir dies am Geld­au­to­ma­ten (Bank­kar­te und PIN) oder vom Online-Ban­king (Pass­wort und TAN).

Bei Online-Diens­ten ist der ers­te Fak­tor meist das eige­ne Pass­wort und der zwei­te ein per E‑Mail oder SMS zuge­schick­ter Code oder alter­na­tiv ein Code, der von einer spe­zi­el­len App gene­riert wur­de. Die­se Zwei-Fak­tor-Apps nut­zen bei der Berech­nung des Codes unter ande­rem die Uhr­zeit, wes­halb man sie zeit­ba­sier­te Ein­mal­kenn­wör­ter (TOTP) nennt.

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) ver­an­schau­licht die Funk­ti­ons­wei­se der Zwei-Fak­tor-Authen­ti­sie­rung in einem Erklärvideo:

Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI): Erklär­film „Zwei-Fak­tor-Authen­ti­sie­rung“ (Quel­le: mul​ti​me​dia​.gsb​.bund​.de/​B​S​I​/​V​i​d​e​o​/​B​S​I​f​B​_​A​n​i​m​a​t​i​o​n​_​Z​w​e​i​-​F​a​k​t​o​r​-​A​u​t​h​e​n​t​i​s​i​e​r​u​n​g​.​mp4, ein­ge­se­hen unter bsi​.bund​.de/​d​o​k​/​5​0​9​176)

Wie kann man Zwei-Fak­tor-Authen­ti­sie­rung nutzen?

Beson­ders die bereits genann­ten Zwei-Fak­tor-Apps bie­ten sich zur Absi­che­rung von Online-Diens­ten an – sie sind sicher, ver­gleichs­wei­se fle­xi­bel nutz­bar und benö­ti­gen kei­ne Preis­ga­be wei­te­rer Daten. Sie wer­den in der Regel auf dem eige­nen Smart­phone instal­liert, wo sie zusätz­lich durch ein Pass­wort oder bio­me­tri­sche Merk­ma­le (Fin­ger­ab­druck oder Gesicht) geschützt wer­den. Es gibt zahl­rei­che die­ser Apps: Etwa von Micro­soft und Goog­le, inte­griert in Pass­wort­ma­na­ger und diver­se wan­de­re Lösungen.

Exem­pla­risch sol­len hier zwei uni­ver­sell ein­setz­ba­re Apps genannt wer­den, wel­che die fol­gen­den Kri­te­ri­en erfül­len: Sie sind kos­ten­los, Open Source, platt­form­un­ab­hän­gig, syn­chro­ni­sie­ren auf Wunsch ver­schlüs­selt zwi­schen unter­schied­li­chen Gerä­ten und erleich­tern die Ein­ga­be der gene­rier­ten Codes auch auf Lap­tops oder Desk­top-Com­pu­tern:

  • 2FAS lässt sich nur auf Mobil­ge­rä­ten mit Android oder iOS instal­lie­ren, kann jedoch Ein­trä­ge zwi­schen die­sen syn­chro­ni­sie­ren und die Ein­ga­be der gene­rier­ten Codes auf Lap­tops oder Desk­top-Com­pu­tern durch eine Brow­ser-Erwei­te­rung vereinfachen.
  • Ente Auth syn­chro­ni­siert auf Wunsch eben­falls, dies jedoch nicht nur zwi­schen Mobil­ge­rä­ten, son­dern die Codes für die Zwei-Fak­tor-Authen­ti­sie­rung las­sen sich auch platt­form­über­grei­fend auf Com­pu­tern mit MacOS, Linux oder Win­dows sowie zusätz­lich über eine Web­ober­flä­che abrufen.

Online-Fort­bil­dungs­rei­he: Daten­schutz für Daten­schutz­be­auf­trag­te an Schulen

Ende Janu­ar 2025 star­tet erneut eine digi­ta­le Fort­bil­dungs­rei­he für Daten­schutz­be­auf­trag­te und ande­re Inter­es­sier­te in Schulen:

Die fünf Online-Lern­ein­hei­ten dau­ern zwi­schen zwei und vier Wochen (exklu­si­ve Feri­en­zei­ten). Sie wer­den mit den zen­tra­len Aspek­ten des schu­li­schen Daten­schut­zes ver­traut gemacht. Dabei spielt neben dem Ken­nen­ler­nen der gesetz­li­chen Vor­ga­ben die Umset­zung im schu­li­schen All­tag eine zen­tra­le Rol­le: Aus­ge­hend von pra­xis­na­hen und für Sie auf­be­rei­te­ten Mate­ria­li­en zie­len die zu bear­bei­ten­den Auf­ga­ben­stel­lun­gen auf kon­kre­te Hand­lungs­si­tua­tio­nen ab. Im Ver­lauf der Fort­bil­dung erstel­len Sie unter ande­rem wich­ti­ge Doku­men­te für den Daten­schutz an Ihrer Schu­le oder über­prü­fen die schon vor­han­de­nen Unterlagen.

Ter­mi­ne und Themen:

  • Do., 23.01.2025, 14:00 Uhr Ers­te Sit­zung / Kursbeginn
  • Do., 13.02.2025, 16:00 Uhr Video­kon­fe­renz zu Modul 1 – War­um Datenschutz?
  • Do., 13.03.2025, 14:00 Uhr Video­kon­fe­renz zu Modul 2 – Recht­li­che Grundlagen
  • Di., 22.04.2025, 16:00 Uhr Video­kon­fe­renz zu Modul 3 – Schu­li­sche Publikationen
  • Do., 22.05.2025, 14:00 Uhr Video­kon­fe­renz zu Modul 4 – Schul-IT
  • Do., 19.06.2025, 16:00 Uhr Video­kon­fe­renz zu Modul 5 – Mobi­les Ler­nen / Kursabschluss

Den Phis­hern nicht ins Netz gehen 🎣

Unter dem Begriff Phis­hing (Neo­lo­gis­mus von „fishing“, engl. für ‚Angeln‘) ver­steht man Ver­su­che, sich über gefälsch­te Web­sei­ten, E‑Mails oder Kurz­nach­rich­ten als ver­trau­ens­wür­di­ger Kom­mu­ni­ka­ti­ons­part­ner aus­zu­ge­ben. Ziel des Betrugs ist es, z. B. an per­sön­li­che Daten des Opfers zu gelan­gen, etwa es zur Aus­füh­rung einer schäd­li­chen Akti­on wie das Ein­log­gen in einen gefälsch­ten Web­auf­tritt zu bewe­gen, um die Zugangs­da­ten zu erschlei­chen. In der Fol­ge wer­den dann bei­spiels­wei­se Kon­to­plün­de­run­gen begangen.

Quel­le (leicht bear­bei­tet und gekürzt): „Phis­hing“. In: Wiki­pe­dia – Die freie Enzy­klo­pä­die. Bear­bei­tungs­stand: 29. Okto­ber 2024, 19:10 UTC.

Neben einem grund­sätz­li­chen Bewusst­sein für das Phä­no­men sind Kennt­nis­se wich­tig, um Phis­hing-Ver­su­che zu erken­nen. Und das ist nicht immer ein­fach: Zwar gibt es immer noch sehr plum­pe Ver­su­che, bei denen man bei­spiels­wei­se anhand von

  • sprach­li­chen Fehlern, 
  • merk­wür­di­ger For­ma­tie­rung oder 
  • inhalt­li­chen Unstimmigkeiten 

schnell fest­stel­len kann, dass etwa eine E‑Mail nicht ver­trau­ens­wür­dig ist. 

Doch es gibt inzwi­schen auch sehr über­zeu­gend gemach­te Phis­hing-Nach­rich­ten, die sich nicht auf den ers­ten Blick erken­nen las­sen. Und ins­be­son­de­re, wenn die­se evtl. zu einem tat­säch­li­chen eige­nen Anlie­gen pas­sen oder in einem Moment der Unauf­merk­sam­keit ein­tref­fen, ist ein fal­scher Klick schnell getan.

Um das eige­ne Bewusst­sein zu schu­len und die Erken­nung von Phis­hing-Ver­su­chen zu trai­nie­ren, eig­nen sich die Ange­bo­te der For­schungs­grup­pe SECUSO. Die­se gehört zum Karls­ru­her Insti­tut für Tech­no­lo­gie (KIT) und stellt Mate­ria­li­en in unter­schied­li­chen For­ma­ten als „NoPhish Kon­zept“ zur Ver­fü­gung.

Video der For­schungs­grup­pe SECUSO in Koope­ra­ti­on mit Alex­an­der Leh­mann unter CC BY-NC-ND auf secu​so​.aifb​.kit​.edu/​1​0​4​7​.​php

Neben wei­te­ren Vide­os (auch auf You­Tube ver­füg­bar) ist vor allem die Umset­zung der Emp­feh­lun­gen in Form des Brow­ser­spiels „Phis­hing Mas­ter“ sehr gelungen:

Auf spie­le­ri­sche Art und Wei­se lernt der Nut­zer, Web­adres­sen rich­tig zu lesen bzw. gefähr­li­che Links und Anhän­ge zu erken­nen. […] Nach einer kur­zen Ein­füh­rung bezüg­lich der Bedien­bar­keit beginnt das Shoo­ting-Game, bei dem man sich in einem Büro befin­det und auf dem Moni­tor Nach­rich­ten ange­zeigt bekommt, die man auf ihre Echt­heit hin unter­su­chen soll.

Quel­le: secu​so​.aifb​.kit​.edu/​1​5​2​3​.​php

Wem die spie­le­ri­sche, aber etwas mar­tia­li­sche Umset­zung nicht geeig­net erscheint, kann alter­na­tiv auf ein Quiz zurück­grei­fen – im Spiel „Phis­hing Mas­ter“ wer­den Infor­ma­ti­ons­ver­mitt­lung sowie die Anwen­dung die­ser Erkennt­nis­se jedoch beson­ders geschickt kombiniert.

Noch aus­führ­li­che­re Hin­ter­grün­de und Emp­feh­lun­gen zu mensch­li­chen Fak­to­ren in der IT-Sicher­heit und dem damit ver­bun­de­nen Social Engi­nee­ring, also der zwi­schen­mensch­li­chen Mani­pu­la­ti­on, in die auch das Phis­hing ein­zu­ord­nen ist, stellt Linus Neu­mann in sei­nem Vor­trag „Hir­ne Hacken“ dar:

Medi­en­tipp 📺

Möch­ten Sie das The­ma Phis­hing im Unter­richt behan­deln, kön­nen Sie dafür sehr gut eines unse­rer Online-Medi­en nut­zen: Was ist Phis­hing? (FWU Insti­tut für Film und Bild, 2024). Es beinhal­tet neben Erklär­fil­men auch inter­ak­ti­ve Lern­bau­stei­ne, mit denen sich Schü­le­rin­nen und Schü­ler ins­be­son­de­re der Klas­sen 5–7 die Inhal­te erschließen.

Fort­bil­dungs­an­ge­bo­te zu Beginn des Schuljahres

Neben dem Online-Fort­bil­dungs­tag Visi­on-Schu­le und der Vor­trags­rei­he „Was kann KI in der Schu­le?“ gibt es zu Beginn des neu­en Schul­jah­res noch wei­te­re inter­es­san­te Fortbildungsangebote:

🥷 Best Prac­ti­ce Selbst­da­ten­schutz – Was habe ich zu ver­ber­gen und wie mache ich das? | online, 28.08.2024, 14:30 Uhr

Aus­ge­hend von einem kom­pak­ten Über­blick, was wir als Nut­ze­rin­nen und Nut­zer digi­ta­ler (Internet-)Dienste zu ver­ber­gen haben, wer­den Grund­la­gen des Selbst­da­ten­schut­zes bzw. der digi­ta­len Selbst­ver­tei­di­gung vor­ge­stellt: Mit wel­chen Tech­ni­ken bzw. Stra­te­gien lässt es sich mög­lichst sicher brow­sen, kom­mu­ni­zie­ren, Pass­wör­ter ver­wal­ten und vie­les mehr? Dabei soll es auch dar­um gehen, wel­che Lösungs­an­sät­ze im Span­nungs­feld von Sicher­heit und Nutz­bar­keit bzw. Kom­fort rea­lis­tisch sein können.

⚠ Wich­ti­ger Hin­weis zur Durch­füh­rung: Der ers­te Teil der Inhal­te liegt als Video vor. Sie erhal­ten recht­zei­tig vor der Ver­an­stal­tung Zugriff dar­auf, um die­ses im Vor­feld zu sehen und ggf. Fra­gen zu sammeln.

👩‍🏫 Unter­rich­ten mit digi­ta­len Medi­en und iPads im Mathe­ma­tik­un­ter­richt – Schwer­punkt­the­ma: Das Soft­ware­pa­ket des Lan­des Nie­der­sach­sen (Start­klar in die Zukunft) | online, 28.08.2024, 13:00 Uhr

Digi­ta­le Medi­en las­sen sich viel­fäl­tig im Mathe­ma­tik­un­ter­richt ein­set­zen. Beson­ders geeig­net sind hier­für Gerä­te wie Tablets, ins­be­son­de­re das ver­brei­te­te iPad, oder Lap­tops. Doch neben der Hard­ware bedarf es vor allem sinn­voll ein­setz­ba­rer Softwareanwendungen.

Das Land Nie­der­sach­sen stellt Mathe­ma­tik­lehr­kräf­ten diver­se Soft­ware­tools kos­ten­los zur Nut­zung im Unter­richt zur Ver­fü­gung. Wie sich die­se im Unter­richt nutzen/einsetzen las­sen und wel­che davon für den Mathe­ma­tik­un­ter­richt geeig­net sind, soll The­ma die­ser Ver­an­stal­tung sein.

🤝 mobi​le​.schu​le Tagung: Fort­bil­dung für die digi­ta­le Bil­dung | 2. und 3. Sep­tem­ber 2024, HCC Hannover

In Han­no­ver kön­nen sich Lehr­kräf­te, Schul­lei­tun­gen und Schul­trä­ger aller Schul­for­men am 2. und 3. Sep­tem­ber zur digi­ta­len Bil­dung fort­bil­den: Der Fort­bil­dungs­an­bie­ter mobi​le​.schu​le lädt in Koope­ra­ti­on mit dem Nie­der­säch­si­schen Lan­des­in­sti­tut für schu­li­sche Qua­li­täts­ent­wick­lung (NLQ) zur Jah­res­ta­gung in das Con­gress­Cen­trum in Han­no­ver ein.

Im zwei­tä­gi­gen Pro­gramm der mobi​le​.schu​le Tagung fin­den Lehr­kräf­te mehr als 140 Kurz­vor­trä­ge und Work­shops zu allen The­men der digi­ta­len Bil­dung und des zeit­ge­mä­ßen Unter­richts. Unter­neh­men der Bil­dungs­wirt­schaft prä­sen­tie­ren in der inte­grier­ten Aus­stel­lung ihre tech­ni­schen Lösun­gen für Unter­richt und Verwaltung.

Die The­men des Tagungs­pro­gramms sind viel­fäl­tig und pra­xis­nah. Ins­ge­samt wird es wie gewohnt eine bun­te Mischung aller medi­en­päd­ago­gi­schen The­men geben, die für Bil­dungs­ein­rich­tun­gen rele­vant und zugleich her­aus­for­dernd sind. Das kom­pe­ten­te und inspi­rie­ren­de bun­des­wei­te Netz­werk an Lehr­kräf­ten, die die Ange­bo­te durch­füh­ren, wird in die­sem Jahr unter­stützt durch die Kom­pe­tenz zahl­rei­cher NLQ Bera­te­rIn­nen, die das Pro­gramm berei­chern. Ins­ge­samt ist die mobi​le​.schu​le geprägt durch Inspi­ra­ti­on, Moti­va­ti­on und viel Spaß und soll den Teil­neh­men­den greif­ba­re Lösun­gen und Ideen für Ihren Unter­richt bieten.

💪 Erwei­te­rung digi­ta­ler Kom­pe­ten­zen und Stär­kung media­ler Fähig­kei­ten für päd­ago­gi­sche Fach­kräf­te an Ganztagsgrundschulen

Das MK, NLQ und die NLM bie­ten gemein­sam die­se Qua­li­fi­zie­rungs­maß­nah­me für päd­ago­gi­sche Fach­kräf­te an Ganz­tags­grund­schu­len an. In 7 Modu­len wird das The­ma Auf­wach­sen mit Medi­en viel­fäl­tig auf­be­rei­tet und für die schu­li­sche Arbeit nutz­bar gemacht. Bis zum 18.8.2024 kann man sich noch anmelden.

Online-Fort­bil­dungs­rei­he: Daten­schutz für Daten­schutz­be­auf­trag­te an Schulen

Im ers­ten Halb­jahr 2024 star­tet eine digi­ta­le Fort­bil­dungs­rei­he für Daten­schutz­be­auf­trag­te und ande­re Inter­es­sier­te in Schulen:

Die sechs Online-Lern­ein­hei­ten dau­ern zwi­schen zwei und vier Wochen (exklu­si­ve Feri­en­zei­ten). Sie wer­den mit den zen­tra­len Aspek­ten des schu­li­schen Daten­schut­zes ver­traut gemacht. Dabei spielt neben dem Ken­nen­ler­nen der gesetz­li­chen Vor­ga­ben die Umset­zung im schu­li­schen All­tag eine zen­tra­le Rol­le: Aus­ge­hend von pra­xis­na­hen und für Sie auf­be­rei­te­ten Mate­ria­li­en zie­len die zu bear­bei­ten­den Auf­ga­ben­stel­lun­gen auf kon­kre­te Hand­lungs­si­tua­tio­nen ab. Im Ver­lauf der Fort­bil­dung erstel­len Sie unter ande­rem wich­ti­ge Doku­men­te für den Daten­schutz an Ihrer Schu­le oder über­prü­fen die schon vor­han­de­nen Unterlagen.

Ter­mi­ne und Themen:

  • Di, 16.01.2024, 16 Uhr: Ers­te Sit­zung / Kursbeginn
  • Do, 08.02.2024, 14 Uhr: Video­kon­fe­renz zu Modul 1 – War­um Datenschutz?
  • Do, 07.03.2024, 16 Uhr: Video­kon­fe­renz zu Modul 2 – Recht­li­che Grundlagen
  • Do, 11.04.2024, 14 Uhr: Video­kon­fe­renz zu Modul 3 – Schu­li­sche Publikationen
  • Do, 02.05.2024, 16 Uhr: Video­kon­fe­renz zu Modul 4 – Schul-IT
  • Do, 30.05.2024, 14 Uhr: Video­kon­fe­renz zu Modul 5 – Mobi­les Lernen
  • Di, 11.06.2024, 16 Uhr: Video­kon­fe­renz zu Modul 6 – Urhe­ber­recht / Kursabschluss