Sowohl im Kontext des ortsunabhängigen Arbeitens als auch auf Dienstreisen ist es häufig notwendig, sich zu einem Netzwerk zu verbinden, um Zugriff auf Online-Dienste zu erhalten. Außerdem sind gewisse Daten häufig nicht lokal auf dem Gerät gespeichert, sondern liegen zum Beispiel auf einem Netzlaufwerk, für das ebenso eine Netzwerkverbindung notwendig ist. Allerdings sind nicht alle (WLAN-)Netze gleich sicher, so dass hier einiges beachtet werden sollte.
Wir erklären im Folgenden, worauf man bei der Nutzung von eduroam achten muss, welche Vorteile die Nutzung des Uni-VPNs bietet und was der Begriff Transportverschlüsselung bedeutet.
eduroam ist ein sicherer Internetzugang für Forschung und Lehre. Alle Studierenden und Beschäftigen einer teilnehmenden Einrichtung können am Campus jeder beteiligten Einrichtung (sowohl der eigenen als auch aller anderen teilnehmen Einrichtungen) über das eduroam-Netz auf das Internet zugreifen. Einmal eingerichtet, funktioniert eduroam überall dort, wo ein eduroam-Netz existiert. Notwendig ist dazu nur ein entsprechender Nutzeraccount der Heimateinrichtung (an der Universität Stuttgart ist das der eigene st- bzw. ac-Account).
Eine Anleitung zur Einrichtung von eduroam findet sich auf dieser Seite des TIK.
Wir empfehlen ausdrücklich die Nutzung der dort zur Verfügung gestellten Tools zur Einrichtung. Diese stellen insbesondere sicher, dass Verbindungen nur mit vertrauenswürdigen Access Points (Basisstationen) aufgebaut werden.
Bei einer fehlerhaften manuellen Einrichtung ist es möglich, dass das eigene Geräte die Zugangsdaten inklusive Passwort an einen bösartigen Access Point weitergibt.
Als VPN (Virtual Private Network) bezeichnet man eine spezielle Art von Netzwerkverbindung, innerhalb derer Daten in gewissem Rahmen verschlüsselt übertragen werden. Dazu wird ein sogenannter Tunnel zwischen dem Endgerät und einem Server innerhalb des VPNs aufgebaut. Die Daten innerhalb dieses Tunnels werden verschlüsselt übertragen.
Daher empfehlen wir generell, bei der Nutzung von potentiell unsicheren Netzen (wie zum Beispiel WLAN in der Bahn, im Hotel oder in einem Café) immer zuerst eine Verbindung zum Uni-VPN aufzubauen, bevor auf Webanwendungen (Browser, E-Mail, …) zugegriffen wird.
Ein Nebeneffekt bei der Nutzung eines VPNs ist, dass man eine IP-Adresse aus dem Netzbereich des VPNs zugewiesen bekommt. Im Falle des Uni-VPNs ist dies eine IP-Adresse der Uni, so dass sowohl der Zugriff auf bestimmte interne Systeme der Uni ermöglicht wird, als auch die Nutzung einiger Angebote zum Beispiel von Verlagen, die prüfen, ob die IP-Adresse aus einem gewissen Bereich kommt.
Die Universität bietet zwei VPN-Zugänge an, die technisch unterschiedlich ausgestaltet sind und sich auch darin unterscheiden, wie restriktiv die Firewall gegenüber dem Internet jeweils ist. Weitere Informationen hierzu finden sich auf dieser Seite des TIK.
Transportverschlüsselung (häufig kurz auch nur TLS für das englische Transport Layer Security) beschreibt die Verschlüsselung einer Datenverbindung zwischen zwei Endpunkten. Dabei werden nach dem initialen Verbindungsaufbau alle Nutzdaten der Verbindung verschlüsselt übertragen.
Bei der Verwendung von Webanwendungen im Browser ist TLS heute fast überall im Einsatz. Die Verschlüsselungs-Endpunkte sind dabei auf der einen Seite der Browser, auf der anderen Seite der Server, auf dem die genutzte Webanwendung läuft. Insbesondere sagt die Nutzung von TLS bei Webanwendungen nichts darüber aus, wie die Daten „am anderen Ende“ auf dem Server verarbeitet und ggf. gespeichert werden. Es ist also durchaus denkbar, dass hier Daten unverschlüsselt gespeichert werden.
TLS-Verbindungen im Browser erkennt man am https innerhalb der URL, zum Beispiel https://www.uni-stuttgart.de/. Eine Verbindung ohne TLS enthält nur http in der URL.
Moderne Browser weisen in der Regel darauf hin, wenn eine unverschlüsselte Verbindung genutzt wird.
Für den Zugriff auf Mailpostfächer verwenden auch E-Mail-Clients TLS in der Kommunikation mit dem Mailserver, um Mails auf dem Transportweg zwischen E-Mail-Client und Mailserver sicher zu übertragen (Transportverschlüsselung).
Wer seinen E-Mail-Client selbst konfiguriert, sollte darauf achten, dass sowohl für die Empfangsrichtung (IMAP) als auch für die Senderichtung (SMTP) TLS aktiviert ist. Eine Einstellung „TLS/SSL“ ist dabei besser als die Einstellung „STARTTLS“.
Achtung: Bei der Transportverschlüsselung von E-Mails handelt es sich nicht um das, was mit dem Begriff „E-Mail-Verschlüsselung“ gemeint ist. E-Mail-Verschlüsselung bezeichnet typischerweise Ende-zu-Ende-Verschlüsselung für Mails.
Für Interessierte haben wir weitere Links zusammengestellt: