Hacking im Unterricht mit SQL-Injection

Verstehen macht Spaß!

Hacking im Unterricht mit SQL-Injection

Das Thema Hacking ist bei den Kleinen und den Großen immer wieder aktuell. Leider ist das Thema sehr stark durch Filme, Serien und andere Medieninhalte geprägt, was dazu führt das Hacking als einfache und leicht durchzuführende Sache im Gedächtnis bleibt.

Das jeder Hacker, der nicht nur Anleitungen aus dem Internet befolgt, neben sehr viel Kreativität auch enorm viel an Hintergrundwissen benötigt, ist den allermeisten Schülerinnen und Schülern nicht klar. Manchmal verwischen auch die Begrifflichkeiten zwischen Programmieren und Hacken. So wird häufig Hacking mit dem Programmieren von unerlaubter Software gleich gesetzt, was es definitiv nicht trifft.

Um die Dimensionen korrekt darzustellen und den Schülerinnen und Schülern auch einen Einblick in die Welt des Hacking zu gewähren, habe ich zusammen mit Achim Kassemeier eine Unterrichtsreihe für die Q1 konzipiert. Diese benutzt das von den Schülerinnen und Schüler bereits erarbeitete Wissen und ihre Fähigkeiten im Modellieren und Programmieren um eine Methode des Hacking in all seien Dimensionen kennen zu lernen.

Dimension Datenschutz

Beim Datenschutz geht es darum den Schutzstatus der verwalteten Daten zu erkennen und ggf. Maßnahmen bei der Modellierung und Implementierung einzuplanen, die einen ungewollten Datenabfluss oder schädlichen Zugriff verhindern.

Dimension Recht

Hierbei sollen die Schülerinnen und Schüler das geltende Recht in Bezug auf den nicht autorisierten Zugriff auf Daten kennen lernen. Sie wenden dieses auf Beispielfälle an und diskutieren darüber ob die geltenden Regeln ausreichen.

Dimension Angriffstechnik

Die Angriffsmethode der SQL-Injection ist weit verbreitet und mit dem Hintergrundwissen zu Datenbanken und SQL leicht nachvollziehbar. Die Schülerinnen und Schüler lernen an Beispielen, warum solche Befehle funktionieren und was sie anrichten können

Die gesamte Reihe spielt sich dabei im geschützten Raum statt, da die angegriffene Software von den Schülerinnen und Schüler selbst modelliert und implementiert wurde. Aus diesem Grund ist auch die Betroffenheit der Schülerinnen und Schüler gewährleistet und die Motivation die Datensicherheit wieder herzustellen recht groß.

Das folgende Unterrichtsmaterial ist frei verfügbar und darf gerne um weitere Elemente ergänzt werden. Sie ist veröffentlicht unter CC-Lizenz. Insofern Ihnen bei der Anwendung Fehler auffallen oder Sie Verbesserungen gefunden bzw. Erweiterungen entwickelt haben, wäre es sehr nett, wenn sie mich davon in Kenntnis setzen könnten.

Dateien für den Unterricht

Die erste Datei ist die Beschreibung der kompletten Reihe. Hier sind auch alle Arbeitsblätter enthalten. Die zweite Datei umfasst das BlueJ-Projekt, also alle Java-Klassen die zur Umsetzung verwendet wurden. Der Server und der Client sind hier in einem Projekt abgelegt. Möchte man die beiden Programme trennen muss man entsprechend die Main-Class ändern und das Projekt in ein .jar exportieren.

 

Eine Antwort

  1. Besten Dank für die Idee, die sehr gelungene Umsetzung und die Veröffentlichung der Materialien!

    Ich plane, die Reihe gegen Ende des Schuljahres in meinem INF-LK durchzuführen.

    Schöne Grüße, Michael Beiderhase vom Gymnasium Herkenrath.

Schreibe einen Kommentar zu Michael Beiderhase Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert