Vorsicht vor Passwort-Diebstahl
Ruhr-Universität Bochum

An jeder Uni bequem mit den Zugangsdaten der Heimuni ins WLAN – das ist dank eduroam möglich. Doch wer seinen Computer oder sein Handy nicht korrekt dafür konfiguriert, läuft Gefahr, im Netz ausspioniert zu werden. Wissenschaftler der AG Informationssicherheit fanden heraus: Von rund 1.300 getesteten Nutzergeräten war knapp die Hälfte nicht sicher vor einem Diebstahl von Nutzerkennung und Passwort.

Die Idee hinter eduroam (kurz für education roaming) ist einfach, aber genial: Studierende oder Mitarbeiter, die sich für Vorträge oder Gastaufenthalte an einer anderen Uni aufhalten, können sich mit den Zugangsdaten ihrer Heimuni in das WLAN der Fremduni einloggen – das spart Zeit und Arbeit, denn das Beantragen eines Gastzugangs wird überflüssig. Mittlerweile sind fast alle europäischen und zunehmend auch außereuropäische Länder bei eduroam vertreten, und immer mehr Universitäten der jeweiligen Länder schließen sich dem Forschungsnetz an.

Doch kaum eine Technik, die nicht auch Hacker auf den Plan rufen würde. So ist es auch mit eduroam. Prof. Dr. Christina Pöpper und ihr ehemaliger Masterarbeitsstudent Sebastian Brenza von der AG Informationssicherheit sind dem Problem nachgegangen und fanden heraus: Von 500 getesteten Nutzergeräten war 2014 mehr als die Hälfte nicht sicher vor einem Diebstahl von Nutzerkennung und Passwort. „Liest ein Angreifer diese Daten aus, hat er damit Zugang auf viele Uni-Services, zum Beispiel auf das E-Mail-Konto des Nutzers“, sagt Christina Pöpper, die die AG seit 2013 leitet.

Um herauszufinden, welche Möglichkeiten Hacker im Hinblick auf eduroam haben, begaben sie und ihr Student sich in die Rolle des Angreifers. Dafür setzten sie einen falschen Access-Point auf und simulierten ein eduroam. „Access-Points sind die kleinen Funkgeräte, die verteilt an der Uni an der Wand hängen. Sie senden ein eduroam-Signal aus, auf das sich internetfähige Geräte verbinden wollen. Gibt der Nutzer seine Kennung und sein Passwort ein, laufen verschiedene Authentifizierungsverfahren ab. Sie prüfen, ob die Daten echt sind. Diese Überprüfungen passieren an der Heimuni, denn dort ist der Nutzer registriert“, erklärt Pöpper.

Um einen falschen Access-Point aufzusetzen, ist es nicht nötig, ein WLAN-Funkgerät an die Wand zu schrauben. Ein normaler Laptop und eine kleine Funkantenne reichen aus und fallen niemandem auf. So ausgestattet luden die beiden Sicherheitsexperten vergangenen Sommer zu einem Aktionstag, organisiert vom Rechenzentrum der RUB, in die RUB-Mensa ein. 350 Menschen kamen und brachten ihre insgesamt 500 Smartphones und Laptops mit. Mitarbeiter des Rechenzentrums überprüften mit Hilfe der von Christina Pöpper und Sebastian Brenza zur Verfügung gestellten Software die einzelnen WLAN-Konfigurationen und stellten fest: In vielen Fällen waren diese fehlerhaft und kein Hindernis für einen potenziellen Angreifer. Betroffen waren sowohl Apple-Geräte als auch Android-Smartphones und -Tablets. „Das eduroam-System ist gut durchdacht“, so Christina Pöpper. „Allerdings basiert es darauf, dass von den Nutzern entsprechende Installationen auf den Endgeräten gemacht werden. Welche das sind und wie man dabei vorgehen muss, erfährt man auf den Seiten des Rechenzentrums.“ Doch warum hatten so viele Besucher des Aktionstages hierbei Fehler gemacht? Zum Teil lag es daran, dass eine Konfigurationsanleitung auf den Seiten des Rechenzentrums unvollständig war. Andere Nutzer wiederum hatten die Zertifikate gar nicht heruntergeladen. Das Rechenzentrum war dankbar für den Hinweis der Wissenschaftler und korrigierte umgehend die Konfigurationsanleitung.

Auch die Geräte selber wiesen zum Teil Schwachstellen auf. Sebastian Brenza, der sie gemeinsam mit dem Doktoranden Andre Pawlowski entdeckte, nahm daraufhin Kontakt zu den Herstellern auf und wies sie auf die Sicherheitslücken hin.

Trotz dieser Maßnahmen konnte das Problem der unsicheren eduroam-Zugänge bisher allerdings nicht gelöst werden: Im Rahmen einer Bachelorarbeit in der AG Informationssicherheit wurde im September 2015 erneut eine Auswertung durchgeführt. Es zeigte sich, dass von 1.275 getesteten Geräten knapp die Hälfte anfällig für Angriffe war – ein ähnliches Ergebnis also wie im Jahr zuvor. Nach den Gründen befragt, antwortet Christina Pöpper: „Die Schwachstellen der Geräte sind weitgehend die gleichen geblieben. Es dauert, bis sich neue Betriebssystemversionen oder Sicherheitskorrekturen bei den Nutzern verbreiten. Außerdem ist nicht ausgeschlossen, dass ein Teil der Nutzer zum Beispiel gar nicht mitbekommen hat, dass auf der Webseite des Rechenzentrums eine korrigierte Konfigurationsanleitung zu finden ist.“

Ob es in der Vergangenheit bereits zu einem echten Angriff und in der Folge zu einem Diebstahl von Passwort und Nutzername kam, kann man laut Christina Pöpper nicht genau sagen. Einige Indizien scheinen aber dafür zu sprechen: „Man kann solch einen Angriff nur genau in dem Moment erkennen, in dem er gemacht wird. Es gab aber vor einiger Zeit Vorfälle, wo Passwörter geknackt wurden. Ein Angriff über eduroam könnte die Ursache gewesen sein.“

http://rubin.rub.de/de/die-tuecken-des-eduroam

Pariser Klima-Abkommen: „Alle sitzen in einem Boot – aber keiner weiß, wie kräftig er rudern muss!“
FernUniversität in Hagen

Umweltökonom der FernUniversität: „Hauptaufgabe ausgeklammert!“. „Eine beeindruckende Leistung, ein Dokument des guten Willens“ ist für den Umweltökonomen Prof. Dr. Alfred Endres von der FernUniversität in Hagen das Abkommen zur Klimastabilisierung als Ergebnis der UN-Klimakonferenz in Paris 2015: „Erstmals haben sich nahezu alle Länder der Erde auf anspruchsvolle gemeinsame klimapolitische Ziele geeinigt. Das ist zweifellos ein Riesenfortschritt.“ So stehen jetzt praktisch alle Staaten hinter dem Vertrag, während das Kyoto-Protokoll von 1997 nur Industrieländer in die Pflicht nahm. Der Inhaber des Lehrstuhls für Volkswirtschaftslehre, insbesondere Wirtschaftstheorie ist allerdings auch auf einige Defizite des Pariser Abkommens gestoßen: „Ich bedaure es zwar, aber als Wissenschaftler muss ich die Dinge nüchtern betrachten und bei aller verständlichen Euphorie doch an einigen Stellen Wasser in den Wein gießen.“

Vor allem kritisiert er, dass der Vertrag dort zu unpräzise ist, wo es um die konkreten Maßnahmen geht, die die Klimaveränderungen beschränken sollen: „Hier fällt das Pariser Abkommen noch hinter das Kyoto-Protokoll zurück, mit dem ja kaum jemand glücklich gewesen ist“, sagt Alfred Endres.

Der renommierte Wissenschaftler konzentriert sich bei seiner Analyse auf die drei wichtigsten Ziele des Pariser Abkommens:

1. Die Erwärmung der Erde soll weniger als 2 Grad Celsius betragen im Vergleich mit dem vorindustriellen Zustand. Noch anspruchsvoller ist das Idealziel der Konferenz: maximal 1,5 Grad Erwärmung.

Laut dem Text des Abkommens wird zunächst eine Bestandsaufnahme der Maßnahmen durchgeführt, die sich die Länder zur Emissionsreduktion bereits selbst vorgenommen haben. Die geplanten Reduktionen werden zusammengeführt (aggregiert). Daraus ergibt sich eine „intendierte globale Reduktion“, die aber nach der Überzeugung der Konferenzteilnehmer nicht zum „unter 2-Grad-Ziel“ führen wird. Das Abkommen fordert die Länder daher auf, ihre Anstrengungen weiter zu erhöhen. Endres: „Es wird aber nicht gesagt, welches Land wie viel beitragen muss, um die Lücke zu schließen. Es gibt nur die aggregierte Vorstellung und Appelle, keine genauen Zuweisungen. Eine zentrale Aufgabe wird im Abkommen also völlig ausgeklammert!“.

Demgegenüber verpflichteten sich in Kyoto die teilnehmenden Staaten, bestimmte Reduktionsziele zu erreichen (ob sie das realisierten, steht allerdings auf einem anderen Blatt). Endres: „Seit Paris sitzen alle in einem Boot – aber keiner weiß, wie kräftig er rudern muss.“

2. Langfristig soll weltweit Treibhausgas-neutral gewirtschaftet werden. In der zweiten Hälfte des Jahrhunderts soll ein Ausgleich stattfinden zum Ausstoß von Treibhausgasen, z.B. durch das Pflanzen von Bäumen.

Endres kritisiert: „In dem Abkommen steht nur, dass ‚Treibhausgas-neutral‘ gewirtschaftet werden soll. Nicht, wie dieses Ziel zu erreichen ist.“ Es ist also keine Rede davon, dass dies mit erneuerbaren Energien geschafft werden muss. Der Weg ist offen gehalten.“ Und dieser Weg könnte in anderen Staaten auch zur Atomkraft führen: „Deutschland kann anderen Ländern ja keine Energiewende nach unserem Vorbild gebieten.“

Er kritisiert auch, wie viele Medien den Umsetzungszeitpunkt darstellen: „Oft wird vereinfachend gesagt, dass dies bis 2050 passieren soll. Das Pariser Abkommen legt die Zielerreichung jedoch auf einen undefinierten Zeitpunkt zwischen 2050 und 2099 fest. Das muss deutlicher kommuniziert werden. Schon das Jahr 2050 werden viele Beteiligte nicht mehr in ihren Ämtern erleben, die meisten können kaum zur Rechenschaft gezogen werden.“

3. Die Industriestaaten wollen den Entwicklungsländern finanziell massiv helfen, damit sie die Lasten der Klimaschutzmaßnahmen tragen können.

Eine konkrete Summe hierfür fand Endres nicht im Vertrag, sondern in der vorgeschalteten Entschließung. Die Industriestaaten hatten bereits auf ihrer Konferenz in Kopenhagen zugesagt, jährlich 100 Milliarden Dollar bereit zu stellen. Nur: „Auch hier ist nicht festgelegt, welche Summe jeder Industriestaat einzahlen muss. Ebenso wenig steht im Vertrag, wie die Gelder auf die Entwicklungsländer verteilt werden. Was passiert, wenn ein Entwicklungsland seine finanziellen Erwartungen enttäuscht sieht und sich nicht an das Abkommen hält?“ fragt der FernUni-Wissenschaftler.

Endres findet noch einen weiteren Aspekt, der die Erwartungen dämpft: Das Pariser Abkommen ist keineswegs mit der Vertragsunterzeichnung in Kraft getreten. Das geschieht erst dann, wenn 55 Staaten den Vertrag ratifizieren, die zusammen mindestens 55 Prozent der globalen Emissionen produzieren: „Das ist keine Formsache!“ betont Endres, der auf das Verhalten der USA nach dem Kyoto-Protokoll hinweist: „Sie haben es zwar unterschrieben, aber nie ratifiziert.“

Außerdem kann jeder Staat nach einer gewissen Frist seine Mitgliedschaft im Pariser Abkommen beenden: „Kanada ist aus dem Kyoto-Protokoll ausgestiegen – auch das ist also keine reine Theorie!“ mahnt Endres.

Sein Fazit: „Das Abkommen ist tatsächlich ein Dokument des guten Willens – inwieweit es Realität wird, wird sich erst in den kommenden Jahren erweisen.“

http://www.fernuni-hagen.de/universitaet/aktuelles/2015/12/am-29-klima-e...

Selbstgemacht schmeckt besser
Universität zu Köln

Kölner Psychologin untersucht, wie sich Zubereitung von Essen auf den Geschmack auswirkt. Wer sein Essen selbst zubereitet, dem schmeckt es auch besser. Dies bestätigt eine Studie der Kölner Gesundheits- und Ernährungspsychologin Dr. Simone Dohle, die in der Fachzeitschrift Health Psychology erscheint. Dohle und ihre Kolleg/inn/en an der ETH Zürich haben untersucht, inwieweit sich die Zubereitung von Essen auf den Geschmack auswirkt.

Die Teilnehmer/innen der Studie wurden dazu zufällig auf verschiedene Gruppen aufgeteilt. Ein Teil durfte einen Shake nach Rezept selbst zubereiten. In einer anderen Gruppe bereiteten nicht die Teilnehmer/innen, sondern die Studienleiterin den Shake zu; die Teilnehmer/innen bekamen aber auch hier das Rezept und die Zutatenliste zu sehen. Zusätzlich zu diesen beiden Szenarien wurde noch variiert, um was für einen Shake es sich handelte. Bei der Hälfte der Teilnehmer/innen wurde ein Shake aus gesunden Zutaten gemixt, bei der anderen Hälfte bestand der Shake nur aus ungesunden Zutaten.

Die Ergebnisse des Experiments zeigen, dass der Shake den Personen, die ihn selbst zubereiten konnten, besser schmeckte. Dies war vor allem dann der Fall, wenn es sich um einen gesunden Shake handelte.

Die Forscher/innen erklären das Ergebnis damit, dass das Zubereiten des Shakes mit Aufwand verbunden ist. Durch die Zubereitung erhöht sich das Bedürfnis, diesen Aufwand zu rechtfertigen, was sich in einer besseren Geschmacksbewertung niederschlägt. Wer den Shake selbst zubereitet, schenkt zudem den Zutaten eine höhere Beachtung. Handelt es sich vor allem um ungesunde Zutaten, fällt dies bei eigenhändiger Zubereitung eher auf als wenn eine andere Person den Shake zubereitet.

In einer Zeit, wo immer mehr Menschen zu Fertigprodukten greifen und nur noch wenig selbst kochen, lassen diese Ergebnisse wichtige Folgerungen zu. Es kann vermutet werden, dass Fertigprodukte allein schon deshalb weniger gut schmecken, weil sie keinen Aufwand verursachen. Wer dagegen etwas Zeit und Mühe in der Küche aufwendet, wird sein Essen auch mehr genießen können. Da dies vor allem für gesundes Essen der Fall zu sein scheint, könnten gerade Personen davon profitieren, denen eine gesunde Ernährung wichtig ist.

http://www.portal.uni-koeln.de/nachricht.html?&tx_news_pi1[news]=4029&tx...

Bild: W.R. Wagner www.pixelio.de