Benutzer:O.tacke/Tag der Informatik 2011

Am 21.01.2011 finden an der TU Braunschweig der Tag der Informatik statt: Schüler sind dazu eingeladen, sich ein Bild davon zu verschaffen, was man in einem Informatikstudium so alles machen kann.

Hintergrund

Bearbeiten

Nun bin ich zwar kein reiner Informatiker und arbeite gar an einem BWL-Institut, aber dennoch darf ich einen kurzen Vortrag halten: "IT-Sicherheit und Klebezettelchen" (basierend auf einem Artikel dazu von mir - dazu übrigens danke an Florian Bahr für die Unterstützung!) Viele Sicherheitslücken in IT-System entstehen nämlich nicht durch schlampige Programmierung, sondern durch den Menschen, und das sollten Informatiker auch im Hinterkopf haben, wenn sie etwas basteln - und vielleicht schadet die ein oder andere BWL-Vorlesung als Nebenfach auch nicht.

Ich habe 20 Minuten Zeit und stelle mir das etwa so vor:

  • Vorbereitung: "Dsn Stz knn mn prblmls vrsthn." an die Tafel schreiben und zuklappen.
  • Gaaanz kurz vorstellen
  • Fragen, woher die Schülerinnen und Schüler kommen (sicher interessant, ob nur regional oder überregional). Ideal: Jemand von meiner alten Schule ist da, dann bitte ich denjenigen um seinen Namen und bereite ihn schon einmal drauf vor, dass er später noch gebraucht wird.
  • Fragen, warum sich die Schülerinnen und Schüler für Informatik interessieren (Anschlussfähigkeit finden?) -> Spaß?
  • Darauf hinweisen, dass Informatiker (natürlich) viel Spaß haben, da sie die coolsten Spielzeuge haben und was damit anstellen können. Blöd ist aber, dass die Betriebswirte oft darüber entscheiden, welche Spielzeuge gekauft werden. Es kann also nicht schaden, diese Leute zu verstehen und mit ihnen sprechen zu lernen"
  • Aber zum Thema: Fragen, welche Sicherheitsprobleme die Schüler im Internet kennen -> Im Idealfall kommt da der Mensch nicht vor und ich zücke nach 3-4 Antworten einen Notizzettel (Klebeversion aka Post-It) aus der Hosentasche und frage, ob das vielleicht auch eine Sicherheitslücke sein kann. An die Tafel pappen.
  • Anekdote um diesen Klebezettel erzählen, selbst erlebt: Kollegin klebt sich Passwort der Festplattenverschlüsselung eines Laptops auf das Gerät. Klingt seltsam, aber damit muss man rechnen. Daher: Mensch ist das erste Angriffsziel, nicht der Computer. Also "Gefahr" oder "Vorsicht" an den Zettel auf der Tafel schreiben
  • Warum klappt das? Früher mussten die Angreifer noch Mülltonnen durchsuchen (wenn ich gut drauf bin und das Publikum ebenso, kippe ich vielleicht demonstrativ auch einfach den - vorher präparierten - Mülleimer aus und suche durch Papiere), heute findet man Informationen ganz einfach im Internet auf Plattformen für soziales Netzwerken: Welcher Mitarbeiter hat welche Position im Unternehmen? Xing. Wer ist gerade im Urlaub? Vielleicht Twitter.
  • Also hat man Informationen, und dann? Wie überlistet man Menschen?
    • Individuelle Eigenheiten von Menschen (an die Tafel schreiben)
      • Beispiel: soziale Bedürfnisse, eventuell Geltungsdrang - wie zum Beispiel der ehemalige Büroleiter von Guido Westerwelle, der der US-Botschaft viele Interna preisgab. Das kann man ausnutzen, indem man deren Egos pampert
      • Heuristiken: Gehirn vereinfacht die Wahrnehmung durch Reduktion, versucht Muster zu erkennen - nun die Tafel aufklappen und den Satz demonstrieren. Den kann jeder verstehen, obwohl Buchstaben fehlen. Die ergänzt das Gehirn. Wo kann das ein Problem sein? Zum Beispiel beim Phishing, wo jemand www.deutschebank.de liest, obwohl www.deutschebonk.de da steht.
    • Interaktion zwischen Menschen (an die Tafel schreiben)
      • Wechselseitigkeit: Wenn mir jemand hilft, revanchiere ich mich. Das ist sozial erwünscht und erleichtert das Zusammenleben, aber auch das Social Engineering.
      • Konsistenz: Menschen sind bestrebt, sich konsistent zu verhalten. Gesellschaftlich auch praktisch, denn so lässt sich Vertrauen aufbauen. Aber: Test mit dem namentlich bekannten Schüler von oben (oder einen einzelnen, den ich um seinen Namen bitte). "Du, findest du Tierschutz nicht auch wichtig?" - Sicher ja. "Müsste man mehr für tun, oder?" Sicher auch ja. Und schon hat man ein erstes Commitment, da wird es schwierig nach ein bisschen weiterem Bohren zu sagen: "Nein, ich will aber kein Geld spenden oder mich engagieren."
      • Autoritätshörigkeit: Fragen, ob jemand den Hauptmann von Köpenick kennt und bitten, kurz zu erzählen, worum es geht. Wer sich geschickt verkleidet und so tut, als hätte er etwas zu sagen, kommt auch ganz gut damit durch. Weiteres Beispiel: Virginia Woolfe...
    • Unwissenheit und Unkenntnis (an die Tafel schreiben)
      • Wenn Nutzer von IT-Systemen nicht wissen, wie Dinge funktionieren, können sie sich auch nicht schützen. Beispiel: Auf Konferenzen bekommen Teilnehmer ein Passwort für das verschlüsselte WLAN. Dann kann aber jeder in diesem WLAN die empfangenen E-Mails und Nutzerdaten mitlesen, wenn POP3 als Protokoll genutzt wird.
      • Nutzer stellen möglicherweise wichtige Dinge ab, weil sie unbequem sind.
    • Rahmenbedingungen (an die Tafel schreiben, damit sind die vier Faktoren der TZI komplett)
      • Landeskultur, beispielsweise Machtdistanz nach Hofstede - erleichtert Autoritätshörigkeit
      • Organisation der Arbeit: Unternehmensberater arbeiten oft im Zug und jeder kann mitlesen.
  • Und da man als guter Spion natürlich auch Gegenmaßnahmen gegen die eigenen Schandtaten kennen sollte: als Ausstieg dieses Bild.

Fotos gibt es im Blog des hiesigen Instituts für Wirtschaftsinformatik, Abteilung für Informationsmanagement

Weitere Ideen? Immmer her damit!

Bearbeiten
  • ...
    • ...
    • ...
  • ...