Uni-Start: Das hat auch gute Seiten, Campus-WLAN zum Beispiel. Tausende Studierende auf der ganzen Welt verbinden sich täglich mit dem Forschungsnetzwerk Eduroam. Ein fehlendes Zertifikat sorgt allerdings dafür, dass Angreifer Passwörter abgreifen oder eMails im Namen von Studierenden verschicken können. Teilweise ist es sogar möglich, Studierende ohne deren Wissen zu Prüfungen an- oder abzumelden.

Wie groß ist die Gefahr?

Für Apple User: Null.

Android User: Wir haben mit einem IT-Sicherheitsexperten gesprochen. Laut seiner Einschätzung ist die Sicherheitslücke gravierend. Durch die Sicherheitslücke ist es möglich, Passwörter auszuspähen. Wer ein und dasselbe Passwort für mehrere Accounts benutzt, ist erst recht in Gefahr.Bei einer Untersuchung der Uni Ulm fanden Studenten heraus, dass rund 51% aller WLAN-Geräte auf den Campus Ulm mühelos manipuliert werden können.

Wie leicht ist es, Eduroam zu hacken?

Tatsächlich sehr leicht. Laut Expertenmeinung ist kein Informatikstudium nötig, um das Netzwerk anzugreifen. Wer gewillt ist, ein wenig Zeit zu investieren, Software installiert und Anleitungen durchliest, kann das Netzwerk angreifen.

Wie entsteht diese Sicherheitslücke?

Der Grund ist ein fehlendes Root-Zertifikat für Android-User*innen. Dieses wird zum sicheren Surfen benötigt, ist aber bei der Standard-Installation nicht dabei. Android weist auch nicht auf das fehlende Zertifikat hin. Das bedeutet, User*innen merken nur: Geil, WLAN geht – wissen aber nicht, dass sie unsicher surfen.

In diesem Fall können Angreifer einen gefälschten Zugangspunkt aufsetzen. Trägt das ebenfalls den Namen Eduroam, bemerkt der Android-Client nicht, dass er sich ins falsche Netz einloggt. Die Hacker können dann Benutzernamen und Passwort ziehen.

Wie kann ich mich schützen?

Das ist super einfach. User*innen müssen darauf achten, dass in allen WLAN-Einstellungen ein korrektes CA-Zertifikat eingetragen ist. Es darf kein 802.1X-Netzwerk mit den Standard-Einstellungen arbeiten. Speziell für die Verwendung in Eduroam-Netzwerken muss ein Telekom-Zertifikat installiert sein. Dieses gibt es hier zum Download. Einfach auf dem Android-Gerät anklicken und das Zertifikat laden. Android installiert es dann.