Sicher im Netz
Kapitel 1 von 6
Kapitel Eins

Das Netz ist
kein gefährlicher
Ort. Sicher im Netz —
fundiert
erklärt. Sicher im Netz —
im Klassenzimmer. — Passwörter, Phishing und Betrugsmaschen ruhig erklärt: der Leitfaden für ein sicheres Leben online.

Das Netz ist kein gefährlicher Ort – wenn man ein paar einfache Dinge weiß. Sie müssen kein Technik-Profi sein und keine Angst haben. Mit etwas Wissen und ein paar ruhigen Gewohnheiten sind Sie gut geschützt. Genau das gehen wir hier zusammen durch, in aller Ruhe, Schritt für Schritt.

Digitale Sicherheit ist kein Hexenwerk, sondern eine Handvoll wirksamer Gewohnheiten: einzigartige Passwörter aus einem Passwort-Manager, Zwei-Faktor-Authentifizierung, ein wacher Blick für Phishing und Social Engineering, aktuelle Software und Backups. Diese Seite ordnet die Technik ein – ohne Panik, mit Fokus darauf, was konkret schützt.

Was bedeutet es, sicher online unterwegs zu sein? Diese Lerneinheit macht Schülerinnen und Schüler ab Klasse 7 fit im Umgang mit Passwörtern, Phishing und Betrugsmaschen. Sie üben das Erkennen von Fallen, schützen ihre Konten und lernen, im Ernstfall ruhig zu handeln – mit Quiz, Diskussionsimpulsen und einem interaktiven Such-Spiel.

Das Bedrohungsmodell in einem Satz: Die allermeisten realen Angriffe auf Privatpersonen sind keine gezielten „Hacks“, sondern Massenangriffe – automatisiertes Credential Stuffing mit geleakten Passwörtern, breit gestreutes Phishing und opportunistische Malware. Genau dagegen wirkt diese Seite: Einzigartige Passwörter und 2FA/Passkeys entkoppeln Ihre Konten, ein wacher Blick entschärft Social Engineering, und Updates plus Backups schließen die übrigen Lücken. Man muss nicht jede Bedrohung kennen – es genügt, die wenigen wirksamen Gewohnheiten konsequent zu leben.
~ Atmen Sie durch. Wir gehen das gemeinsam an.
~ Wirksame Gewohnheiten statt Angst.
~ Empfohlene Lerneinheit: 2 Schulstunden á 50 Min.
Kapitel Zwei

Der Schlüssel
zu allem.

Passwörter,
richtig
gemacht.

Starke Passwörter
für die Klasse.

Ein Passwort ist wie der Schlüssel zu Ihrer Wohnung. Zwei einfache Regeln machen den größten Unterschied: Nehmen Sie ein langes Passwort und benutzen Sie für jeden Dienst ein anderes. Am leichtesten gelingt das mit einem Passwort-Manager – einem digitalen Schlüsselbund, der sich alles für Sie merkt. Sie selbst müssen sich dann nur noch ein einziges gutes Passwort merken.

Passwortsicherheit folgt heute klaren Prinzipien: Länge schlägt Komplexität, Einzigartigkeit pro Dienst ist Pflicht, und die Verwaltung gehört in einen Passwort-Manager. Erzwungene Sonderzeichen-Regeln und regelmäßige Pflichtwechsel gelten als überholt. Den größten Sprung bringt aber ein zweiter Faktor – und perspektivisch der Umstieg auf Passkeys.

Euer Passwort ist der Schlüssel zu eurem digitalen Leben: Chats, Fotos, Spiele-Accounts. Hier lernt ihr, wie ein starkes Passwort aussieht, warum man es nie mehrfach verwenden sollte und wie ein Passwort-Manager und die Zwei-Faktor-Authentifizierung eure Konten schützen.

Noch besser als ein gutes Passwort ist ein zweiter Schritt beim Anmelden: die Zwei-Faktor-Authentifizierung. Dabei bestätigen Sie zusätzlich mit einem Code vom Handy oder Ihrem Fingerabdruck. Selbst wenn jemand Ihr Passwort kennt, kommt er so nicht hinein.

Ein Passkey ersetzt das Passwort durch ein gerätegebundenes Schlüsselpaar (FIDO2/WebAuthn). Der private Schlüssel verlässt das Gerät nie, die Anmeldung erfolgt per Biometrie oder Geräte-PIN. Das ist resistent gegen Phishing und Datenlecks, weil kein wiederverwendbares Geheimnis übertragen oder serverseitig gespeichert wird.

Ein langes Passwort, für jeden Dienst ein eigenes – und ein Passwort-Manager, der es sich merkt.
Länge vor Komplexität, Einzigartigkeit vor Merkbarkeit, ein zweiter Faktor vor allem. Passkeys lösen das Problem an der Wurzel.
Hashing, Salting und warum Einzigartigkeit zählt: Anbieter speichern Passwörter idealerweise nie im Klartext, sondern nur als Hash – das Ergebnis einer Einwegfunktion, aus der sich das Passwort praktisch nicht zurückrechnen lässt. Ein zufälliger Salt pro Konto verhindert, dass gleiche Passwörter denselben Hash ergeben, und macht vorberechnete Rainbow Tables wirkungslos. Moderne, absichtlich langsame Verfahren wie bcrypt, scrypt oder Argon2id (mit hohem Arbeitsfaktor) bremsen Brute-Force-Angriffe zusätzlich aus. Trotzdem gilt: Bei einem Datenleck landen die Hashes im Umlauf und schwache Passwörter werden offline geknackt.
Credential Stuffing & Breach-Datenbanken: Geknackte Zugangsdaten werden zu Milliarden-Listen gebündelt. Beim Credential Stuffing probieren Bots diese E-Mail/Passwort-Paare automatisiert bei hunderten anderen Diensten durch – das funktioniert nur, wenn man Passwörter mehrfach verwendet. Dienste wie Have I Been Pwned gleichen ab, ob eine Adresse in bekannten Lecks auftaucht; die Passwort-Prüfung nutzt k-Anonymity (nur die ersten 5 Zeichen des SHA-1-Hashes verlassen das Gerät), sodass das Passwort selbst nie übertragen wird. Konsequenz: pro Dienst ein eigenes, langes Passwort – am einfachsten generiert und gespeichert vom Passwort-Manager.
2FA: TOTP vs. Passkeys (WebAuthn/FIDO2): Der gängige zweite Faktor ist ein TOTP-Code aus einer Authenticator-App (ein zeitbasiertes Einmalpasswort nach RFC 6238) – deutlich sicherer als SMS-OTP, das per SIM-Swapping abgefangen werden kann. Beide bleiben aber phishbar: Wer den Code auf einer gefälschten Seite eingibt, gibt ihn dem Angreifer. Passkeys lösen genau das: Sie basieren auf FIDO2/WebAuthn mit einem asymmetrischen Schlüsselpaar. Der private Schlüssel bleibt im Gerät (Secure Enclave/TPM), signiert eine Challenge per Biometrie und ist an die echte Domain gebunden (origin binding). Dadurch sind Passkeys resistent gegen Phishing und gegen Datenlecks – es gibt kein wiederverwendbares Geheimnis, das gestohlen werden könnte.
📚 Lernziele
  • Ihr beschreibt, was ein starkes Passwort ausmacht (lang + einzigartig).
  • Ihr erklärt, wozu ein Passwort-Manager gut ist.
  • Ihr versteht, warum die Zwei-Faktor-Authentifizierung schützt.
📖 Wichtige Begriffe
  • Passphrase: Ein Passwort aus mehreren zufälligen Wörtern – lang und gut merkbar.
  • 2FA: Anmeldung mit Passwort plus zweitem Nachweis (Code, Fingerabdruck).
  • Passkey: Anmelden ohne Passwort, per Fingerabdruck oder Gesicht.
💡 Wusstest du…

Die Passwörter „123456“ und „passwort“ stehen seit Jahren ganz oben in den Listen geknackter Passwörter. Eines davon zu nutzen ist, als würde man den Wohnungsschlüssel unter die Fußmatte legen.

❓ Quiz
Welches Passwort ist am sichersten?

Antwort C: „eine Passphrase aus mehreren zufälligen Wörtern, z. B. korrekt-Pferd-Batterie-Heftung“.

A („123456“) ist sofort geknackt, B (der eigene Name) leicht zu erraten. Lange Passphrasen sind stark und trotzdem merkbar.

Für die Lehrkraft — Optionen: A: „123456“ / B: „der eigene Vorname“ / C: „eine Passphrase aus mehreren zufälligen Wörtern“.

🎯 Erweiterte Lernziele (Bloom-Taxonomie)
  • K1 — Wissen: Schüler nennen drei Merkmale eines starken Passworts.
  • K2 — Verstehen: Schüler erklären, warum gleiche Passwörter gefährlich sind.
  • K3 — Anwenden: Schüler bilden eine eigene, starke Passphrase.
  • K4 — Analysieren: Schüler begründen, wann 2FA besonders wichtig ist.
⏱ Zeitplan (≈ 15 Min)
  • 3 Min: Analogie „Passwort = Schlüssel“ gemeinsam entwickeln.
  • 4 Min: Eine starke Passphrase an der Tafel bauen.
  • 4 Min: Passwort-Manager und 2FA erklären.
  • 4 Min: Quiz + Diskussion.
💬 Diskussions-Leitung

Frage: „Bei wie vielen Apps benutzt ihr wohl dasselbe Passwort? Was könnte passieren, wenn eine davon gehackt wird?“

🔗 Querverweis

Welche Daten bei einem Leck überhaupt zusammenkommen, vertieft die Schwesterseite Datenschutz verstehen.

← Zurück zum Anfang
Kapitel Drei

Die Tricks
der Betrüger.

Phishing und
Social Engineering.

Wie Betrug
funktioniert.

Die meisten Betrügereien im Netz funktionieren nicht über Technik, sondern über Gefühle. Eine E-Mail, die Angst macht. Eine SMS, die zur Eile drängt. Ein Anruf, der Mitgefühl weckt. Betrüger wollen, dass Sie schnell und ohne Nachdenken handeln. Die gute Nachricht: Wer die Maschen kennt, durchschaut sie meistens sofort.

Phishing und verwandte Maschen sind im Kern Social Engineering: Sie manipulieren den Menschen, nicht die Maschine. Die Hebel sind immer dieselben – Dringlichkeit, Angst, Autorität, Gier und Hilfsbereitschaft. Ob Phishing-Mail, Smishing (SMS), Fake-Shop, Schockanruf oder Romance-Scam: Das Muster ist erkennbar, sobald man es benennt.

Betrüger im Netz tricksen nicht den Computer aus, sondern uns Menschen. Sie spielen mit Gefühlen: Angst, Zeitdruck, Neugier oder Mitleid. Wenn ihr die häufigsten Maschen einmal kennt, fallt ihr viel seltener darauf herein – und könnt sogar anderen helfen, sie zu erkennen.

Tippen Sie unten auf eine Masche, um zu sehen, wie sie funktioniert – und woran Sie sie erkennen.

Ein Überblick der häufigsten Maschen. Allen gemeinsam ist ein emotionaler Auslöser und eine Handlungsaufforderung unter Druck.

Tippt euch durch die Karten – jede zeigt eine typische Masche und ihr Erkennungsmerkmal.

Phishing-Mail

Eine E-Mail, die so tut, als käme sie von Ihrer Bank oder einem Shop.

Tippe für Details Weniger anzeigen
Sie sollen auf einen Link klicken und dort Ihre Daten eingeben. Erkennungszeichen: fremde Absender-Adresse, Zeitdruck, unpersönliche Anrede. Klicken Sie nicht – rufen Sie die Seite selbst im Browser auf.
Gefälschte Absender (Spoofing), Link-Text und echtes Ziel weichen ab, oft eine täuschend ähnliche Domain (Typosquatting). Gegenmittel: Linkziel prüfen, Absender verifizieren, niemals Zugangsdaten über einen Mail-Link eingeben.

Paket- & Bank-SMS (Smishing)

Eine SMS zu einem Paket oder Konto mit einem Link zum Antippen.

Tippe für Details Weniger anzeigen
„Ihr Paket wartet, bitte Zoll bezahlen.“ oder „Ungewöhnliche Aktivität auf Ihrem Konto.“ Echte Paketdienste und Banken fordern so kein Geld und keine Daten. Im Zweifel die offizielle App nutzen, nicht den Link.
Smishing nutzt die Knappheit des SMS-Formats (kein sichtbares Linkziel) und Vertrauen in bekannte Marken. Häufig führt der Link auf eine Phishing-Seite oder installiert Schadsoftware. Niemals Apps aus SMS-Links installieren.

Schockanruf & Enkeltrick

Ein Anruf, bei dem ein angeblicher Angehöriger oder Beamter in Not ist.

Tippe für Details Weniger anzeigen
„Mama, ich hatte einen Unfall, ich brauche sofort Geld!“ Die Stimme klingt aufgelöst, alles muss schnell gehen und geheim bleiben. Legen Sie auf und rufen Sie die Person unter ihrer echten Nummer zurück. Echte Angehörige verstehen das.
Emotionale Überwältigung schaltet kritisches Denken aus. Neuere Varianten nutzen geklonte Stimmen (Voice-Cloning). Schutz: Rückruf über die bekannte Nummer, ein zuvor vereinbartes Familien-Codewort, keine Entscheidungen unter akutem Druck.

Fake-Shop

Ein Online-Shop mit Markenware zu unschlagbaren Preisen – der nie liefert.

Tippe für Details Weniger anzeigen
Sehr günstige Preise, nur Vorkasse möglich, kein richtiges Impressum. Bezahlen Sie online nie per Vorkasse-Überweisung an unbekannte Shops. Sicherer sind Rechnung oder Bezahldienste mit Käuferschutz.
Merkmale: unrealistische Preise, fehlendes/erfundenes Impressum, nur Vorkasse, gefälschte Gütesiegel und Bewertungen, sehr junge Domain. Prüfen über Impressum, Bewertungsportale und Fake-Shop-Finder der Verbraucherzentrale.

Romance-Scam

Eine neue Online-Bekanntschaft, die nach Wochen plötzlich Geld braucht.

Tippe für Details Weniger anzeigen
Viel Aufmerksamkeit, große Gefühle – aber ein Treffen klappt nie, und irgendwann kommt eine Notlage mit der Bitte um Geld. Schicken Sie niemals Geld an Menschen, die Sie nur online kennen. Sprechen Sie mit jemandem, dem Sie vertrauen.
Aufbau einer parasozialen Bindung über Wochen („Love Bombing“), dann ein konstruierter Notfall. Warnzeichen: nie per Video erreichbar, ständige Ausreden, Drängen auf Geheimhaltung und Geldtransfer. Bilder lassen sich per Rückwärts-Bildersuche prüfen.

Die Psychologie dahinter

Dringlichkeit, Angst und Gier – die Hebel, die fast immer benutzt werden.

Tippe für Details Weniger anzeigen
Fast jede Masche will eines: dass Sie sofort handeln, ohne nachzudenken. Sobald etwas Druck macht oder zu schön klingt, ist das Ihr Signal zum Innehalten. Kurz durchatmen und nachfragen entlarvt fast jeden Betrug.
Genutzt werden bekannte Verzerrungen: Verknappung, Autoritätshörigkeit, Reziprozität, Verlustangst. Die wirksamste Gegenmaßnahme ist ein bewusster Bruch des Handlungsimpulses – innehalten, über einen unabhängigen Kanal verifizieren.
Die Psychologie hinter Social Engineering: Phishing zielt nicht auf die Technik, sondern auf vorhersehbare Denkmuster. Genutzt werden vor allem Robert Cialdinis Prinzipien der Einflussnahme: Autorität (angeblich Bank, Chef, Behörde), Verknappung und Dringlichkeit (Frist, Drohung), soziale Bewährtheit (alle anderen tun es auch), Reziprozität (eine kleine Gefälligkeit zuerst) und Sympathie (Romance-Scam). Unter Stress wechselt das Gehirn in schnelles, automatisches Denken (System 1) – genau dann werden Warnsignale übersehen. Die wirksamste Gegenmaßnahme ist daher kein Tool, sondern ein bewusster Bruch des Handlungsimpulses: innehalten, kurz nachdenken, über einen unabhängigen Kanal verifizieren.
Phishing-Mechanik: Lookalike-Domains, Homograph & BEC: Gefälschte Adressen setzen auf Wahrnehmungslücken. Typosquatting nutzt Tippfehler-Domains (spaarkasse.info), Kombosquatting hängt vertrauenswürdige Wörter an (paypal-sicherheit.com). Beim Homograph-/IDN-Angriff werden lateinische Buchstaben durch optisch identische Unicode-Zeichen ersetzt (z. B. ein kyrillisches „а“ in аpple.com); Browser zeigen solche Domains zur Abwehr oft als Punycode (xn--…) an. Eine besonders teure Variante ist Business E-Mail Compromise (BEC): Hier wird ohne Schadsoftware, allein per Spoofing oder gekapertem Postfach, eine Zahlungsanweisung im Namen der Geschäftsführung ausgelöst (CEO-Fraud). Schutz: das echte Linkziel vor dem Klick lesen, Domains zeichengenau prüfen und Zahlungen über einen zweiten, bekannten Kanal rückbestätigen.
← Ein Schritt zurück
Kapitel Vier

Finde die
Falle.

Phishing in
der Praxis.

Echt oder
Betrug?

Hier sehen Sie eine erfundene E-Mail, wie Betrüger sie verschicken. In ihr stecken mehrere Warnsignale. Tippen Sie auf alles, was Ihnen verdächtig vorkommt. Keine Sorge, hier kann nichts schiefgehen – es ist zum Üben gedacht. Echte Namen und Adressen kommen nicht vor.

Eine vollständig fiktive Phishing-Mail mit den klassischen Merkmalen. Finden Sie die Warnsignale – jeder Treffer blendet eine kurze Erläuterung ein. Achten Sie besonders auf Absender, Anrede, Druckmittel, Linkziel, Forderung und Rechtschreibung.

Klickt euch durch diese erfundene Betrugs-Mail und findet die Warnsignale! Für jeden Treffer gibt es eine kurze Erklärung. Tippt ihr auf eine harmlose Stelle, sagt die Mail Bescheid. Findet ihr alle?

Finde die Warnsignale
Tippen Sie auf alles in der E-Mail, was Ihnen verdächtig vorkommt. Klicken Sie die verdächtigen Stellen an. Tastatur: mit Tab anspringen, mit Enter oder Leertaste auslösen. Beim Link zeigt sich das echte Ziel. Tippt auf die Warnsignale. Mit der Tab-Taste springt ihr von Stelle zu Stelle, mit Enter wählt ihr aus.

Noch nichts gefunden – schau dir Absender, Anrede, Drohungen, Links und Forderungen genau an.

Stark! Du hast alle Warnsignale entdeckt. In echt sind manche Maschen subtiler – aber genau dieser prüfende Blick schützt Sie zuverlässig. Im Zweifel gilt immer: nicht klicken, sondern die Seite selbst im Browser aufrufen.
  • Absender prüfenPasst die Adresse wirklich zum Unternehmen? Auf Tippfehler achten.
  • Anrede„Sehr geehrter Kunde“ statt Ihres Namens ist verdächtig.
  • Zeitdruck & Drohung„Sofort handeln, sonst …“ soll Sie hetzen.
  • Links nicht klickenMit der Maus über den Link fahren und das echte Ziel prüfen.
  • DatenabfrageKeine Bank fragt per Mail nach Passwort, PIN oder TAN.
  • RechtschreibungFehler und holprige Sprache sind ein Warnsignal.
  • Ungewöhnliche ZahlungGutscheinkarten oder Krypto sind ein klares Alarmzeichen.
  • Im ZweifelNicht antworten – die Seite selbst im Browser aufrufen.
Technische Vertiefung: Mail-Absender lassen sich fälschen; Schutzmechanismen wie SPF, DKIM und DMARC erschweren das, sind aber nicht überall aktiv. Der zuverlässigste Reflex bleibt: Linkziele vor dem Klick prüfen, Zugangsdaten ausschließlich über selbst aufgerufene, gebookmarkte Adressen eingeben und 2FA als Sicherheitsnetz aktiv halten.
📚 Lernziele
  • Ihr benennt mindestens vier typische Phishing-Merkmale.
  • Ihr prüft ein Linkziel, bevor ihr klickt.
  • Ihr wisst: Im Zweifel die Seite selbst aufrufen, nicht dem Link folgen.
❓ Quiz
Eine „Bank-Mail“ fordert dich auf, sofort deine PIN über einen Link einzugeben. Was tust du?

Antwort B: „Nichts eingeben – die Bank-Seite selbst im Browser aufrufen oder anrufen.“

Keine echte Bank fragt per Mail nach der PIN. A (Link folgen) und C (PIN antworten) führen direkt in die Falle.

Optionen: A: „Dem Link folgen und einloggen.“ / B: „Nichts eingeben, Seite selbst aufrufen.“ / C: „Die PIN per Antwort schicken.“

⏱ Zeitplan (≈ 18 Min) — Kern der Stunde
  • 6 Min: „Finde die Falle“ am Beamer, Klasse ruft die Warnsignale.
  • 5 Min: Phishing-Checkliste gemeinsam durchgehen.
  • 4 Min: Diskussion „Welches Signal hättet ihr übersehen?“.
  • 3 Min: Quiz + Auflösung.
🎯 Methoden-Tipp

Lassen Sie die Klasse zuerst raten, bevor das Spiel ein Signal bestätigt. Das schult genaues Hinsehen mehr als das bloße Abklicken.

🖨 Arbeitsblatt-Mini
  1. Nenne fünf Merkmale, an denen man eine Phishing-Mail erkennt.
  2. Warum sollte man den Link in so einer Mail nicht anklicken?
  3. Was ist der sicherste Weg, sich bei seiner echten Bank einzuloggen?
← Ein Schritt zurück
Kapitel Fünf

Gute Gewohnheiten
im Alltag.

Sichere Routinen
im Alltag.

Sicher unterwegs
im Alltag.

Sicherheit ist keine große Aktion, sondern eine Handvoll kleiner Gewohnheiten. Halten Sie Ihre Geräte aktuell, sichern Sie wichtige Dateien, sperren Sie Ihr Handy und achten Sie auf das Schloss-Symbol im Browser. Nichts davon ist kompliziert – und zusammen schützt es Sie richtig gut.

Die Basis-Hygiene ist überschaubar und hochwirksam: zeitnahe Updates schließen bekannte Lücken, Backups entschärfen Ransomware und Geräteverlust, Bildschirmsperre und restriktive App-Berechtigungen begrenzen den Schaden. Transportverschlüsselung (HTTPS) ist heute Standard; ein VPN ergänzt sie in unsicheren Netzen.

Sicher im Netz zu sein heißt vor allem: ein paar gute Gewohnheiten haben. Updates machen, wichtige Dinge sichern, das Handy sperren und auf das Schloss-Symbol achten. Tippt euch durch die Karten und sammelt eure Alltags-Routinen.

Updates machen

Aktuelle Software schließt die Lücken, durch die Angreifer hereinkommen.

Tippe für Details Weniger anzeigen
Wenn Ihr Handy oder Computer ein Update anbietet, installieren Sie es bald. Am einfachsten: automatische Updates einschalten. Updates bringen nicht nur neue Funktionen, sie reparieren vor allem Sicherheitslücken.
Updates schließen bekannte Schwachstellen (CVE), die sonst aktiv ausgenutzt werden. Automatische Updates und ein zeitnahes Patch-Fenster sind die wirksamste Einzelmaßnahme gegen Massen-Exploits.

Backups anlegen

Eine Sicherungskopie rettet Ihre Fotos und Dateien im Ernstfall.

Tippe für Details Weniger anzeigen
Kopieren Sie wichtige Fotos und Dokumente regelmäßig – auf eine externe Festplatte oder in einen sicheren Online-Speicher. Geht ein Gerät kaputt oder verloren, ist dann nichts unwiederbringlich weg.
Die 3-2-1-Regel: drei Kopien, zwei Medien, eine außer Haus. Ein aktuelles, getrenntes Backup ist der wirksamste Schutz gegen Ransomware – Lösegeld zahlen entfällt, wenn man sauber wiederherstellen kann.

HTTPS & Schloss-Symbol

Das Schloss im Browser zeigt eine verschlüsselte Verbindung.

Tippe für Details Weniger anzeigen
Wenn Sie Daten eingeben, achten Sie auf das kleine Schloss und „https“ am Anfang der Adresse. Es bedeutet: Die Verbindung ist verschlüsselt. Aber Vorsicht – auch Betrugsseiten können ein Schloss haben. Es ersetzt nicht den Blick auf die Adresse selbst.
HTTPS sichert Vertraulichkeit und Integrität des Transports, sagt aber nichts über die Vertrauenswürdigkeit des Betreibers. Das Schloss bestätigt nur die TLS-Verschlüsselung, nicht die Echtheit der Marke – die Domain selbst muss stimmen.

Öffentliches WLAN

Im Café oder Hotel surfen ist okay – beim Banking lieber vorsichtig.

Tippe für Details Weniger anzeigen
Normales Surfen in öffentlichen Netzen ist heute meist sicher. Für Online-Banking oder Einkäufe nutzen Sie lieber Ihr Mobilfunknetz oder ein VPN. Achten Sie auf Netzwerke mit falschem Namen, die echte nachahmen.
Da fast alles über HTTPS läuft, ist passives Mitlesen kaum noch möglich. Reale Risiken sind „Evil Twin“-Hotspots und manipulierte Captive Portals. Ein VPN verschlüsselt den gesamten Verkehr und entschärft nicht vertrauenswürdige Netze.

Gerät sperren

Eine Bildschirmsperre schützt, wenn das Handy verloren geht.

Tippe für Details Weniger anzeigen
Stellen Sie eine PIN, ein Muster oder den Fingerabdruck als Sperre ein. So kommt niemand an Ihre Nachrichten und Konten, falls das Gerät verloren geht oder gestohlen wird. Eine kurze automatische Sperre nach einer Minute hilft zusätzlich.
Geräteverschlüsselung plus Sperre macht Daten bei Verlust unzugänglich. Sinnvoll ergänzt durch „Mein Gerät finden“ zum Orten und Fernlöschen sowie eine kurze Auto-Lock-Zeit.

App-Berechtigungen

Nicht jede App braucht Zugriff auf Kamera, Mikrofon und Standort.

Tippe für Details Weniger anzeigen
Schauen Sie ab und zu in die Einstellungen: Welche App darf auf Standort, Kamera oder Kontakte zugreifen? Eine Taschenlampen-App braucht keinen Standort. Entziehen Sie Berechtigungen, die nicht nötig sind.
Nach dem Prinzip der minimalen Rechte nur gewähren, was die Funktion erfordert. Moderne Systeme erlauben einmalige oder nutzungsgebundene Freigaben – das reduziert die Angriffs- und Tracking-Fläche erheblich.
Was HTTPS wirklich garantiert (und was nicht): HTTPS ist HTTP über TLS. Beim Verbindungsaufbau (TLS-Handshake) handeln Browser und Server per asymmetrischer Kryptografie einen Sitzungsschlüssel aus; danach ist der Transport vertraulich und manipulationssicher (Schutz vor passivem Mitlesen und Man-in-the-Middle). Die Vertrauenskette stützt sich auf ein X.509-Zertifikat, das eine Zertifizierungsstelle (CA) für die Domain ausgestellt hat. Entscheidend: Das Schloss bestätigt nur, dass die Verbindung zu dieser Domain verschlüsselt ist – nicht, dass der Betreiber vertrauenswürdig ist. Auch eine Phishing-Seite bekommt kostenlos ein gültiges Zertifikat. Der Domainname selbst muss also stimmen.
Schadsoftware & Ransomware – kurz erklärt: Malware ist der Oberbegriff für schädliche Programme: Viren und Würmer verbreiten sich selbst, Trojaner tarnen sich als nützliche Software, Spyware/Keylogger spähen Eingaben aus. Die teuerste Variante ist Ransomware: Sie verschlüsselt Dateien und erpresst Lösegeld, oft kombiniert mit Double Extortion (zusätzliche Drohung, gestohlene Daten zu veröffentlichen). Typische Einfallstore sind Mail-Anhänge, manipulierte Downloads und ungepatchte Lücken. Das wirksamste Gegenmittel ist ein aktuelles, getrenntes Backup nach der 3-2-1-Regel (drei Kopien, zwei Medien, eine außer Haus/offline) – damit lässt sich sauber wiederherstellen, statt zu zahlen.
Was tatsächlich schützt: Sicherheit entsteht durch wenige, sich überlagernde Maßnahmen (Defense in Depth), nicht durch ein einzelnes Wundermittel. Die größten Hebel mit dem besten Aufwand-Nutzen-Verhältnis: zeitnahe Updates (schließen aktiv ausgenutzte CVEs), einzigartige Passwörter + 2FA/Passkeys (entkoppeln Konten voneinander), das Prinzip der minimalen Rechte (Least Privilege – kein dauerhaftes Admin-Konto, sparsame App-Berechtigungen) und getrennte Backups (entschärfen Ransomware und Geräteverlust). Diese vier Gewohnheiten neutralisieren den Großteil realer Massen-Angriffe.
📚 Lernziele
  • Ihr nennt vier Alltags-Gewohnheiten für mehr Sicherheit.
  • Ihr erklärt, was das Schloss-Symbol bedeutet – und was nicht.
  • Ihr versteht, warum Backups gegen Ransomware helfen.
❓ Quiz
Was bedeutet das Schloss-Symbol in der Adresszeile des Browsers?

Antwort B: „Die Verbindung ist verschlüsselt.“

Es heißt nicht, dass die Seite vertrauenswürdig ist (auch Betrüger können ein Schloss haben). A und C sind falsch – die Domain muss man trotzdem prüfen.

Optionen: A: „Die Seite ist garantiert echt.“ / B: „Die Verbindung ist verschlüsselt.“ / C: „Die Seite ist kostenlos.“

⏱ Zeitplan (≈ 15 Min)
  • 5 Min: Karten am Beamer durchgehen, Klasse ordnet sie nach „mache ich schon / mache ich noch nicht“.
  • 4 Min: Schloss-Symbol und HTTPS erklären (mit Live-Beispiel).
  • 3 Min: Backups und die 3-2-1-Regel.
  • 3 Min: Quiz + Diskussion.
🔗 Querverweis

Was beim Aufruf einer Webseite technisch passiert – und warum HTTPS schützt – vertieft die Schwesterseite Internet verstehen.

← Ein Schritt zurück
Kapitel Sechs

Wenn doch
etwas passiert.

Der Notfall-
plan.

Ruhig handeln
im Ernstfall.

Sollte doch einmal etwas passieren, ist das kein Weltuntergang – und schon gar kein Grund, sich zu schämen. Es trifft sehr viele Menschen, auch vorsichtige. Wichtig ist nur, ruhig und der Reihe nach zu handeln. Hier sind die Schritte, die wirklich helfen.

Im Schadensfall zählt geordnetes Handeln statt Panik: Zugänge und Zahlungswege sperren, Passwörter von einem sauberen Gerät ändern, Vorgänge dokumentieren, Anzeige erstatten und Beratung nutzen. Schnelligkeit begrenzt den Schaden, Dokumentation hilft bei Bank, Anzeige und Versicherung.

Auch wenn ihr alles richtig macht, kann mal etwas schiefgehen – das ist kein Drama. Entscheidend ist, ruhig zu bleiben und Hilfe zu holen. Holt euch immer eine erwachsene Vertrauensperson dazu. Hier kommen die wichtigsten Schritte.

  • Konto oder Karte sperren. Bei Bank- oder Kartendaten sofort die Bank anrufen. Der Sperr-Notruf 116 116 hilft rund um die Uhr.
  • Passwörter ändern. Am besten von einem anderen, sauberen Gerät aus – zuerst E-Mail und Bank.
  • Anzeige erstatten. Bei der Polizei, online oder unter 110. Heben Sie alle Nachrichten als Beweis auf.
  • Rat holen. Die Verbraucherzentrale berät bei Betrug kostenlos und neutral.
  • Reden Sie darüber. Informieren Sie eine nahestehende Person. Sie müssen das nicht allein durchstehen.
  • Sofort Bescheid geben. Sagt es einer erwachsenen Vertrauensperson – Eltern, Lehrkraft.
  • Passwörter ändern. Betroffene Konten zuerst, am besten gemeinsam mit einem Erwachsenen.
  • Beweise sichern. Macht Screenshots, bevor ihr etwas löscht.
  • Nichts mehr zahlen. Überweist kein (weiteres) Geld und schickt keine Codes.
  • Hilfe holen. Bei ernsten Fällen hilft die Polizei (110) und die „Nummer gegen Kummer“.
  • Eindämmen. Betroffene Zugänge sperren, Sessions abmelden, Karten via 116 116 sperren.
  • Bereinigen. Passwörter von einem vertrauenswürdigen Gerät ändern, 2FA neu einrichten, Wiederherstellungs-Optionen prüfen.
  • Dokumentieren. Header, URLs, Zeitstempel und Screenshots sichern – für Bank, Anzeige und Versicherung.
  • Melden. Strafanzeige (online/110), Vorfall der betroffenen Plattform und ggf. der Bank melden.
  • Nachsorge. Auf Folgebetrug achten, Konten beobachten, betroffene Logins überall ersetzen.
Incident Response in vier Phasen: Geordnetes Vorgehen schlägt Panik. 1. Eindämmen (Containment): betroffene Sitzungen abmelden (überall ausloggen / Sessions invalidieren), Zugänge und Zahlungswege sperren (Karten via 116 116), kompromittiertes Gerät vom Netz nehmen. 2. Bereinigen (Eradication): Passwörter von einem nachweislich sauberen Gerät ändern – zuerst das E-Mail-Konto, da es als Wiederherstellungs-Anker für alle anderen dient; 2FA neu einrichten und alte Wiederherstellungs-Codes invalidieren. 3. Dokumentieren: Mail-Header, URLs, Zeitstempel und Screenshots sichern – für Bank, Anzeige und Versicherung. 4. Wiederherstellen & Nachsorge: aus einem sauberen Backup zurückspielen, Konten auf Folgebetrug beobachten. Schnelligkeit begrenzt den Schaden, Dokumentation sichert Ansprüche.
Sicher im Netz zu sein ist kein Zustand, den man einmal erreicht, sondern eine ruhige, wache Haltung. Sie haben heute die wichtigsten Dinge gelernt: gute Passwörter, einen klaren Blick für Fallen und einen Plan für den Ernstfall. Das ist schon der größte Teil. Den Rest macht die Gelassenheit.
Sicherheit ist ein fortlaufender Prozess aus wenigen, konsequent gelebten Gewohnheiten – nicht aus Misstrauen oder Technik-Angst. Wer Passwort-Manager, 2FA/Passkeys, Updates, Backups und einen klaren Notfallplan etabliert, senkt das Risiko drastisch und bleibt handlungsfähig.
Ihr seid jetzt besser vorbereitet als die meisten. Tragt das weiter: Erklärt es Freunden und Familie, besonders älteren Verwandten. Ein ruhiger, wacher Blick und der Mut, im Zweifel nachzufragen, sind euer bester Schutz.

🍎 Für Lehrkräfte: Unterrichtspaket

Diese Seite lässt sich als komplette Doppelstunde „Sicher im Netz“ einsetzen. Alle Inhalte sind frei nutzbar (CC BY 4.0) — bitte „Webagentur Hochmeir e.U. (webhoch.com)“ als Quelle nennen.

📦 Komplettes Lehrer-Paket zum Drucken: 4 Arbeitsblätter (mit Lösungen), Klassentest + Bewertungs-Rubrik, Hausaufgaben in 3 Schwierigkeitsstufen, Elternbrief-Vorlage (inkl. Senioren-Schutz im Umfeld) und Lehrplan-Bezug. → Zum Lehrer-Paket →

📅 Vorschlag: Doppelstunde (90 Min)

  1. 10 Min — Einstieg: „Was würde passieren, wenn jemand euer wichtigstes Passwort hätte?“
  2. 15 Min — Kapitel 2: Starke Passwörter, Passwort-Manager, 2FA und Passkeys.
  3. 15 Min — Kapitel 3: Die häufigsten Betrugsmaschen und ihre Psychologie.
  4. 20 Min — Kapitel 4: „Finde die Falle“ am Beamer + Phishing-Checkliste.
  5. 15 Min — Kapitel 5: Updates, Backups, WLAN, Sperre, Berechtigungen.
  6. 15 Min — Kapitel 6: Notfallplan und Abschlussdiskussion „ruhig statt ängstlich“.

Differenzierung: Schwächere Gruppen bleiben im Einfach-Modus; stärkere wechseln in „Im Detail“ für Technik (Hashing, HTTPS, Passkeys).

Häufige Fragen

Häufig gestellte Fragen

Die wichtigsten Fragen rund um Sicherheit im Netz – kompakt zum Nachschlagen.

Quick-Reference zu Passwörtern, Phishing und Schutz. Antworten sind im FAQPage-Schema für Suchmaschinen und KI-Assistenten hinterlegt.

Achten Sie auf typische Warnsignale: eine Absender-Adresse, die nicht zum Unternehmen passt, eine unpersönliche Anrede („Sehr geehrter Kunde“), künstlichen Zeitdruck oder Drohungen („Konto wird gesperrt“), Rechtschreibfehler, Links, deren echtes Ziel beim Darüberfahren von der Anzeige abweicht, sowie die Aufforderung, Passwörter, PIN/TAN oder Zahlungen preiszugeben. Im Zweifel nicht auf Links klicken, sondern die Seite des Anbieters selbst im Browser aufrufen.
Ein gutes Passwort ist lang (mindestens 12 Zeichen, besser mehr), einzigartig für jeden Dienst und nicht zu erraten. Eine bewährte Methode ist eine Passphrase aus mehreren zufälligen Wörtern. Am einfachsten und sichersten verwaltet man Passwörter mit einem Passwort-Manager, der für jeden Zugang ein eigenes, starkes Passwort erzeugt und speichert. So müssen Sie sich nur noch ein einziges starkes Master-Passwort merken.
Bei der Zwei-Faktor-Authentifizierung brauchen Sie zum Anmelden zusätzlich zum Passwort einen zweiten Nachweis — meist einen Code aus einer App auf Ihrem Handy oder eine Bestätigung per Fingerabdruck. Selbst wenn jemand Ihr Passwort kennt, kommt er ohne diesen zweiten Faktor nicht in Ihr Konto. 2FA ist eine der wirksamsten und einfachsten Schutzmaßnahmen überhaupt.
Ein Passwort-Manager ist ein digitaler Tresor, der für jeden Dienst ein eigenes, starkes Passwort erzeugt und verschlüsselt speichert. Sie merken sich nur ein Master-Passwort. Das ist deutlich sicherer, als überall dasselbe Passwort zu nutzen oder Passwörter auf Zetteln zu notieren. Die Daten sind so verschlüsselt, dass selbst der Anbieter sie nicht lesen kann.
Ruhig bleiben und der Reihe nach handeln: Bei Geld- oder Bankdaten sofort die Bank anrufen und Konto oder Karte sperren lassen (Sperr-Notruf 116 116). Ändern Sie betroffene Passwörter, am besten von einem anderen, sauberen Gerät aus. Erstatten Sie Anzeige bei der Polizei (online oder unter 110). Holen Sie sich Rat bei der Verbraucherzentrale. Und informieren Sie eine nahestehende Person — Sie müssen das nicht allein durchstehen.
Öffentliche WLANs (im Café, Hotel oder Zug) sind für normales Surfen meist in Ordnung, weil heute fast alle Webseiten verschlüsselt sind (erkennbar am „https“ und dem Schloss-Symbol). Vermeiden Sie dort dennoch sensible Vorgänge wie Online-Banking, oder nutzen Sie ein VPN, das Ihre Verbindung zusätzlich verschlüsselt. Achten Sie auf gefälschte Netzwerke mit täuschend echten Namen.
Ein Passkey ist eine moderne Alternative zum Passwort. Statt eines Wortes, das man sich merken und eintippen muss, melden Sie sich mit dem an, was Ihr Gerät ohnehin kann — Fingerabdruck, Gesicht oder Geräte-PIN. Passkeys lassen sich nicht abphishen und nicht aus einem Datenleck stehlen, weil kein geheimes Passwort übertragen wird. Immer mehr Dienste bieten sie an.
Typisch sind ein angeblicher Notfall (Unfall, Festnahme, Krankheit), starker emotionaler Druck, die Bitte um Geheimhaltung („Sag es niemandem“) und die Forderung nach sofortigem Geld oder Wertsachen — oft abgeholt von einer fremden Person. Legen Sie auf, atmen Sie durch und rufen Sie die betroffene Person unter ihrer bekannten Nummer zurück. Echte Angehörige und echte Behörden setzen Sie nie so unter Druck.
Mehr aus der Reihe

Verwandte Themen

Diese Seite gehört zur »verstehen«-Reihe von webhoch. Vielleicht interessiert dich auch:

Betrieben von webhoch.com