Dieser Bereich ist als begleitender Kommentar für Lehrkräfte gedacht. Er soll die Labs nicht einfach auflösen, sondern ihre Relevanz einordnen, typische Lernwege sichtbar machen und die didaktische Absicht hinter dem Aufbau der Seite transparent machen.
Cyberangriffe sind längst kein Spezialthema mehr für einige wenige IT-Fachleute, sondern Teil der Lebensrealität unserer Schülerinnen und Schüler. Passwortleaks, Phishing-Nachrichten, unsichere Webseiten, betrügerische Anhänge oder manipulierte Logins tauchen nicht nur in Unternehmen auf, sondern ganz konkret im Alltag junger Menschen.
Im Kerncurriculum Informatik ist IT-Sicherheit zwar angelegt, bleibt im Unterricht aber oft eher auf Begriffe, Regeln und gute Vorsätze beschränkt. Das ist nachvollziehbar, greift aber zu kurz. Wer Schutzmaßnahmen ernst nehmen soll, muss erst einmal verstehen, wie typische Angriffe überhaupt funktionieren, warum Menschen auf sie hereinfallen und an welchen Stellen digitale Systeme unnötig angreifbar werden.
Genau hier setzt das CyberDefense Lab an. Die Lernenden lesen nicht nur über Sicherheitsprobleme, sondern erleben typische Schwachstellen in einem geschützten, didaktisch reduzierten Rahmen selbst. Dadurch entsteht ein deutlich tieferes Verständnis als durch reine Theorie. Ein schwaches Passwort, eine ungeschützte Unterseite oder ein harmlos wirkender Cookie werden erst dann wirklich greifbar, wenn man erlebt, wie wenig es manchmal braucht, um daraus ein Sicherheitsproblem zu machen.
Ein zusätzlicher Mehrwert entsteht dort, wo die Perspektive vom bloßen Klicken auf ein grundlegendes Systemverständnis erweitert wird. Gerade Linux spielt in der Welt der IT-Sicherheit eine zentrale Rolle: Server, Tools, Container, Logdateien, Verzeichnisstrukturen und viele sicherheitsrelevante Arbeitsumgebungen basieren auf Linux oder orientieren sich daran. Wer sich mit Cybersecurity beschäftigt, profitiert deshalb sehr davon, zumindest die Grundlogik des Arbeitens im Terminal zu verstehen.
Der Ansatz geht damit bewusst ein Stück weiter als das Kerncurriculum in seiner Grundstruktur. Ziel ist nicht nur das Kennenlernen einzelner Fachbegriffe, sondern der Aufbau von digitaler Urteilskraft und Resilienz. Die Schülerinnen und Schüler sollen Angriffslogiken erkennen, Schwachstellen einordnen und ihr eigenes Handeln im Netz reflektierter gestalten. Gleichzeitig wird deutlich: Wer digitale Systeme nutzt, trägt Verantwortung, und wer ihre Schwächen versteht, kann sich und andere besser schützen.
Das Lab arbeitet mit einem entdeckenden Zugang. Die Lernenden sollen nicht bloß richtige Antworten abliefern, sondern beobachten, ausprobieren, irritiert werden und daraus Einsichten gewinnen. Kleine Aha-Momente sind hier ausdrücklich Teil des Lernwegs.
Mehrere Labs arbeiten bewusst mit vereinfachten oder simulierten Sicherheitslagen. Das betrifft insbesondere den Bereich mit geschützten Lehrerhinweisen oder Rollenwechseln über Parameter. Diese Konstruktionen ersetzen keine echte serverseitige Authentifizierung, sondern veranschaulichen Prinzipien von Sichtbarkeit, Zugriff und Fehlkonfiguration in didaktisch reduzierter Form.
Die Seite ist nicht als Sammlung kleiner Gags gedacht, sondern als strukturierter Lernraum. Auch dort, wo Easter Eggs oder bewusst versteckte Elemente auftauchen, bleibt die fachliche Idee dieselbe: Lernende sollen entdecken, dass digitale Oberflächen nie die ganze Wahrheit zeigen. Was sichtbar ist, was verborgen bleibt und was trotzdem technisch vorhanden ist, kann im Unterricht immer wieder aufgegriffen werden.
Für die Arbeit im Unterricht bietet sich an, die Labs nicht nur auf die Flag hin bearbeiten zu lassen, sondern die Lernenden nach jedem Durchgang kurz festhalten zu lassen, welche Schwachstelle ausgenutzt wurde, warum sie problematisch ist und wie man sie in echten Systemen vermeiden würde. Genau an dieser Stelle wird aus einer spielerischen Oberfläche belastbares Verständnis.
Die entscheidende pädagogische Frage lautet nicht nur: „Haben sie die Flag gefunden?“, sondern: „Haben sie verstanden, warum das funktioniert hat?“ Gerade das Nachgespräch ist deshalb zentral.
Es sollte offen benannt werden, dass reale IT-Sicherheit deutlich komplexer ist. Das Lab zeigt typische Grundmuster. Es trainiert Wahrnehmung, Vorsicht und Begriffsverständnis, nicht den Angriff auf echte Systeme.
Warum das relevant ist: Beim Brute-Force-Lab wird sehr schnell deutlich, wie anfällig einfache Zugangsdaten sind. Viele Schülerinnen und Schüler nutzen selbst Passwörter, die kurz, leicht zu erraten oder mehrfach verwendet sind. Das Lab zeigt, dass es oft gar kein spektakuläres „Hacking“ braucht, sondern dass simples Ausprobieren bereits zum Erfolg führen kann.
Was dabei gelernt werden soll: Die Lernenden sollen verstehen, warum schwache Passwörter ein echtes Risiko darstellen und weshalb Wiederverwendung problematisch ist. Gleichzeitig wird deutlich, dass Angriffe oft weniger mit Genialität als mit Systematik und menschlicher Bequemlichkeit zu tun haben.
Didaktischer Fokus: Im Nachgespräch lohnt sich die Frage, was ein starkes Passwort ausmacht und warum Passwortmanager gerade deshalb sinnvoll sein können. Wichtig ist außerdem die Einsicht, dass Sicherheit nicht an Geheimwissen scheitert, sondern oft an schlechten Gewohnheiten.
Weg zur Flag: Die Schülerinnen und Schüler führen das Lab durch und testen typische Login-Kombinationen. Dabei bietet es sich an, sowohl den Admin-Zugang als auch den User-Zugang auszuprobieren und die passenden Passwörter zu finden.
Warum das relevant ist: Phishing gehört zu den häufigsten Angriffsmethoden überhaupt. Die Lernenden kommen im Alltag permanent mit Nachrichten, Mails, Links und Formularen in Kontakt. Gerade deshalb ist es wichtig, typische Merkmale manipulativer oder gefälschter Kommunikation zu erkennen.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler sollen Hinweise auf betrügerische Mails erkennen, zum Beispiel Druck, Dringlichkeit, unpassende Absender, sprachliche Auffälligkeiten oder verdächtige Links. Ziel ist nicht nur das richtige Ergebnis im Quiz, sondern ein geschulterer Blick für digitale Kommunikation insgesamt.
Didaktischer Fokus: Besonders ergiebig ist die Frage, warum Phishing gerade deshalb funktioniert, weil es auf Gefühle wie Stress, Hilfsbereitschaft oder Angst setzt. So wird deutlich, dass Sicherheit immer auch mit Kommunikationskompetenz zu tun hat.
Weg zur Flag: Das Lab wird normal bearbeitet. Die Lernenden identifizieren die verdächtigen bzw. echten Nachrichten und erhalten über die korrekte Bearbeitung die Flag.
Warum das relevant ist: Dieses Lab macht sichtbar, dass viele Angriffe nicht in erster Linie technische Systeme angreifen, sondern Menschen. Gerade Jugendliche unterschätzen häufig, wie stark soziale Mechanismen wie Autorität, Hilfsbereitschaft, Zeitdruck oder Neugier ausgenutzt werden können.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler sollen erkennen, dass Manipulation oft subtil beginnt und dass kritisches Nachfragen ein wichtiger Schutzmechanismus ist. Das Lab verbindet damit technische Bildung mit einem reflektierten Umgang mit Kommunikation und Beeinflussung.
Didaktischer Fokus: Hier lässt sich gut herausarbeiten, dass Vorsicht nichts mit Misstrauen gegen Menschen im Allgemeinen zu tun hat, sondern mit bewusstem Prüfen von Situationen. Gerade im schulischen Umfeld ist das eine wichtige Transferstelle.
Weg zur Flag: Das Lab wird Schritt für Schritt bearbeitet. Wer der Aufgabenstruktur folgt und die Manipulationsmuster erkennt, gelangt zur Flag.
Warum das relevant ist: Passwörter spielen im digitalen Alltag eine zentrale Rolle. Gleichzeitig wissen viele Lernende kaum, wie Passwörter in Anwendungen überhaupt gespeichert werden und warum Klartextspeicherung ein massives Problem wäre. Dieses Lab führt in die Logik sicherer Passwortspeicherung ein.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler sollen nachvollziehen, dass Passwörter nicht einfach „irgendwo gespeichert“, sondern idealerweise gehasht und zusätzlich abgesichert werden. Das Lab schafft damit die Grundlage für ein tieferes Verständnis von Passwortsicherheit.
Didaktischer Fokus: Hilfreich ist hier die Abgrenzung zwischen Speichern, Verschlüsseln und Hashing. Viele Lernende werfen diese Dinge zunächst durcheinander. Wenn dieser Unterschied klar wird, ist bereits viel gewonnen.
Weg zur Flag: Die Lernenden folgen dem Lab und arbeiten sich durch die vorgesehenen Schritte, bis die Flag freigeschaltet wird.
Warum das relevant ist: Viele Lernende sehen bei einer Webseite nur die Oberfläche. Dieses Lab macht deutlich, dass der Quelltext öffentlich einsehbar ist und dort versehentlich Informationen landen können, die eigentlich nicht für Nutzerinnen und Nutzer gedacht waren.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler lernen, dass Kommentare, Hinweise oder schlecht versteckte Informationen im Quelltext ein reales Sicherheitsproblem darstellen können. Gleichzeitig wird der Blick dafür geschärft, dass sichtbare Oberfläche und technische Struktur nicht dasselbe sind.
Didaktischer Fokus: Gerade für Anfängerinnen und Anfänger ist dieses Lab ein guter Türöffner, weil es ohne Spezialsoftware funktioniert. Es zeigt sehr niedrigschwellig, dass digitale Systeme immer noch eine zweite Ebene besitzen.
Weg zur Flag: Die Seite wird per „Seitenquelltext anzeigen“ untersucht. Im Kommentarbereich befindet sich der entscheidende Hinweis bzw. die Flag.
Warum das relevant ist: Viele unsichere Systeme verlassen sich zu stark auf Eingaben aus der URL. Wenn Rollen oder Rechte nur über Parameter gesteuert werden, kann das sehr schnell zu ungewollten Zugriffen führen.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler sollen erkennen, dass bloßes Ändern einer URL bereits Auswirkungen auf Berechtigungen haben kann. Damit wird das Verständnis für unsichere Zugriffskontrollen und für die Notwendigkeit serverseitiger Prüfungen geschärft.
Didaktischer Fokus: Hier sollte klar benannt werden, dass das Lab absichtlich vereinfacht ist. In realen Anwendungen würden Rollen nicht so umgesetzt werden dürfen. Gerade diese Vereinfachung macht den Denkfehler aber besonders sichtbar.
Weg zur Flag: In der URL wird der Parameter von user auf admin geändert. Dadurch wird der geschützte Bereich sichtbar bzw. die Flag zugänglich.
Warum das relevant ist: Viele Lernende kennen die Datei robots.txt gar nicht. Gleichzeitig eignet sie sich hervorragend, um zu zeigen, dass Informationen über eine Webstruktur manchmal offen herumliegen und eher aus Gewohnheit als aus Sicherheitslogik veröffentlicht werden.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler sollen verstehen, dass nicht verlinkte Bereiche trotzdem auffindbar sein können und dass eine Datei, die eigentlich für Suchmaschinen gedacht ist, unbeabsichtigt Hinweise für Angreifer liefern kann.
Didaktischer Fokus: Das Lab eignet sich gut, um zwischen „nicht im Menü sichtbar“ und „wirklich geschützt“ zu unterscheiden. Diese Verwechslung begegnet Lernenden erstaunlich oft.
Weg zur Flag: Die Datei /robots.txt wird aufgerufen. Anschließend werden die dort genannten Unterseiten untersucht, bis die Flag gefunden wird.
Warum das relevant ist: Sicherheitslücken entstehen nicht nur durch schlechte Passwörter oder unvorsichtige Nutzer, sondern auch durch ungepatchte Systeme. Das ist für Jugendliche oft abstrakt, obwohl es in der Realität einer der häufigsten Gründe für erfolgreiche Angriffe ist.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler sollen erkennen, warum Updates keine lästige Nebensache sind, sondern ein zentraler Teil von IT-Sicherheit. Gleichzeitig wird deutlich, dass viele Angriffe bekannte Schwachstellen ausnutzen, für die es längst Schutzmaßnahmen gäbe.
Didaktischer Fokus: Hier lässt sich gut die Brücke zum Alltag schlagen: Smartphones, Apps, Browser und Schulsoftware aktualisieren sich nicht ohne Grund. Wer Updates ignoriert, lässt bekannte Risiken oft unnötig offen.
Weg zur Flag: Das Lab wird regulär bearbeitet. Die Flag ergibt sich aus dem Durchlaufen der vorgesehenen Schritte.
Warum das relevant ist: Dieses Lab zeigt einen sehr typischen Schritt aus der Reconnaissance-Phase: das Auffinden versteckter Dateien und Unterseiten. Viele Schülerinnen und Schüler gehen zunächst davon aus, dass „nicht verlinkt“ automatisch „nicht auffindbar“ bedeutet. Genau dieses Missverständnis wird hier aufgebrochen.
Was dabei gelernt werden soll: Die Lernenden sollen verstehen, wie automatisierte Verzeichnissuche funktioniert und warum schlecht geschützte oder vergessene Dateien ein Sicherheitsproblem darstellen. Gleichzeitig lernen sie, dass Angriffe oft mit systematischer Informationssuche beginnen.
Didaktischer Fokus: Das Lab ist ein guter Anlass, um über die Denkweise von Angreifern zu sprechen: Nicht sofort eingreifen, sondern erst sammeln, kartieren, vergleichen. Genau diese Vorarbeit wird im Unterricht sonst leicht übersehen.
Weg zur Flag: Die Gobuster-Simulation wird ausgeführt. Anschließend werden die gefundenen Unterseiten untersucht, zum Beispiel /geheim.html.
Warum das relevant ist: Hashing ist für viele Schülerinnen und Schüler zunächst ein sperriger Begriff. Gleichzeitig ist es ein sehr guter Zugang, um zu zeigen, wie Passwortspeicherung sinnvoll abgesichert werden kann und wo die Grenzen dieser Absicherung liegen.
Was dabei gelernt werden soll: Die Lernenden sollen verstehen, dass Hashes nicht einfach „verschlüsselte Passwörter“ sind, sondern Prüfsummen mit eigener Logik. Außerdem wird deutlich, warum schwache oder bekannte Passwörter trotz Hashing problematisch bleiben und weshalb Salt ein wichtiger zusätzlicher Schutz ist.
Didaktischer Fokus: Fachlich wichtig ist hier die Einsicht, dass Hashing kein Rückweg zur ursprünglichen Eingabe sein soll. Gerade der Unterschied zu „Entschlüsselung“ ist hier zentral und sollte bewusst geklärt werden.
Weg zur Flag: Die im Lab angegebenen Hashes werden mit einem geeigneten Tool oder einer geeigneten Datenbank, zum Beispiel Crackstation, aufgelöst. Beide Ergebnisse müssen korrekt eingegeben werden, damit die Flag erscheint.
Warum das relevant ist: Cookies sind für die meisten Schülerinnen und Schüler ein vertrauter Begriff, aber oft eher im Zusammenhang mit Einwilligungsbannern als mit Sicherheit. Das Lab macht sichtbar, dass im Browser tatsächlich Informationen gespeichert werden, die für Angriffe interessant sein können.
Was dabei gelernt werden soll: Die Lernenden sollen verstehen, dass lokale Browserdaten nicht harmlos sind und dass man mit Entwicklertools deutlich mehr über eine Webseite herausfinden kann, als auf den ersten Blick sichtbar ist.
Didaktischer Fokus: Hier bietet sich die Frage an, welche Daten ein Browser über uns speichert und weshalb Session-Cookies, Rolleninformationen oder Tracking-Daten aus Sicherheitssicht relevant sein können.
Weg zur Flag: Über Rechtsklick und „Untersuchen“ werden die Entwicklertools geöffnet. Anschließend wird im Bereich „Application“ bzw. „Cookies“ die gespeicherte Flag gesucht.
Warum das relevant ist: SQL-Injection ist ein klassisches Beispiel dafür, wie unsaubere Eingabeverarbeitung zu gravierenden Sicherheitsproblemen führen kann. Für Lernende ist das ein guter Zugang, um zu erkennen, dass Eingaben nicht einfach „Text“ sind, sondern in Datenbanksystemen eine besondere Wirkung haben können.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler sollen ein erstes Gefühl dafür bekommen, warum Eingaben gefiltert und korrekt verarbeitet werden müssen. Gleichzeitig lernen sie, dass hinter einer scheinbar einfachen Login- oder Suchmaske oft komplexe Prozesse stehen.
Didaktischer Fokus: SQL-Injection sollte hier nicht als Zaubertrick, sondern als Folge schlechter Eingabeverarbeitung verstanden werden. Die zentrale Frage lautet: Warum darf Nutzereingabe nie ungeprüft Teil einer Datenbankabfrage werden?
Weg zur Flag: Das Lab wird gemäß Aufgabenstellung bearbeitet. Die Flag ergibt sich aus der vorgesehenen Eingabemanipulation innerhalb des geschützten Lab-Rahmens.
Das Linux-Lab nimmt im Projekt eine kleine Sonderrolle ein. Anders als viele andere Aufgaben zeigt es keine konkrete Web-Schwachstelle, sondern stärkt ein grundlegendes Werkzeugverständnis. Das ist aus didaktischer Sicht sehr sinnvoll, weil Cybersecurity in der Praxis fast nie nur aus dem Erkennen bunter Oberflächen besteht. Wer sich ernsthaft mit Systemen, Servern, Logs, Dateistrukturen oder Tools beschäftigen will, braucht früher oder später ein Gefühl für den Umgang mit einem Terminal.
Genau hier liegt der Mehrwert dieses Labs: Die Schülerinnen und Schüler arbeiten nicht nur mit einer Webseite, sondern lernen eine andere Form der Interaktion kennen. Sie müssen Befehle selbst eintippen, Verzeichnisse lesen, zwischen Ordnern wechseln und aus kleinen Hinweisen die richtige Spur ableiten. Dadurch entsteht ein erster Zugang zu einer Arbeitsweise, die in Informatik, Administration und IT-Sicherheit sehr häufig vorkommt.
Gleichzeitig bleibt das Ganze bewusst niedrigschwellig. Es handelt sich nicht um ein echtes System, sondern um eine reduzierte Simulation. Gerade das ist für den Unterricht hilfreich: Die Lernenden werden nicht mit zu vielen Möglichkeiten überfordert, sondern konzentrieren sich auf wenige Grundbefehle wie ls, cd, pwd und cat. Inhaltlich lernen sie dabei, dass man sich in einem Dateisystem orientieren, versteckte Inhalte entdecken und Informationen aus Dateien herauslesen kann.
Neu hinzu kommt die Freischaltung eines Expert Mode nach erfolgreichem Abschluss des Linux-Kurses. Das ist didaktisch sinnvoll, weil die reduzierte Terminal-Ansicht dadurch nicht bloß als Gimmick erscheint, sondern als nächster Schritt nach dem Erwerb grundlegender Orientierung im Terminal.
Warum das relevant ist: Linux spielt in der Informatik und insbesondere in der IT-Sicherheit eine viel größere Rolle, als Schülerinnen und Schüler zunächst vermuten. Viele Server, Tools und Lernumgebungen arbeiten direkt mit Linux oder mit einer vergleichbaren Terminallogik. Wer sich dort orientieren kann, versteht technische Systeme später deutlich leichter.
Was dabei gelernt werden soll: Die Lernenden sollen erste Sicherheit im Umgang mit einer Terminaloberfläche gewinnen. Sie üben das Anzeigen von Verzeichnissen, das Wechseln zwischen Ordnern, das Lesen von Dateien und den Unterschied zwischen sichtbaren und versteckten Inhalten. Gleichzeitig lernen sie, Hinweise systematisch zu verfolgen, statt nur auf sichtbare Buttons zu reagieren.
Didaktischer Fokus: Der große Gewinn dieses Labs liegt im Perspektivwechsel. Die Schülerinnen und Schüler verlassen die reine Klickoberfläche und arbeiten mit einer reduzierten, textbasierten Umgebung. Gerade das macht deutlich, dass Informatik und Cybersecurity oft dort beginnen, wo man Strukturen lesen und mit wenigen Werkzeugen gezielt handeln kann.
Weg zur Flag: Im simulierten Terminal werden die Grundbefehle ausprobiert. Über ls und ls -a werden Verzeichnisse sichtbar gemacht, mit cd wird navigiert und mit cat werden Hinweise gelesen. Am Ende wird die Flag in der richtigen Datei gefunden und auf der Startseite eingetragen.
Die geheimen Flags eignen sich besonders für schnelle Schülerinnen und Schüler oder als Zusatzaufgaben. Sie erweitern den Pflichtteil um kleine Entdeckungsmomente und fördern eigenständiges Erkunden. Gerade hier ist es sinnvoll, nach der Bearbeitung noch einmal ausdrücklich zu thematisieren, welcher Denkfehler oder welche Form von Nachlässigkeit jeweils sichtbar wurde.
Warum das relevant ist: Diese Zusatzaufgabe knüpft an den Gedanken an, dass sensible Bereiche oft direkt erreichbar sind, wenn Schutzmechanismen fehlen oder unzureichend umgesetzt sind.
Was dabei gelernt werden soll: Die Lernenden sollen erkennen, dass Administratorbereiche nicht einfach durch „Nicht-Verlinken“ geschützt sind und dass das Auffinden solcher Seiten oft erstaunlich banal sein kann.
Didaktischer Fokus: Hier lässt sich hervorragend zwischen Oberfläche und tatsächlicher Zugriffskontrolle unterscheiden. Ein Bereich ist nicht deshalb geschützt, weil man ihn nicht prominent bewirbt.
Weg zur Flag: Die Unterseite /admin.html wird direkt aufgerufen und untersucht.
Warum das relevant ist: Diese Aufgabe verbindet Webrecherche mit Decodierung und zeigt, dass Dateien auf einem Server nicht nur existieren, sondern manchmal auch zusätzliche Informationen in kodierter Form enthalten.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler üben genaues Hinsehen, den Umgang mit Dateiinhalt und den Gedanken, dass Informationen nicht immer direkt lesbar präsentiert werden.
Didaktischer Fokus: Gerade stärkere Lernende können hier zeigen, dass Sicherheitsarbeit oft aus mehreren kleinen Schritten besteht: finden, lesen, erkennen, umwandeln, verstehen.
Weg zur Flag: Über /assets wird die Datei fsociety.dat gefunden. Der enthaltene Binärcode wird decodiert.
Warum das relevant ist: Dieses Easter Egg lenkt den Blick auf Metadaten und versteckte Informationen in Mediendateien. Gerade Bilder wirken auf den ersten Blick harmlos, enthalten aber oft mehr Informationen, als Lernende vermuten.
Was dabei gelernt werden soll: Die Lernenden sollen verstehen, dass auch Dateien selbst untersucht werden können und dass Metadaten ein echter Informationskanal sind.
Didaktischer Fokus: Das ist ein guter Anlass, um über Bilder aus Messengern, Social Media und Smartphones zu sprechen. Viele Jugendliche wissen nicht, wie viele Zusatzinformationen Dateien mitbringen können.
Weg zur Flag: Unten auf der Seite wird das Maus-Emoji angeklickt. Danach wird das EXIF-Lab bearbeitet, um die Flag zu erhalten.
Warum das relevant ist: Browserkonsolen werden von Lernenden meistens gar nicht genutzt. Dieses Lab ist deshalb gut geeignet, um zu zeigen, dass sich dort Informationen finden können, die auf der Seite selbst nicht sichtbar sind.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler sollen die Entwicklerkonsole als Werkzeug kennenlernen und verstehen, dass Fehlermeldungen, Debug-Ausgaben oder unsaubere Implementierungen Informationen preisgeben können.
Didaktischer Fokus: Hier wird besonders gut sichtbar, dass technische Systeme oft mehr verraten, als ihre Oberfläche vermuten lässt. Genau das macht die Entwicklerwerkzeuge als Lerninstrument so wertvoll.
Weg zur Flag: Im Kontaktformular wird eine Nachricht eingegeben und abgesendet. Anschließend wird das Lab über die Konsole weiterverfolgt.
Warum das relevant ist: Diese Aufgabe zeigt sehr anschaulich, dass „nicht sichtbar“ nicht dasselbe ist wie „nicht vorhanden“. Elemente können im Frontend ausgeblendet sein, aber trotzdem vollständig im DOM existieren.
Was dabei gelernt werden soll: Die Schülerinnen und Schüler sollen die Entwicklertools gezielt nutzen und verstehen, dass CSS nur die Darstellung verändert, nicht aber den grundsätzlichen Seiteninhalt entfernt.
Didaktischer Fokus: Das Lab eignet sich sehr gut, um die Grenze zwischen Design und Funktion zu thematisieren. Wer nur auf das sichtbare Layout schaut, versteht viele Sicherheitsprobleme nicht vollständig.
Weg zur Flag: Über Rechtsklick und „Untersuchen“ wird im Elements-Bereich das versteckte Element gesucht. Im Style-Bereich wird beim mysteryButton die Einstellung display: none so verändert, dass der Button sichtbar wird. Nach dem Klick erscheint die Flag.