06.12.2017 - 13:56:57

Stellungnahme zum Bericht über eine vermeintliche Sicherheitslücke im eduroam der UDE

In den letzten Tagen ist in verschiedenen Medien eine vermeintliche Sicherheitslücke im eduroam der Universität im Bereich des Gebäudes R12 gemeldet worden. Diese Meldung ist ohne Rücksprache von dezentraler Seite veröffentlicht worden und entspricht nicht der Sicht des ZIM, welches für das kabelgebundene und kabellose Netzwerk verantwortlich ist. Die als Indiz herangezogenen Verbindungsprobleme sind kein Hinweis auf einen Angriff und können vielfältigste Ursachen haben (überbuchte Netze, Roaming-Probleme des Endgerätes, etc.) . Der GB ITI des ZIM kann folgende Aussagen machen:

1) Uns ist derzeit kein belegbarer Fall eines Fake-AP bekannt. Seit Aufkommen der Meldung wurde das WLAN über das Monitoring verstärkt beobachtet. Access Points, die nicht vom ZIM betrieben werden und die SSID eduroam ausstrahlen, konnten nicht festgestellt werden.

2) Fake-APs können grundsätzlich an jedem Ort, auch außerhalb und innerhalb der Universität aufgestellt werden. Eine Handhabe von technischer Seite dagegen gibt es nicht.

3) Bei korrekter Konfiguration besteht derzeit keine Gefahr.
Eine genauere Beschreibung des Verfahrens, gerade für alte Android-Geräde kann im Blog des ZIM nachgelesen werden: http://blogs.uni-due.de/zim/2015/03/24/warum-sicherheit-leider-immer-kompliziert-sein-muss-ein-separates-neues-passwort-fuer-eduroam/

4) Das ZIM empfiehlt,
- sich an die Konfigurationsanleitungen für die verschiedenen Betriebssysteme zu halten und damit das eigene Gerät korrekt zu konfigurieren
- zusätzlich ein getrenntes WLAN-Passwort einzurichten
- die in der Anleitung aufgeführte Zertifikatsprüfung unbedingt durchzuführen, damit sich das Gerät nur mit der Uni-eigenen Infrastruktur verbindet
- sich nicht mit unbekannten WLAN-Netzen zu verbinden.

5) Bei Problemen mit der Einrichtung des Endgerätes können sich Nutzer an den e-Point des ZIM wenden.

6) Sicherheitsvorfälle, die das Netzwerk oder zentrale Dienste des ZIM betreffen, sind an das ZIM zu melden (hotline.zim@uni-due.de oder zim-cert@uni-due.de).

Link zu Konfigurationsanleitungen:
https://www.uni-due.de/zim/services/wlan/eduroam-konfiguration.shtml

Link zum Selfcare-Portal der Benutzerverwaltung:
https://benutzerverwaltung.uni-duisburg-essen.de/portal/