21. Januar 2016;

Eine aktuelle Studie der Universität Ulm hat gezeigt, dass dort 47% der im eduroam genutzten Geräte von einer bereits im Jahr 2014 entdeckten und  publizierten Sicherheitslücke betroffen sind. Besonders perfide ist, dass die fehlerhafte Konfiguration in den meisten Betriebssystemen die Voreinstellung ist und mit ihr eine Verbindung zum eduroam-Netz problemlos möglich ist. Es ist den an eduroam teilnehmenden Einrichtungen zudem technisch nicht möglich, diese Fehlkonfiguration zu erkennen und Nutzer im Einzelfall darauf hinzuweisen.

Konkret besteht die Gefahr darin, dass die Endgeräte nicht verifizieren, ob das Passwort an einen dazu legitimierten Server der eigenen Einrichtung oder an einen Angreifer übertragen wird. In der Folge kann ein Angreifer ein "falsches" eduroam-Netz bereitstellen und die Zugangsdaten (Benutzername und Passwort) der Nutzer, die sich mit diesem Netz verbinden, erbeuten.

Für die Universität Stuttgart gilt, dass Nutzer, die Ihre Systeme unserer Anleitung entsprechend konfiguriert und insbesondere die Verifikation des Server-Zertifikats und des Server-Namens korrekt eingerichtet haben, von der beschriebenen Sicherheitslücke nicht betroffen sind. Die Konfiguration von eduroam ist über das vom DFN bereitgestellte Konfigurationstool, das für Windows, Apple-Geräte, Android, Linux und Chrome OS zur Verfügung steht, unkompliziert möglich. Wenn Sie sich nicht sicher sind, ob Sie möglicherweise von dem beschriebenen Angriff betroffen sind, bietet es sich daher an, die Konfiguration prophylaktisch mit der neuesten Version des Konfigurationstools erneut vorzunehmen. In diesem Fall sollten Sie als Vorsichtsmaßnahme zudem Ihr Passwort ändern.