Education Roaming (Eduroam) ist eine internationale Initiative, die an Hochschulen und Bildungseinrichtungen für einen an allen Standorten gültigen WiFi-Zugang sorgt. "Es kommt hauptsächlich zum Einsatz beim kabellosen Netzwerkzugang der Forschenden und Studierenden auf dem eigenen sowie auf einem fremden Campus weltweit", erklärt Switch.
In der Schweiz gehört Eduroam zu den Dienstleistungen von Switch. Es sei bei allen kantonalen und den beiden nationalen Hochschulen ETH und EPFL im Einsatz, ebenso bei allen Fachhochschulen, den meisten pädagogischen Hochschulen sowie bei vielen forschungs- und bildungsnahen Institutionen.
Ende September 2021 veröffentlichten Sicherheitsforscher von Wizcase einen Bericht mit dem Titel "Sicherheits-Blindspot der Universitäten im globalen kostenlosen WLAN-Netzwerk". Man habe 3100 Eduroam-Konfigurationen an Universitäten in ganz Europa untersucht und festgestellt, dass mehr als die Hälfte davon Probleme aufgewiesen hätten, die von Bedrohungsakteuren ausgenutzt werden können, um Daten abzugreifen.
Aber, schreibt Wizcase
im Bericht: "Es ist wichtig zu beachten, dass die Offenlegung nicht auf eine technische Schwachstelle der Dienste/Technologie von Eduroam zurückzuführen ist, sondern auf falsche Konfigurationsanweisungen der Admins der einzelnen Universitäten an die Benutzer."
Problem ist seit Jahren bekannt
"Es handelt sich nicht um eine Schwachstelle im Extensible Authentication Protocol (EAP), sondern um eine Auswirkung, wenn EAP auf einem Gerät falsch konfiguriert wird", betont auch Christian Rohrer, DevOps Engineer bei Switch, gegenüber inside-it.ch. Die sich daraus ergebenden potenziellen Probleme seien seit Jahren bekannt.
Müssen nun Schweizer Hochschulen und Studenten trotzdem alarmiert aufschrecken? Nein, findet Rohrer. Gravierende aktuelle oder vergangene Schwachstellen bei Eduroam seien ihm nicht bekannt.
Wizcase schreibt, dass Bedrohungsakteure in den meisten Universitäten mit falsch konfigurierten Netzwerken ein Eduroam-Netzwerk mit einem "bösen Zwilling" konfigurieren könnten. Diesen könne ein Benutzer für das echte Netzwerk halten, insbesondere auf Android-Geräten.
Geräte nicht manuell konfigurieren
"Grundsätzlich kann man schwerlich der Technik die Schuld geben, wenn sich ein User selber in den Fuss schiesst", erklärt Rohrer. Es sei ein Problem, wenn Institutionen ihren Benutzern inkorrekte Anleitungen beim Aufsetzen von Eduroam vorlegen würden. Solange separate Credentials eingesetzt würden, sei der potenzielle Schaden relativ klein. Abgefangene Zugangsdaten könnten ausschliesslich für die Netzwerkauthentisierung verwendet werden. "Wenn die gleichen Credentials aber auch für den Zugriff auf andere Dienste eingesetzt werden, ist das Schadenspotenzial einiges grösser."
Switch habe den Hochschulen schon immer den Einsatz des Configuration Assistant Tool (CAT) von Eduroam empfohlen, mit welchem die von Wizcase erwähnten Probleme gelöst werden könnten, da die Benutzerinnen und Benutzer ihre Geräte nicht manuell konfigurieren müssen. "Aktuell gehen die Empfehlungen von Switch vermehrt in die Richtung, zertifikatsbasierte Authentisierung einzusetzen (EAP-TLS) anstelle der Benutzer-Credentials", so Rohrer. Letztenendes seien es aber die Hochschulen, die entscheiden, wie sie Eduroam bei ihren Studierenden und Mitarbeitenden ausrollen. Man könne da keine zwingenden Vorgaben machen.
In einer eigenen Stellungnahme hat auch die Eduroam-Initiative auf den Wizcase-Bericht reagiert. "Richtig konfigurierte Eduroam-Clients werden niemals Zugangsdaten an betrügerische Access Points preisgeben, unabhängig vom verwendeten Authentifizierungstyp", heisst es dort. Eduroam basiere "auf den sichersten Verschlüsselungs- und Authentifizierungsstandards, die es heute gibt, und verwendet Enterprise WiFi-Standards". Seine Sicherheit gehe weit über typische kommerzielle Hotspots oder Heim-WLAN hinaus.
In der Stellungnahme sind auch Links zu Anleitungen für die korrekte Netzwerk-Konfiguration enthalten.