lessonKey: "social-engineering-password" title: "Social Engineering - Passwortsicherheit" description: "Lernen Sie, wie persönliche Informationen aus sozialen Medien zu schwachen Passwörtern führen können" difficultyLevel: "beginner" estimatedDuration: 20 module: "social-engineering-password" steps: - id: "intro" type: "content" title: "Was ist Social Engineering?" content: | Social Engineering ist eine Manipulation von Menschen, um vertrauliche Informationen preiszugeben oder Sicherheitsmaßnahmen zu umgehen. Anders als technische Angriffe zielen Social-Engineering-Angriffe auf die menschliche Psychologie ab. **Häufige Social-Engineering-Taktiken:** • Informationen aus sozialen Medien sammeln (OSINT) • Persönliche Details für Passwörter nutzen • Vertrauen ausnutzen • Dringlichkeit vortäuschen • Autorität vortäuschen • Neugier ausnutzen **Warum ist das gefährlich?** Menschen teilen freiwillig Informationen in sozialen Medien, die Angreifer nutzen können: • Namen von Haustieren • Geburtsdaten von Kindern • Lieblingsorte oder -teams • Geburtstage und Jubiläen • Arbeitgeber und Positionen • Hobbys und Interessen Diese Informationen können verwendet werden, um: • Passwörter zu erraten • Sicherheitsfragen zu beantworten • Phishing-Angriffe zu personalisieren • Vertrauen zu gewinnen - id: "osint" type: "content" title: "OSINT - Open Source Intelligence" content: | Open Source Intelligence (OSINT) bezeichnet das Sammeln von Informationen aus öffentlich zugänglichen Quellen. Soziale Medien sind eine Goldgrube für OSINT. **Was Angreifer aus Social Media lernen können:** **Facebook/Instagram:** • Freunde und Familienmitglieder • Wohnort und Arbeitgeber • Reisen und Aufenthaltsorte • Haustiere (oft mit Namen) • Kinder (oft mit Alter/Geburtsjahr) • Hobbys und Interessen **LinkedIn:** • Vollständige Berufshistorie • Bildungsweg • Fähigkeiten und Zertifizierungen • Geschäftskontakte • Arbeitszeiten und Verantwortlichkeiten **Twitter/X:** • Echtzeitaktivitäten • Politische Ansichten • Tägliche Routinen • Technologie-Präferenzen **Wie wird das ausgenutzt?** 1. **Passwort-Erraten:** • Haustiername + Geburtsjahr des Kindes • Lieblingsverein + Hochzeitsjahr • Spitzname + Hausnummer 2. **Sicherheitsfragen:** • "Name Ihres ersten Haustieres?" → Auf Instagram gepostet • "Geburtsort Ihrer Mutter?" → Im Profil erwähnt • "Name Ihrer ersten Schule?" → LinkedIn Bildung 3. **Spear-Phishing:** • Personalisierte E-Mails mit echten Details • Vorwand, der auf Interessen basiert • Zeitlich abgestimmte Angriffe (wenn Sie im Urlaub sind) **Beispiel:** Ein Angreifer sieht auf Instagram: • Post über Hund "Max" (2019) • Post über Zwillinge "Emma & Liam" (geboren 2020) • Lieblingsverein "FC Bayern" Mögliche Passwörter zum Testen: • max2019 • emma2020 • bayern2020 • maxbayern • emmaliam - id: "social-media-demo" type: "interactive" title: "Social Media Profil & Passwort-Demo" interactiveComponent: "SocialMediaPasswordDemo" content: | Unten sehen Sie ein simuliertes Social-Media-Profil einer fiktiven Person namens Sophia Müller. Ihre Aufgabe ist es, ihr Passwort zu erraten, indem Sie Informationen aus ihren Posts verwenden. **Anleitung:** 1. Lesen Sie die Posts im Social-Media-Profil sorgfältig 2. Achten Sie auf persönliche Details (Namen, Jahreszahlen, etc.) 3. Versuchen Sie, das Passwort im Login-Formular zu erraten 4. Nutzen Sie die Hinweise, wenn Sie feststecken Dies demonstriert, wie leicht Passwörter erraten werden können, wenn sie auf öffentlich verfügbaren Informationen basieren. - id: "question-1" type: "question" questionType: "multiple_choice" question: "Welche Informationen aus Social-Media-Profilen können für Passwörter missbraucht werden?" options: - id: "pet-names" text: "Namen von Haustieren" isCorrect: true points: 10 - id: "birth-years" text: "Geburtsjahre von Kindern" isCorrect: true points: 10 - id: "favorite-teams" text: "Lieblingssportvereine oder -teams" isCorrect: true points: 10 - id: "profile-picture" text: "Das Profilbild selbst" isCorrect: false points: 0 - id: "anniversaries" text: "Hochzeitstage oder Jubiläen" isCorrect: true points: 10 maxPoints: 40 feedback: correct: "Richtig! Alle diese persönlichen Informationen werden häufig in unsicheren Passwörtern verwendet und sind leicht aus Social-Media-Profilen zu extrahieren." partial: "Gut! Sie haben einige der gefährlichen Informationen erkannt. Denken Sie daran, dass fast alle persönlichen Details missbraucht werden können." incorrect: "Überprüfen Sie das Demo. Namen, Jahreszahlen und persönliche Vorlieben aus Social Media können alle für Passwörter verwendet werden." - id: "password-patterns" type: "content" title: "Häufige Passwort-Muster" content: | **Die häufigsten unsicheren Passwort-Muster:** **1. Name + Jahreszahl** • bella2018 • max2020 • luna2019 Warum unsicher: Beide Teile sind oft öffentlich bekannt **2. Wort + einfache Ziffernfolge** • passwort123 • sommer2024 • welcome1 Warum unsicher: Sehr vorhersagbar, oft in Wörterbüchern **3. Tastaturmuster** • qwertz • asdfgh • 123456 Warum unsicher: Erste Option bei Brute-Force-Angriffen **4. Persönliche Informationen** • vorname.nachname • geburtsdatum • telefonnummer Warum unsicher: Leicht zu recherchieren **5. Einfache Substitutionen** • P@ssw0rt (Passwort) • H3ll0 (Hello) Warum unsicher: Angreifer kennen diese Tricks **Statistiken:** • 73% der Menschen verwenden Passwörter, die persönliche Informationen enthalten • 50% der Passwörter sind kürzer als 10 Zeichen • 35% verwenden denselben Passwort-Typen überall • Die häufigsten Passwort-Bestandteile: 1. Namen (Personen, Haustiere) 2. Geburtsjahre 3. Einfache Wörter ("Passwort", "Admin") 4. Zahlenfolgen (123456, 111111) 5. Sportvereine oder Marken **Warum verwenden Menschen schwache Passwörter?** • Leicht zu merken • Bequemlichkeit • Mangelndes Sicherheitsbewusstsein • Zu viele Konten zum Verwalten • Unterschätzung des Risikos - id: "question-2" type: "question" questionType: "single_choice" question: "Was ist die BESTE Methode für sichere Passwörter?" options: - id: "same-password" text: "Ein sehr langes Passwort für alle Konten verwenden" isCorrect: false points: 0 - id: "password-manager" text: "Einen Passwort-Manager mit zufällig generierten Passwörtern verwenden" isCorrect: true points: 30 - id: "write-down" text: "Komplexe Passwörter aufschreiben und sicher aufbewahren" isCorrect: false points: 0 - id: "substitution" text: "Wörter mit Zahlen und Sonderzeichen ersetzen (z.B. P@ssw0rt)" isCorrect: false points: 0 maxPoints: 30 feedback: correct: "Ausgezeichnet! Passwort-Manager generieren einzigartige, zufällige Passwörter für jedes Konto und speichern sie verschlüsselt. Sie müssen sich nur ein Master-Passwort merken." incorrect: "Passwort-Manager sind die beste Lösung. Sie generieren starke, zufällige Passwörter für jedes Konto, sodass Sie sich nur ein Master-Passwort merken müssen. Einfache Substitutionen oder wiederverwendete Passwörter sind nicht sicher." - id: "digital-footprint" type: "content" title: "Digitaler Fußabdruck und Privatsphäre" content: | **Was Sie NICHT in Social Media teilen sollten:** **🚫 Vermeiden Sie diese Informationen:** **Passwort-relevante Details:** • Namen von Haustieren (besonders mit Geburtsjahren) • Geburtsdaten von Kindern • Mädchenname der Mutter • Erste Schule oder Wohnort • Lieblingsteam oder -verein • Hochzeitsdatum • Wichtige Jubiläen **Sicherheitsrelevante Details:** • Vollständige Adresse • Reisepläne (vor der Reise) • Arbeitspläne und Routinen • Finanzdaten oder Erfolge • Vollständiges Geburtsdatum • Telefonnummer • E-Mail-Adresse (öffentlich) **Kinder-bezogene Informationen:** • Vollständige Namen und Alter • Schule oder Kindergarten • Routinen und Zeitpläne • Genauer Wohnort • Fotos mit Standort-Tags **Best Practices für Social Media:** **✅ Datenschutz-Einstellungen:** • Profil auf "privat" stellen • Freundesliste verbergen • Standortdienste deaktivieren • Gesichtserkennung deaktivieren • Suchmaschinen-Indexierung verhindern **✅ Vorsichtiges Teilen:** • Überlegen Sie, wer es sehen kann • Posten Sie Urlaubsfotos NACH der Rückkehr • Verwenden Sie Spitznamen statt echte Namen • Vermeiden Sie detaillierte Standortangaben • Keine Fotos von Haus/Auto mit erkennbaren Merkmalen **✅ Regelmäßige Überprüfung:** • Alte Posts durchgehen und löschen • Freundesliste aufräumen • Datenschutz-Einstellungen aktualisieren • Verknüpfte Apps überprüfen • Suchmaschinen-Ergebnisse für Ihren Namen prüfen **Denken Sie daran:** Alles, was Sie online posten, kann: • Für immer gespeichert werden • Screenshot und geteilt werden • Von Arbeitgebern gefunden werden • Gegen Sie verwendet werden • Nicht vollständig gelöscht werden **"Wenn Sie es nicht jedem Fremden auf der Straße erzählen würden, posten Sie es nicht online!"** scoring: passingScore: 65 maxTotalPoints: 130 # 70 from questions + 30-60 from cracking password (based on attempts)