Täglich verbinden sich Tausende Studierende und Beschäftigte an Forschungseinrichtungen weltweit über den Dienst Eduroam mit dem Internet. Doch wer seinen Eduroam-Account - zum Beispiel auf dem Smartphone - nicht ausreichend sichert, öffnet Betrügern Tür und Tor.
Informatiker der Universität Ulm haben nämlich gezeigt, dass Benutzernamen und Passwörter von Uni-Mitgliedern ohne großen technischen Aufwand ausgespäht werden können. „Datenabgreifer“ könnten Studierende zu Prüfungen an- und abmelden oder E-Mails in ihrem Namen versenden. Sind Accounts von Prüferinnen und Prüfern betroffen, wäre es sogar möglich, Noten zu verändern. Grund für diese Sicherheitslücke ist die fehlerhafte Konfiguration der Nutzerdaten auf Smartphones mit dem Betriebssystem Android.
Dabei lässt sich der Eduroam-Account ganz einfach absichern: Nutzer müssen bei der Anmeldung lediglich ein Zertifikat der Deutschen Telekom herunterladen. Doch das versäumen vor allem Smartphone-Besitzer mit dem Betriebssystem Android: „Android verwendet in den Standardeinstellungen kein solches Zertifikat und warnt Nutzer auch nicht vor möglichen Gefahren“, sagt Thomas Lukaseder vom Institut für Verteilte Systeme.
Die Sicherheitslücke ist seit längerer Zeit bekannt und der Wissenschaftliche Mitarbeiter hat eine entsprechende Bachelorarbeit ausgeschrieben, um zu untersuchen, inwiefern Ulmer Studierende gefährdet sind. Der Informatikstudent Manuel Strobel benötigte dann lediglich einen handelsüblichen Laptop, um sich vor der Mensa, in Vorlesungen und auf dem Campus als Eduroam-Zugangspunkt „auszugeben“ und Accountdaten auszuspähen. Ein wichtiges Ergebnis seiner Bachelorarbeit: 47 Prozent der in Eduroam genutzten Geräte an der Universität Ulm sind angreifbar. „Hierbei handelt es sich nicht um ein alleiniges Problem der Universität Ulm. Eine ähnliche Studie aus Bochum zeigt: Auch an der Ruhr-Universität sind 52 Prozent der Eduroam-Accounts gefährdet. Wahrscheinlich sind alle Einrichtungen im Eduroam-Verbund betroffen“, betont Lukaseder.
Das Kommunikations- und Informationszentrum (kiz) der Universität Ulm trifft keine Schuld: Auf der Webseite des „Rechenzentrums“ findet sich eine Anleitung zur Installation des Netzwerks, in der auf das Zertifikat der Deutschen Telekom hingewiesen wird.
Ein weiteres Ergebnis der Bachelorarbeit: Technisches Hintergrundwissen hat offenbar keinen Einfluss darauf, ob die Einrichtung des Netzwerks korrekt durchgeführt wird. Gerade die Accounts von angehenden Informatikerinnen und Informatikern sind gefährdet, da diese Studierenden besonders oft das Betriebssysteme Android nutzen und über das eigentlich als sicher geltende Netzwerk Eduroam im Internet surfen. Auf Nachfrage waren viele Betroffene irrtümlich davon überzeugt, das Zertifikat zu verwenden.
Natürlich hat Bachelorstudent Manuel Strobel keine Accountdaten abgespeichert, sondern lediglich die Angreifbarkeit festgestellt. Eduroam-Nutzer an der Universität Ulm und anderswo sollten dennoch ihre Einstellungen überprüfen und gegebenenfalls um das Telekom-Zertifikat erweitern. Danach sollte auch das Passwort geändert werden.
Wissenschaftler um Professor Frank Kargl, Leiter des Instituts für Verteilte Systeme, haben schon öfter Sicherheitslücken aufgedeckt. Als nächsten Schritt will Doktorand Thomas Lukaseder weitere Betriebssysteme untersuchen und die bisherigen Ergebnisse publizieren.
Anleitung des kiz zur korrekten Installation von Eduroam: http://www.uni-ulm.de/einrichtungen/kiz/service-katalog/netzwerk-konnektivitaet/wlan/eduroam.html
Weitere Informationen zur Untersuchung der Informatiker finden sich auf der Webseite des Instituts für Verteilte Systeme:
http://www.uni-ulm.de/in/vs/news-details/article/accounts-von-tausenden-studierenden-und-beschaeftigten-an-der-universitaet-ulm-gefaehrdet.html
Text und Medienkontakt: Annika Bingmann