Im Eduroam Verbund, an dem auch die Universität Ulm teilnimmt, gewähren viele Forschungseinrichtungen weltweit ihren Beschäftigten und Studierenden gegenseitig freien Zugang zu ihren WLAN Netzen. Dies ist sicher eines der weltweit größten Beispiele für internationale Kooperation im Forschungsbereich. Die Accounts vieler Nutzerinnen und Nutzer dieses Dienstes sind jedoch nicht genügend gegen Angriffe gesichert. Dies ist ein Ergebnis der Forschungsarbeit des Instituts für Verteilte Systeme in Zusammenarbeit mit dem Kommunikations- und Informationszentrum (KIZ). Bereits mit einfachen Mitteln ist es demnach möglich, die Accountdaten der Studierenden und Beschäftigten auszulesen. Grund hierfür ist eine häufig fehlerhafte Konfiguration der Userdaten auf Smartphones mit dem Betriebssystem Android.
"Zum Absichern des Accounts ist es unerlässlich, das Zertifikat der Deutschen Telekom bei der Einrichtung anzugeben. Jedoch verwendet Android in der Standardeinstellung kein Zertifikat und warnt die Nutzerinnen und Nutzer auch nicht, dass dies gefährlich sein könnte.", so Securityforscher Thomas Lukaseder vom Institut für Verteilte Systeme. Manuel Strobel, Informatikstudent an der Universität Ulm, untersuchte die Schwachstelle im Rahmen seiner Bachelorarbeit. Er kam zu dem Ergebnis, dass sich zwar die meisten der Android- und Eduroamnutzerinnen und -nutzer sicher sind, das Zertifikat zu verwenden, dies aber bei zwei Dritteln der getesteten Androidgeräte tatsächlich nicht der Fall ist und so die Accountdaten leicht zugänglich sind. Im Rahmen der Tests, die in Vorlesungen, auf dem Weg zur und von der Universität sowie in und vor der Mensa der Universität durchgeführt wurden, hätten die Daten von über 200 Betroffenen mitgelesen werden können, wären die Tests reale Angriffe gewesen. So hingegen wurde nur die Angreifbarkeit der Accounts festgestellt, sensible Daten dagegen nicht ausgelesen.
Die Ulmer Forscher aus der Forschungsgruppe um Prof. Dr. Frank Kargl fanden heraus, dass 47 % aller im Eduroam genutzten Geräte an der Universität Ulm angreifbar sind und bestätigten damit vergleichbare Ergebnisse einer Studie, die an der Ruhr-Universität Bochum durchgeführt wurde und bei der 52 % der Eduroamaccounts angreifbar waren. Dies zeigt, dass es sich hierbei nicht um ein Problem nur an der Universität Ulm oder der Ruhr-Universität Bochum handelt sondern dies wahrscheinlich alle Forschungseinrichtungen im Eduroam-Verbund betrifft. Die Resultate der beiden Studien ähneln sich, obwohl in der Bochumer Anleitung zur Einrichtung von Eduroam einige Monate vor den Tests der Hinweis auf das notwendige Zertifikat noch fehlte, während er in der Anleitung des KIZ in Ulm vorhanden war. In Ulm wurde zudem untersucht, ob die Accounts von Studierenden verschiedener Fachrichtungen in unterschiedlichem Ausmaß angreifbar sind. Hier konnte festgestellt werden, dass gerade die Studierenden der Informatik am stärksten gefährdet sind, weil sie überproportional häufig gleichzeitig Eduroam und Android nutzen. Des Weiteren fand die Studie heraus, dass Hintergrundwissen im technischen Bereich keinen Einfluss darauf hat, ob die Einrichtung des Netzwerks korrekt vorgenommen wird oder nicht.
Abgegriffene Accountdaten von Studierenden könnten missbräuchlich dazu genutzt werden, auf die gesamte Notenübersicht der betroffenen Personen zuzugreifen, Studierende zu Kursen und Prüfungen an- bzw. abzumelden, ihre E-Mails zu lesen oder E-Mails in ihrem Namen zu versenden. Noch drastischer stellt sich die Situation bei den Beschäftigten dar. Bei Accounts von Prüferinnen und Prüfern etwa wäre es hier sogar möglich, Noten von Studierenden zu ändern, was zur fälschlichen Exmatrikulation dieser Studierenden führen könnte.
Betroffene mit fehlerhafter Konfiguration müssen sofort ihre Eduroameinstellungen um die Angabe des Telekomzertifikates erweitern oder auf die Nutzung von Eduroam verzichten. Wie Eduroam korrekt eingerichtet wird, lässt sich auf der 
Webseite des KIZ nachlesen. Nach dem Absichern des Accounts sollte auch das Passwort geändert werden.
Kontakt: 
thomas.lukaseder(at)uni-ulm.de