Suchen Sie jetzt einen Anwalt:
   

JuraForum.deNachrichtenWissenschaftInformatiker finden Sicherheitslücke: Eduroam-Accounts von Studierenden und Mitarbeitern gefährdet 

Informatiker finden Sicherheitslücke: Eduroam-Accounts von Studierenden und Mitarbeitern gefährdet

19.01.2016, 18:10 | Wissenschaft | Autor: | Jetzt kommentieren


Informatiker der Uni Ulm haben eine Sicherheitslücke im Netzwerk "Eduroam"aufgedeckt. Über Eduroam verbinden sich täglich Tausende Studierende und Beschäftigte an Forschungseinrichtungen auf der ganzen Welt mit dem Internet. Das beunruhigende Szenario: Ohne großen Aufwand gelingt es Betrügern, sich als Eduroam-Zugangspunkt auszugeben und so Accountdaten auszuspionieren. Im schlimmsten Fall könnten diese Angreifer E-Mails im Namen der Smartphone-Besitzer verschicken oder sogar Prüfungsergebnisse verändern. Dabei lässt sich ein Eduroam-Account ganz einfach absichern.

Täglich verbinden sich Tausende Studierende und Beschäftigte an Forschungseinrichtungen weltweit über den Dienst Eduroam mit dem Internet. Doch wer seinen Eduroam-Account auf dem Smartphone nicht ausreichend sichert, öffnet Betrügern Tür und Tor: Informatiker der Universität Ulm haben nämlich herausgefunden, dass Benutzernamen und Passwörter von Uni-Mitgliedern ohne großen technischen Aufwand ausgespäht werden können. „Datenabgreifer“ könnten Studierende zu Prüfungen an- und abmelden oder E-Mails in ihrem Namen versenden. Sind Accounts von Prüferinnen und Prüfern betroffen, wäre es sogar möglich, Noten zu verändern. Grund für diese Sicherheitslücke ist die fehlerhafte Konfiguration der Nutzerdaten auf Smartphones mit dem Betriebssystem Android.

Dabei lässt sich der Eduroam-Account ganz einfach absichern: Nutzer müssen bei der Anmeldung lediglich ein Zertifikat der Deutschen Telekom herunterladen. Doch das versäumen vor allem Smartphone-Besitzer mit dem Betriebssystem Android: „Android verwendet in den Standardeinstellungen kein solches Zertifikat und warnt Nutzer auch nicht vor möglichen Gefahren“, sagt Thomas Lukaseder vom Institut für Verteilte Systeme. Bereits vor einigen Monaten hatte der Wissenschaftliche Mitarbeiter die potentielle Sicherheitslücke entdeckt und eine entsprechende Bachelorarbeit ausgeschrieben. Der Informatikstudent Manuel Strobel benötigte dann lediglich einen handelsüblichen Laptop, um sich vor der Mensa, in Vorlesungen und auf dem Campus als Eduroam-Zugangspunkt „auszugeben“ und Accountdaten auszuspähen. Ein wichtiges Ergebnis seiner Bachelorarbeit: 47 Prozent der in Eduroam genutzten Geräte an der Universität Ulm sind angreifbar. „Hierbei handelt es sich nicht um ein alleiniges Problem der Universität Ulm. Eine ähnliche Studie aus Bochum zeigt: Auch an der Ruhr-Universität sind 52 Prozent der Eduroam-Accounts gefährdet. Wahrscheinlich sind alle Einrichtungen im Eduroam-Verbund betroffen“, betont Lukaseder. Das Kommunikations- und Informationszentrum (kiz) der Universität Ulm trifft keine Schuld: Auf der Webseite des „Rechenzentrums“ findet sich eine Anleitung zur Installation des Netzwerks, in der auf das Zertifikat der Deutschen Telekom hingewiesen wird.

Ein weiteres Ergebnis der Bachelorarbeit: Technisches Hintergrundwissen hat offenbar keinen Einfluss darauf, ob die Einrichtung des Netzwerks korrekt durchgeführt wird. Gerade die Accounts von angehenden Informatikerinnen und Informatikern sind gefährdet, da diese Studierenden besonders oft das Betriebssysteme Android nutzen und über das eigentlich als sicher geltende Netzwerk Eduroam im Internet surfen. Auf Nachfrage waren viele Betroffene irrtümlich davon überzeugt, das Zertifikat zu verwenden.

Natürlich hat Bachelorstudent Manuel Strobel keine Accountdaten abgespeichert, sondern lediglich die Angreifbarkeit festgestellt. Eduroam-Nutzer an der Universität Ulm und anderswo sollten dennoch ihre Einstellungen überprüfen und gegebenenfalls um das Telekom-Zertifikat erweitern. Danach sollte auch das Passwort geändert werden.

Wissenschaftler um Professor Frank Kargl, Leiter des Instituts für Verteilte Systeme, haben schon öfter Sicherheitslücken aufgedeckt. Als nächsten Schritt will Doktorand Thomas Lukaseder weitere Betriebssysteme untersuchen und die bisherigen Ergebnisse publizieren.

Weitere Informationen:
- http://www.uni-ulm.de/einrichtungen/kiz/service-katalog/netzwerk-konnektivitaet/wlan/eduroam.html Anleitung zur korrekten Installation von Eduroam

Quelle: idw


Weitere Nachrichten zum Thema
  • BildBeste junge Informatiker gesucht (01.02.2012, 11:10)
    Informatikwettbewerb für Schülerinnen und Schüler am 10. März 2012 an der Universität Potsdam / Anmeldungen noch bis 17. Februar möglichDer diesjährige Informatikwettbewerb im Land Brandenburg findet am 10. März 2012 am Institut für Informatik der...
  • BildBespitzelung von Mitarbeitern nimmt zu (21.10.2011, 10:36)
    Dresden, 21.10.2011 – Der Arbeitnehmer wird immer gläserner. Geht es nach den Plänen der Bundesregierung, soll in diesem Jahr das neue Beschäftigtendatenschutzgesetz verabschiedet werden. Wissenschaftler, Anwälte und Parteienvertreter diskutierten...
  • BildSaarbrücker Informatiker entdecken schwere Sicherheitslücke in Android-Smartphones (05.08.2011, 14:10)
    Smartphones, die mit dem Android-Betriebssystem ausgestattet sind, weisen eine schwere Sicherheitslücke auf. Darüber könnten sich Internet-Kriminelle Zugang zu diesen Handys verschaffen und sensible Informationen ausspähen. Das haben Michael...
  • BildSicherheitslücke im iPhone (20.11.2008, 15:00)
    Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) haben eine Sicherheitslücke im iPhone entdeckt. Das berichtet COMPUTERBILD in seiner am kommenden Montag erscheinenden Ausgabe: Mit einem einfachen Trick können...
  • BildKritische Sicherheitslücke in Mobiltelefonen von Sony Ericsson (13.11.2007, 09:00)
    Der Bremer Informatiker Adrian Nowak schreibt seine Diplomarbeit über "Sicherheit mobiler Endgeräte".Wie sicher sind Handys? Mit dieser Frage beschäftigte sich der Informatiker Adrian Nowak vom Technologie-Zentrum Informatik der Universität Bremen...
  • BildGravierende Sicherheitslücke in Funknetzen zieht bundesweit Kreise (13.06.2007, 13:00)
    Enorme Sicherheitslücke in drahtlosen Netzen aufgedeckt. Bundesdatenschutzbeauftragter und Bundesverband der Verbraucherschutzzentralen schalten sich ein. Einladung zur Pressekonferent / auch live im Internet...
  • Bild"Kindern von Studierenden sowie Mitarbeiterinnen und Mitarbeitern campusnahe Betreuung bieten" (25.05.2007, 09:00)
    Unterzeichnung der Kooperationsvereinbarung am Donnerstag, dem 31. Mai 2007, um 11 Uhr im Hörsaalgebäude, Raum 0011Die Fachhochschule Schmalkalden möchte noch familienfreundlicher werden. Dazu gehört auch eine verbesserte Betreuung der Kinder von...
  • BildTrainingslager für angehende Informatiker (05.03.2007, 12:00)
    In Medien und Politik wird momentan heiß diskutiert, wie man nach der Exzellenzinitiative für die Forschung auch die Lehre verbessern kann. Dass es selbst an einer "Massenuniversität" möglich ist, Studierende hervorragend auszubilden, zeigen seit...
  • BildDresdner Informatiker sind Weltmeister (28.07.2006, 13:00)
    Ein an der Fakultät für Informatik der TU Dresden entworfenes Computerprogrammhat am 19. Juli 2006 die zweite Weltmeisterschaft für universelle Spielprogramme in Boston, USA, gewonnen. Dabei traten Computer in einer Reihe verschiedenster Spiele,...
  • BildRUB-Arbeitsgruppe findet Sicherheitslücke im iTAN-Verfahren (11.11.2005, 10:00)
    Bochum, 11.11.2005Nr. 355Phishing bleibt gefährlichSchutz nur in Verbindung mit SSL RUB-Arbeitsgruppe findet Sicherheitslücke im iTAN-VerfahrenPhishing bleibt gefährlich. Immer mehr Online-Banking-Kunden fallen auf gefälschte Mails herein, die...

Ähnliche Themen in den JuraForen


Kommentar schreiben

48 - Vi/er =

Bisherige Kommentare zur Nachricht (0)

(Keine Kommentare vorhanden)



JuraForum.deNachrichtenWissenschaftInformatiker finden Sicherheitslücke: Eduroam-Accounts von Studierenden und Mitarbeitern gefährdet 

Fragen Sie einen Anwalt!
Anwälte sind gerade online.
Schnelle Antwort auf Ihre Rechtsfrage.

JuraForum-Newsletter

Kostenlose aktuelle Urteile und Rechtstipps per E-Mail:

Top 10 Orte in der Anwaltssuche

JuraForum-Suche

Durchsuchen Sie hier JuraForum.de nach bestimmten Begriffen:

© 2003-2016 JuraForum.de — Alle Rechte vorbehalten. Keine Vervielfältigung, Verbreitung oder Nutzung für kommerzielle Zwecke.