Eduroam ermöglicht es Studierenden und Mitarbeitern, sich an jeder Universität unkompliziert mit dem WLAN zu verbinden. © Roberto Schirdewahn

Passwort-Diebstahl Die Tücken des Eduroam

An jeder Uni bequem mit den Zugangsdaten der Heimuni ins WLAN – das ist dank eduroam möglich. Doch wer seinen Computer oder sein Handy nicht korrekt dafür konfiguriert, läuft Gefahr, im Netz ausspioniert zu werden.

Die Idee hinter Eduroam, kurz für education roaming, ist einfach, aber genial: Studierende oder Mitarbeiter, die sich für Vorträge oder Gastaufenthalte an einer anderen Universität aufhalten, können sich mit den Zugangsdaten ihrer Heimuni in das WLAN der Fremduni einloggen – das spart Zeit und Arbeit, denn das Beantragen eines Gastzugangs wird überflüssig.

Mittlerweile sind fast alle europäischen und zunehmend auch außereuropäische Länder bei Eduroam vertreten, und immer mehr Universitäten der jeweiligen Länder schließen sich dem Forschungsnetz an.

Viele Geräte nicht sicher vor Datenklau

Doch kaum eine Technik, die nicht auch Hacker auf den Plan rufen würde. So ist es auch mit Eduroam. Prof. Dr. Christina Pöpper und ihr ehemaliger Masterarbeitsstudent Sebastian Brenza von der Arbeitsgruppe Informationssicherheit sind dem Problem nachgegangen und fanden heraus: Von 500 getesteten Nutzergeräten war 2014 mehr als die Hälfte nicht sicher vor einem Diebstahl von Nutzerkennung und Passwort.

„Liest ein Angreifer diese Daten aus, hat er damit Zugang auf viele Uni-Services, zum Beispiel auf das E-Mail-Konto des Nutzers“, sagt Christina Pöpper, die die Arbeitsgruppe seit 2013 leitet.

Christina Pöpper hat an der RUB gemeinsam mit ihren Studenten auf Sicherheitslücken im Eduroam aufmerksam gemacht. © Roberto Schirdewahn

Um herauszufinden, welche Möglichkeiten Hacker im Hinblick auf Eduroam haben, begaben sie und ihr Student sich in die Rolle des Angreifers. Dafür setzten sie einen falschen Access-Point auf und simulierten ein Eduroam.

„Access-Points sind die kleinen Funkgeräte, die verteilt an der Uni an der Wand hängen“, erklärt Pöpper. „Sie senden ein Eduroam-Signal aus, auf das sich internetfähige Geräte verbinden wollen. Gibt der Nutzer seine Kennung und sein Passwort ein, laufen verschiedene Authentifizierungsverfahren ab. Sie prüfen, ob die Daten echt sind. Diese Überprüfungen passieren an der Heimuni, denn dort ist der Nutzer registriert.“

Apple und Android betroffen

Um einen falschen Access-Point aufzusetzen, ist es nicht nötig, ein WLAN-Funkgerät an die Wand zu schrauben. Ein normaler Laptop und eine kleine Funkantenne reichen aus und fallen niemandem auf. So ausgestattet, luden die beiden Sicherheitsexperten vergangenen Sommer zu einem Aktionstag, organisiert vom Rechenzentrum der RUB, in die RUB-Mensa ein.

350 Menschen kamen und brachten ihre insgesamt 500 Smartphones und Laptops mit. Mitarbeiter des Rechenzentrums überprüften mithilfe der von Christina Pöpper und Sebastian Brenza zur Verfügung gestellten Software die einzelnen WLAN-Konfigurationen und stellten fest: In vielen Fällen waren diese fehlerhaft und kein Hindernis für einen potenziellen Angreifer. Betroffen waren sowohl Apple-Geräte als auch Android-Smartphones und -Tablets.

„Das Eduroam-System ist gut durchdacht“, so Christina Pöpper. „Allerdings basiert es darauf, dass von den Nutzern entsprechende Installationen auf den Endgeräten gemacht werden. Welche das sind und wie man dabei vorgehen muss, erfährt man auf den Seiten des Rechenzentrums.“

Sicher unterwegs im Eduroam

<p>Als Besitzer eines Apple-Gerätes sollte man möglichst die von der Heimuniversität angebotenen vorgefertigten WLAN-Profile verwenden. Hierbei muss der Nutzer nur noch seinen Nutzernamen und sein Passwort eingeben, und das Gerät ist im Anschluss korrekt konfiguriert.</p>
<p>Die Nutzer aller anderen Geräte sollten der Konfigurationsanleitung der Heimuniversität folgen. Wichtig ist hierbei, dass die Anleitung die Konfiguration eines Zertifikates vorgibt. Sollte dies nicht der Fall sein, ist die Konfigurationsanleitung fehlerhaft und man sollte sich an das Rechenzentrum der Universität wenden.</p>

Doch warum hatten so viele Besucher des Aktionstages hierbei Fehler gemacht? Zum Teil lag es daran, dass eine Konfigurationsanleitung auf den Seiten des Rechenzentrums unvollständig war. Andere Nutzer wiederum hatten die Zertifikate gar nicht heruntergeladen.

Das Rechenzentrum war dankbar für den Hinweis der Wissenschaftler und korrigierte umgehend die Konfigurationsanleitung. Auch die Geräte selber wiesen zum Teil Schwachstellen auf. Sebastian Brenza, der sie gemeinsam mit dem Doktoranden Andre Pawlowski entdeckte, nahm daraufhin Kontakt zu den Herstellern auf und wies sie auf die Sicherheitslücken hin.

Problem bislang nicht gelöst

Trotz dieser Maßnahmen konnte das Problem der unsicheren Eduroam-Zugänge bisher allerdings nicht gelöst werden: Im Rahmen einer Bachelorarbeit in der Arbeitsgruppe Informationssicherheit wurde im September 2015 erneut eine Auswertung durchgeführt. Es zeigte sich, dass von 1.275 getesteten Geräten knapp die Hälfte anfällig für Angriffe war – ein ähnliches Ergebnis also wie im Jahr zuvor.

Die Schwachstellen der Geräte sind weitgehend die gleichen geblieben.

Christina Pöpper

Nach den Gründen befragt, antwortet Christina Pöpper: „Die Schwachstellen der Geräte sind weitgehend die gleichen geblieben. Es dauert, bis sich neue Betriebssystemversionen oder Sicherheitskorrekturen bei den Benutzern verbreiten. Außerdem ist nicht ausgeschlossen, dass ein Teil der Nutzer zum Beispiel gar nicht mitbekommen hat, dass auf der Webseite des Rechenzentrums eine korrigierte Konfigurationsanleitung zu finden ist.“

Ob es in der Vergangenheit bereits zu einem echten Angriff und in der Folge zu einem Diebstahl von Passwort und Nutzername kam, kann man laut Christina Pöpper nicht genau sagen. Einige Indizien scheinen aber dafür zu sprechen: „Man kann solch einen Angriff nur genau in dem Moment erkennen, in dem er gemacht wird“, sagt Pöpper. „Es gab aber vor einiger Zeit Vorfälle, wo Passwörter geknackt wurden. Ein Angriff über Eduroam könnte die Ursache gewesen sein.“

Angeklickt

<ul>
<li>
<a href="https://noc.rub.de/web/anleitungen">Anleitung für die Eduroam-Konfiguration</a></li>
</ul>

Download hochauflösender Bilder
Der Download der gewählten Bilder erfolgt als ZIP-Datei. Bildzeilen und Bildnachweise finden Sie nach dem Entpacken in der enthaltenen HTML-Datei.
Nutzungsbedingungen
Die Verwendung der Bilder ist unter Angabe des entsprechenden Copyrights für die Presse honorarfrei. Die Bilder dürfen ausschließlich für eine Berichterstattung mit Bezug zur Ruhr-Universität Bochum verwendet werden, die sich ausschließlich auf die Inhalte des Artikels bezieht, der den Link zum Bilderdownload enthält. Mit dem Download erhalten Sie ein einfaches Nutzungsrecht zur einmaligen Berichterstattung. Eine weitergehende Bearbeitung, die über das Anpassen an das jeweilige Layout hinausgeht, oder eine Speicherung der Bilder für weitere Zwecke, erfordert eine Erweiterung des Nutzungsrechts. Sollten Sie die Fotos daher auf andere Weise verwenden wollen, kontaktieren Sie bitte redaktion@ruhr-uni-bochum.de

Unveröffentlicht

Von

Raffaela Römer

Teilen