Betrügerisches eduroam

Ob Recherche für die nächste Hausarbeit, Vernetzung in den Sozialen Netzwerken oder den Essensplan der Mensa abrufen, WLAN macht’s möglich. Wer an einer Hochschule eingeschrieben ist, kann sich quer durch die Universitäten Europas bewegen und sich mit dem eigenen Account in jedes eduroam einloggen. Ein anscheinend betrügerisches Netz mit demselben Namen sorgt nun in der Fakultät für Geisteswissenschaften der Universität Duisburg-Essen (UDE) für Aufruhr.

Vorsicht geboten: An der UDE kursiert aktuell eine gefälschte Internetverbindung. (Foto: dpe)

„In jüngster Zeit mussten wir leider vermehrt feststellen, dass insbesondere im R12-Gebäude in betrügerischer Absicht WLAN-Netze geschaltet werden, welche vorgeben, dass es sich dabei um das WLAN-Netz eduroam handelt“, heißt es in einer E-Mail vom IT-Service-Team der Fakultät für Geisteswissenschaften am Dienstag, 28. November. Das Team vermutet, dass es sich dabei um Angriffe auf die Daten von Studierenden handelt. Denn für die Anmeldung in das falsche WLAN-Netz müssen, wie auch beim normalen eduroam, die Zugangsdaten eingegeben werden.

Wie die Fakultät berichtet, sollen die bei der Anmeldung eingegebenen Daten dann „mitgeloggt, also gespeichert“ und später genutzt werden, um sich Zugang zu den Nutzer*innendaten und „UDE-Diensten, wie zum Beispiel dem E-Mail Postfach zu verschaffen“. Verstärkt soll das vor allem im R12-Gebäude passiert sein, wie die Fakultät sagt. Bislang kann allerdings nicht ausgeschlossen werden, dass auch andere Gebäude der UDE betroffen sein könnten oder Versuche unternommen wurden, dort ebenfalls Daten abzugreifen.

Persönliche Daten auf Abwegen

Das IT-Service-Team der Fakultät hat in der E-Mail an die Studierenden dazu aufgerufen, „sich zunächst einmal über die Online-Benutzerverwaltung ein separates Kennwort für die WLAN-Nutzung einzurichten“. Auch das Passwort der Unikennung sollte geändert werden, allerdings nicht dasselbe sein, das genutzt wird, um sich im eduroam einzuloggen. So soll sichergestellt werden, dass „der Zugriff auf die Uni-Dienste über das gegebenenfalls abgefange Passwort nicht möglich ist“, so das IT-Service-Team. Auch wird zu mehr Misstrauen beim Einloggen im eduroam geraten und zwar, „wenn Sie zwar laut Statusanzeige Ihres Gerätes mit dem WLAN eduroam verbunden sind, jedoch dennoch keinen Zugriff auf das Internet und Onlinedienste haben.“ Wenn dieser Fall eintritt, sollten die Studierenden kurzfristig auf die mobilen Daten umschwenken, sagt das IT-Service-Team. Wem davon aber keine oder nur wenige zur Verfügung stehen oder wer bereits gedrosselt durch die Internetwelt surfen muss, der hat hier das Nachsehen.

Ob die Daten allerdings im richtigen eduroam vollständig sicher sind, darf bezweifelt werden. Wenn Hacker*innen ein Interesse an den Daten der Studierenden haben, dann werden sie diese wohl auch über das normale eduroam bekommen können. In der Vergangenheit wurden international bereits diverse Datenklau-Skandale bekannt. So waren 2013 alle 3 Milliarden bis dahin bei Yahoo registrierten E-Mail-Konten betroffen. Bei einer Attacke auf die amerikanische Wirtschaftsauskunftei Equifax läuft Gefahr, dass auch die Sozialversicherungsnummern der Kund*innen geklaut worden sind. Diese Daten werden dann zum Beispiel weiterverkauft. Gerade für Spammer*innen dürften zumindest Namen und E-Mail-Adressen interessant sein, um sie in neue Mail-Listen umzuwandeln. Andererseits können auch sogenannte Phishing-Mails vermehrt in den Postfächern auftauchen. Durch Phishing versuchen Hacker*innen noch weitere persönliche Daten abzugreifen und in drastischen Fällen Konten leer zu räumen.

Datenschutz ist aber auch über diese Debatte hinweg ein präsentes Thema, denn viele der Daten, die sich die Hacker*innen über ein falsches eduroam sichern könnten, sind wahrscheinlich weniger als die Daten, die viele Studierende bereits durch das Installieren diverser Apps auf ihren Smartphones freiwillig abgeben. Einen Grund für Alarmbereitschaft gibt es also derzeit nicht, ein stärkeres Bewusstsein der Studierenden dafür welche Daten sie wem preisgeben, wäre aber sicherlich alles andere als falsch.