Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, Sie schreiben in https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_2_1_WLAN_Betrieb_Edition_2021.pdf?__blob=publicationFile&v=2 "2.4 Ungeeignete Auswahl von Authentisierungsverfahren Wenn Authentisierungsverfahren und -mechanismen fehlen oder unzureichend sind, können Sicherheitslücken entstehen. Beispielsweise wird im Standard IEEE 802.1X (Port Based Network Access Control) das Extensible Authentication Protocol (EAP) definiert. In einigen der beschriebenen EAPMethoden sind aber Schwachstellen enthalten. So ist EAP-MD5 etwa anfällig gegenüber Man-in-theMiddle- und Wörterbuchangriffen. Wird EAP-MD5 eingesetzt, können Passwörter erraten werden. Außerdem kann die Kommunikation abgehört werden." "2.8 Vortäuschung eines gültigen Access Points (Rogue Access Point) Ein Angreifer kann sich als Teil der WLAN-Infrastruktur ausgeben, indem er einen eigenen Access Point mit einem geeignet gewählten Namen (SSID) in der Nähe eines WLAN-Clients installiert. Dieser vorgetäuschte Access Point wird als „Rogue Access Point“ bezeichnet. ..." Analog "2.5 Vortäuschung eines gültigen Access Points (Rogue Access Point)" in https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_2_2_WLAN_Nutzung_Edition_2021.pdf?__blob=publicationFile&v=2 Leider ist auch PEAP anfällig, wenn das Serverzertifikat nicht korrekt geprüft wird, und anders als in anderen TLS-Szenarien gibt es keinen Servernamen anhand dessen man die Vertrauenswürdigkeit eines Zertifikats prüfen könnte. Ich hätte erwartet, dass das BSI die Probleme von EDUROAM und ähnlichen Szenarien kennt und in Baustein NET.2.1 einfließen lässt. Meine Empfehlung ist, für die Authentifizierung von Server und Client auf beiden Seiten ausschließlich Zertifikate zu verwenden, oder wenn das nicht praktikabel ist und Passwörter verwendet werden sollen, genau nicht die eines allgemeinen Directory-Dienstes zu nehmen sondern ein dezidiertes Directory nur für 802.1X einzusetzen. Leider hat man über die Konfiguration der Clients seit BYOD in aller Regel zu wenig Kontrolle um das Risiko von kompromitierten Passwörtern anders zu begrenzen. https://news.rub.de/wissenschaft/2015-12-21-passwort-diebstahl-die-tuecken-des-eduroam https://mobilsicher.de/aktuelles/android-geraete-in-eduroam-angreifbar https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt68/BT68_MobileIT_AlternativeLogins_Taraschewski.pdf http://www.defenceindepth.net/2010/05/attacking-and-securing-peap.html Ist dem BSI die Problematik von EDUROAM bekannt? Falls ja, aus welchen Gründen hat die keinen konkreten Einfluss in diese Bausteine gefunden? Falls nein, betreibt das BSI eigene Analysen oder Bedrohungsmodellierung, um Schwachstellen der behandelten Verfahren zu vermeiden? Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen