Ein innovatives Unterrichtskonzept zur Vermittlung von Security im Webdatenbereich

Dass Kekse ohne einer kleinen Prise Salz relativ fade bzw. nach gar nichts schmecken, wissen wir bereits seit unserer frühesten Kindheit, als wir alle noch fleißig in der Vorweihnachtszeit, gemeinsam mit unseren Müttern und Großmüttern, den Keksteig ausrollten, um ihn anschließend mit allen möglichen Formen auszustechen, zu backen und schlussendlich kunstvoll zu verzieren. Die meisten können sich sicherlich noch sehr gut an die Belehrungen durch ihre Mütter und Großmütter erinnern, obwohl sich damals in den frühen 90er Jahren natürlich noch niemand hätte vorstellen können, dass man dieses „Knowhow“, sozusagen, auch später einmal wieder in ganz anderen Themenbereichen vorfinden und vor allem auch anwenden können wird. Heute, fast drei Jahrzehnte später, finden wir uns plötzlich in einer komplett digitalisierten Welt wieder, in der wir – könnte man fast sagen – nur mehr von Cookies, AGB, Sicherheitsbestimmungen oder Datenschutzrichtlinien geprägt sind. Um sich dieser neuen Herausforderung zu stellen, adaptierte selbst der Bildungsbereich das Thema „Datensicherheit, Datenschutz und Urheberrecht“ noch rechtzeitig im Curriculum, um die SchülerInnen sowie Studierenden schnellstmöglich dafür zu sensibilisieren.
In diesem Sinne wurde bei dieser Diplomarbeit Wert darauf gelegt, die ganze Thematik rund um „Security im Webdatenbereich“ auf Cookies aufzubauen. Diese haben nämlich, im Gegensatz zu „Social Media“, ein viel breiteres Anwendungsgebiet und sind in der moder- nen Webentwicklung heutzutage kaum noch wegzudenken und werden den SchülerInnen einen interessanten, neuen Zugang für Sicherheit im World Wide Web bieten.

Websecurity, PHP, Cookies, Salts, Verschlüsselung

In den folgenden Unterkapiteln werden nun die fünf ausgearbeiteten Unterrichtsszenarien, „Cookies im Webdatenbereich“, „Webinterfaces anhand aktueller Standards“, „Der Umstieg von HTML auf PHP“, „PHP Anmeldeskripts mit Base64 kodierten Cookies“ und „Authentifizierung anhand des Salted-Hash-Verfahrens“ einzeln beschrieben und näher erläutert, welche im Zusammenschluss das Unterrichtskonzept zu Security im Webdatenbereich mit dem Titel „Kekse ohne Salz schmecken nicht“ darstellen.
Von besonderer Bedeutung ist es, dass die Szenarien, obwohl sie in unterschiedlichen Schulstufen der Sekundarstufe II angewendet werden können und sollen, modular aufeinander aufbauend gestaltet sind. So zieht sich über das Pflichtfach Informatik (5. Klasse) ein einziger roter Faden, auf welchem weitestgehend im Wahlpflichtfach (6. - 8. Klasse) zurückgegriffen bzw. aufgebaut werden kann. Es ist auch möglich, lediglich einzelne Aspekte aus dem Unterrichtskonzept zu entnehmen und andere einfach auszulassen bzw. komplett neue Schwerpunkte zu definieren. Bezieht man sich dabei auf die Terminologie des „kompetenzorientierten Unterrichts“, werden Anforderungsbereiche wie z.B. Reproduktions-, Transfer-, Reflexions-, oder Problemlösungsleistungen innerhalb des Unterrichts vorausgesetzt, welche allesamt in den Planungen der Unterrichtsszenarien miteinbezogen wurden.

• Szenario 1: Cookies im Webdatenbereich
• Szenario 2: Webinterfaces anhand aktueller Standards

• Szenario 3: Der Umstieg von HTML auf PHP
• Szenario 4: PHP Anmeldeskripts mit Base64 kodierten Cookies
• Szenario 5: Authentifizierung anhand des Salted-Hash-Verfahrens

Der hier vorliegenden Diplomarbeit liegt ein völlig neu entwickelter Zugang für die Thematik rund um Security im Webdatenbereich zugrunde, welcher für alle Lehrenden und Lernenden der Sekundarstufe II, aber auch im Studiengang Informatik als innovatives Un- terrichtskonzept theoretisch sowie empirisch aufbereitet und veranschaulicht wurde.
Die Theorie umfasst dabei einerseits die aktuellen Standards der Webentwicklung (d.h. HTML5, CSS3, PHP5.6, MySQLi), eine Abgrenzung zu anderen Sicherheitstechnologien (d.h. SSL), sowie die Relevanz für den kompetenzorientierten Informatikunterricht.
Die Empirie besteht andererseits aus fünf modular aufgebauten Unterrichtsszenarien, welche sich in den Vortragsphasen jeweils auf die theoretischen Grundlagen und in den Übungsphasen auf das eigenständig entwickelte PHP Session-Login-System Musterbeispiel dieser Diplomarbeit beziehen.

Im Zuge verschiedenster Tätigkeiten am Grafik- und Webentwicklungssektor kommt man im Laufe der Zeit mit sehr vielen verschiedenen Internetapplikationen bzw. Webseiten für Kundinnen und Kunden diverser Branchenrichtungen in Berührung. Aber selbst als Informatiklehrkraft, oder auch im Zuge von entsprechenden Lehrveranstaltungen an der Universität, musste man bereits etliche Homepages und kleinere Content Management Systeme programmieren sowie unzählige kostenlose Produktlösungen, wie z.B. „Moodle“, „MediaWiki“, „Wordpress“, „CEWebS“ oder „CMSimple“ auf ihren Funktionsumfang und deren Konfigurationsmöglichkeiten ausgiebig testen. So standen auch stets die Benutzerfreundlichkeit der Bedienung bzw. des Interfaces sowie eine erleichterte Verständlichkeit für Personen mit eingeschränktem Informatikbezug im Mittelpunkt der Arbeit und Aufgaben. Aus diesem Grund stellen zur Zeit die neuesten Standards wie HTML5, CSS3 oder PHP5.6 essentielle Arbeitswerkzeuge dar, um einerseits „stylische“ und zugleich sichere Webprojekte zu erstellen und andererseits etwaigen Kundenwünschen sowie den eigenen Vorstellungen und Vorlieben zu entsprechen und gerecht zu werden.
Für viele Kundinnen und Kunden ist es auch oftmals ein Problem, dass man sehr stark an seinen Hosting Provider und dessen Möglichkeiten gebunden ist. Dabei kam auch oft die Problematik der verschlüsselten Verbindung mit der SQL-Datenbank bei Session basierten PHP-Login-Systemenauf. SSL verschlüsselte Serververbindungen haben manchmal – vor allem bei kleineren Backends – einen viel zu horrenden und meist auch unverständlichen Konfigurationsaufwand, wodurch Kundinnen und Kunden meist keine Zeit an diese The- matik verschwenden wollen, aber dennoch optimal geschützt sein möchten. Außerdem ist die SSL Verschlüsselung an vielen Stellen sehr unklar dokumentiert, birgt Probleme bei CORS-Operationen und ist besonders fehleranfällig bei diversen Suchmaschinenoptimierungen. Interessanterweise wurde mehrfach berichtet, dass selbst die Erfahrung in punkto Professionalität und Performanz unter SSL bzw. unter HTTPS nicht dieselbe wäre wie bei einer Standardwebseite. Bei Besprechungen z.B. fielen an dieser Stelle oftmals die Termini des Salted-Hashing und des Cookies, welche eine gute Möglichkeit darstellen, um diese vielen Problematiken relativ zeitsparend zu umgehen. Für zukünftige sowie derzeitige Informatiklehrkräfte stellt diese Form der Verschlüsselung und der Webseitenprogrammierung vor allem einen spannenden Ansatz für ein innovatives Unterrichtskonzept dar, welches sehr leicht für SchülerInnen zu erlernen, anzuwenden, sowie umzusetzen ist. Dabei deckt es sehr viele verschiedene Themenbereiche des Informatikunterrichts ab und führt Kinder und Jugendliche einmal von einer komplett anderen Seite an die Thematik der Verschlüsselung von sensiblen Daten in Webprojekten heran.

• Alter: 14+
• Schulform und Fach: AHS bzw. BHS (Fach: Informatik), Studiengang Informatik
• Schulstufe: 5. bis 8. Klasse AHS bzw. 1. bis 5. Klasse BHS
• Gruppengröße: max. 25 TeilnehmerInnen
• Sprachkenntnisse: Deutsch (Fortgeschritten) / Englisch (Grundkenntnisse)

• Autor: Mag. Simon Marik (simon.marik@univie.ac.at)
• Entstehungsgrund: Diplomarbeit (öffentliche Publikation)
• Betreuerin: ao. Univ.-Prof. Dipl.-Ing. Dr. Renate Motschnig (renate.motschnig@univie.ac.at)
• Mitbetreuer: Ass.-Prof. Mag. Dr. Christian Cenker (christian.cenker@univie.ac.at)
• Erstellungszeitraum: Wintersemester 2016/17