Tausende Studierende weltweit nutzen täglich das Eduroam-Netzwerk, um auf dem Campus ins Internet zu kommen. Geht man dabei allerdings einem Hacker auf den Leim, kann das gravierende Folgen haben, erklärt Thomas Lukaseder, Doktorand an der Universität Ulm:
"Das Fatale ist, dass dieser Universitätsaccount auch dazu benutzt werden kann, um E-Mails im Namen von Studierenden oder Mitarbeitern zu schicken. Man kann auch teilweise Leute von Prüfungen abmelden oder dazu anmelden."
Lukaseder wollte diese Sicherheitslücke näher erforschen und schrieb das Phänomen als Bachelorarbeits-Thema aus. Bearbeitet wurde es schließlich von dem Studierenden Manuel Strobel. Die Ulmer führten damit Untersuchungen fort, die bereits 2014 an der Ruhr-Universität Bochum begonnen wurden.
Datentransfer mit Eduroam eigentlich sicher
"Es gab da schon seit etwas längerer Zeit Hinweise auf Schwachstellen. Dies wurde auch in einigen Foren und Blog-Beiträgen diskutiert," erzählt Christina Pöpper, Professorin für Informatik in Bochum. Eigentlich sei der Datentransfer im Eduroam sicher, erläutert die Dozentin.
Die fremde Uni, an der man sich einloggt, bekommt nur mit, von welcher Uni der Benutzer ist, aber bekommt keine Personendaten geliefert.
Sowohl in Bochum als auch in Ulm haben Studierende aber Feldversuche durchgeführt. Darin stellten sie gefälschte Eduroam-Zugriffspunkte, sogenannte Rogue-Access-Points nach. Der Ulmer Bachelor-Student Manuel Strobel war erstaunt über seine Ergebnisse.
"Es hat sich halt gezeigt, dass es ziemlich einfach ist, auch ohne großen Aufwand so einen Rogue-Access-Point aufzusetzen. Und es ist dann eben auch ziemlich einfach, da Benutzerdaten abzugreifen."
WLAN-Endgeräte können einfach manipuliert werden
Zusätzlich startete Strobel eine Online-Umfrage. Die Auswertung seiner beiden Forschungsschritte zeigte, dass rund 47 Prozent der WLAN-Endgeräte auf dem Ulmer Campus mühelos manipuliert werden konnten. In Bochum gab es eigens einen Geräte-Test-Tag, erinnert sich Professorin Christina Pöpper:
"Das hat in einem abgeschirmten Raum stattgefunden. Wir haben sozusagen den ersten Angriff dabei laufen gelassen und dabei die Geräte identifiziert, die nicht korrekt aufgesetzt waren."
Und das waren 52 Prozent aller untersuchten Laptops, Smartphones und Tablets. Damit erzielten die Bochumer und die Ulmer Studien weitgehend deckungsgleiche Ergebnisse. Der Grund dafür sind die beliebten Android-Geräte. Letztere benötigen ein Zertifikat zur sicheren Datenübertragung, erklärt Thomas Lukaseder.
Hochschulen bieten Zertifikat zum Herunterladen an
"Das Problem ist bloß, dass Android dieses Zertifikat in der Standardeinstellung nicht anbietet. Das heißt, der Nutzer sieht nur: Es funktioniert. Dass es dann unsicher ist, können Sie nur herausfinden, indem es Ihnen jemand Drittes sagt."
Die meisten Hochschulen bieten das Zertifikat zum Herunterladen an oder verweisen auf spezielle Download-Seiten. Nach der Installation lassen sich falsche Eduroam-Zugriffspunkte identifizieren.
"Das Eduroam-Netzwerk kann sich authentifizieren gegenüber jedem, der sich dort einloggen möchte. Und mit dem Zertifikat ist es eben möglich, sich mit einem Access-Point zu verbinden und zu sagen: 'Du bist doch gar nicht Eduroam'.
Warum das Zertifikat nach wie vor auf vielen Endgeräten nicht installiert wurde, darüber können die Forscher nur mutmaßen. Trotzdem haben ihre Belege zur Sicherheitslücke im Eduroam schon Wirkung gezeigt, weiß Thomas Lukaseder:
"Also wir wissen, dass andere Forschungsinstitutionen teilweise ihre Anleitungen überarbeitet haben, um eben drauf hinzuweisen, was passiert, wenn man dieses Zertifikat nicht nutzt."
Manuel Strobel fand bei seinen Forschungen: Die wenigsten Sorgen müssen sich iOS-Nutzer machen.
"Um sich mit dem Netzwerk zu verbinden, braucht man so ein Konfigurationsprofil, das man auf dem Endgerät installieren muss. Und da ist es schon mal gar nicht möglich, da irgendwelche Daten abzugreifen."