Die beiden Studenten David Gugelmann und Matthias Egli vom Departement für Informationstechnologie und Elektrotechnik (D-ITET) untersuchten, wie leicht kabellose Netzwerke (Wireless Local Area Networks, WLAN) im allgemeinen und die der ETH angegriffen und Verbindungen abgehört werden können. Dazu befragten sie über 1000 Studierende der ETH zu ihrem Verhalten in kabellosen Netzwerken.

In ihrer Arbeit zeigen sie, wie die kabellosen Netze einen so genannten Man-in-the-middle-Angriff vereinfachen. In einem Man-in-the-middle-Angriff steht der Angreifer zwischen den beiden Kommunikationspartnern und hat vollständige Kontrolle über den Datenverkehr dieser beiden, so dass er die Informationen nach Belieben einsehen und auch manipulieren kann.

So kann er einen falschen Webserver vortäuschen, wenn der User zum Beispiel eine eBanking-Webseite aufsuchen will, ohne dass dieser es merkt. Kabellose Netzwerke vereinfachen solche Angriffe, da der Angreifer keinen physischen Zugriff auf das Netz haben muss; es reicht aus, in Funkreichweite eines kabellosen Zugangspunktes der ETH zu sein.

Sicherheitsrisiken unterschätzt

Wie die Umfrage unter den Studierenden zu ihrem Surfverhalten zeigt, denken viele Internetuser, dass sie zu klein und ihre Daten zu unwichtig sind für solche Angriffe. Diese Grundhaltung zeigt, dass sie sich zwar der Gefahren und Risiken bewusst sind, doch nicht glauben, dass es genau sie treffen wird. Nicht nur diese Ansichten, sondern auch falsch konfigurierte Webseiten, komplizierte Sicherheitstechniken und benutzerunfreundliche Fehlermeldungen machen es schwierig, Internetuser für das sichere Surfen zu motivieren.

So kann zum Beispiel ein falsch konfiguriertes Windows Vista Betriebssystem sehr oft Fehlermeldungen anzeigen, an die sich dann die User gewöhnen. Sie klicken dann auch sicherheitsrelevante Fehlermeldungen einfach weg, ohne sie weiter zu beachten.

Des Weiteren zeigt die Umfrage, dass nur wenig Studierende (nur 6 Prozent) bei den Zertifikaten wissen, welche Bedeutung eine Fehlermeldung haben kann. Selbst Studierende aus den Fachgebieten Elektrotechnik und Informatik fällt es schwer, sicherheitsrelevante Fehlermeldungen von harmlosen Konfigurationsfehlern zu unterscheiden. Zertifikate sind elektronische Ausweise, die von einer vertrauenswürdigen Einrichtung, einer Zertifizierungsinstanz, wie zum Beispiel Verisign, ausgestellt werden. Jede Webseite, welche mit einem https (statt http) beginnt, benötigt zwingend ein Zertifikat, denn es garantiert die Identität des angewählten Webservers.

Tipps zum sicheren Surfen

Die einzige Möglichkeit der Nutzer eines kabellosen Netzwerkes, sich gegen Man-in-the-middle-Angriffen zu schützen, ist, auf Zertifikate zu achten. Als technische Unterstützung empfehlen David Gugelmann und Matthias Egli, konsequent Firefox 3 als Browser zu verwenden. Die vom Firefox 3 angezeigten Fehlermeldungen sind keine Popups mehr, die einfach wegzuklicken sind, sondern erfordern vom User, dass er sie aufmerksam durchliest.

Auch raten sie, dass User in kabellosen Netzen weder eBanking-Geschäfte vornehmen noch Mails abrufen. Des Weiteren schlagen sie vor, dass die Studierenden in den Einführungskursen im Gebrauch der Informatikmittel an der ETH nachdrücklich auf den bewussten Umgang mit Zertifikaten hingewiesen werden. Zudem werden im Moment von den Informatikdiensten der ETH Massnahmen umgesetzt, die Angriffe verhindern oder zumindest erkennen können.

Tiefer Einblick in die Privatsphäre

Das Schadenpotenzial ist gross. Die Angreifer können nicht nur die Zugangsdaten zu Konti des Users erlangen, sondern auch die Interessen und Neigungen der beobachteten Personen ermitteln, ein Bewegungsprofil erstellen oder den E-Mail-Verkehr protokollieren.

Durch die so gewonnenen Daten kann ein Angreifer ein detailliertes Bild der Beziehungen und der Geschäfte einer Person ermitteln. Dadurch kann er einfach die Identität des Users vortäuschen, um zum Beispiel auf dessen Kosten einzukaufen oder dessen Konti auszuräumen. Die Möglichkeiten, die die Kenntnis des ETH Logins ermöglichen, gehen von Zugriff auf die privaten E-Mails bis hin zur Industriespionage.

Die Resultate der Umfrage und technische Details zu den im Internet verwendeten Sicherheitstechniken können direkt in der Arbeit von David Gugelmann und Matthias Egli nachgelesen werden.