Auf Mastodon teilen

Sehr geehrte<< Anrede >> meine Informationsfreiheitsanfrage „WLAN der Universität Tübingen“ vom 01.12.2019 (#171303) wurde von Ihnen nicht in der gesetzlich vorgeschriebenen Zeit beantwortet. Sie haben die Frist mittlerweile um 1 Tag überschritten. Bitte informieren Sie mich umgehend über den Stand meiner Anfrage. Mit freundlichen Grüßen Marcel Langner Anfragenr: 171303 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/171303 Postanschrift Marcel Langner << Adresse entfernt >> << Adresse entfernt >>

Sehr geehrte<< Anrede >> vielen Dank für Ihren Zwischenrückmeldung, die ich als solche interpretiere, da Sie mit den Worten „nach jetzigem Stand“ antworten. Ich gehe daher davon aus, dass Ihre finale Antwort/Beantwortung in Form einer Bescheiderteilung noch aussteht. Vielleicht schaffe ich es, Sie mit ein paar Argumenten in Ihrer bisherigen Meinungsrichtung zu beeinflussen. Ich möchte Sie bitte meine Ausführlichkeit zu entschuldigen, aber aus Ihren Antworten kann ich nur schätzen, welche genauen technischen und rechtlichen Ablehnungsgründe vorliegen könnten. Ich habe vor allem zwei Argumente verstanden: 1. Es handelt sich nicht um Informationen in Akten Ich gehe im Rahmen ordentlicher Aktenführung und IT Dienstleistung davon aus, dass selbstverständlich technische Dokumentation über die WLAN Infrastruktur existiert. Ebenso veröffentlichen Sie auf Ihrer Webseite die Anzahl der Logins in Access Points, die Menge von transportierten Daten u.ä. Ich gehe daher davon aus, dass eine Menge Konfigurationsdateien und Logdateien zur Ermittlung dieser Daten existieren. Die von mir erfragte Information müsste daher sowohl in einer technischen Dokumentation, als auch in einer Konfigurationsdatei, die im Rahmen von Backups sicherlich kontinuierlich erstellt wird, vorhanden sein. Technische Dokumentation und Konfigurationsdateien fallen unter §3 (3) LIFG: „Im Sinne dieses Gesetzes sind amtliche Informationen: jede bei einer informationspflichtigen Stelle bereits vorhandene, amtlichen Zwecken dienende Aufzeichnung, unabhängig von der Art ihrer Speicherung, außer Entwürfen und Notizen, die nicht Bestandteil eines Vorgangs werden sollen;“ 2. Es handelt sich um eine Frage, deren Beantwortung die Funktionstüchtigkeit/Sicherheit beeinträchtigen würde Die Nutzung der von mir erfragten Information ist laut Bundesnetzagentur (Allgemeinzuteilung Vfg. 64/2018) rechtswidrig. Sie kann daher allein deswegen schon nicht als eine Sicherheitsfunktion bezeichnet werden, da sie ja nicht eingesetzt werden darf und somit auch keine „Sicherheit“ erzeugen kann. Davon geht auch ein eventueller Angreifer aus. Aber auch sonst trägt die Nutzung dieser Funktion nicht zur Sicherheit Ihrer Infrastruktur bei. Tatsächlich ist sogar das Gegenteil der Fall. Das "Problem" ist die Art und Weise wie vor allem bei dem für Hochschulen angebotenen Eduroam der Login in das WLAN Netzwerk funktioniert. Das ist nicht wie wohl bei den meisten zu Hause, wo der Zugang mit einem einzigen Passwort gewährt wird. Bei Eudroam nutzt jeder ein eigenes individuelles Login/Passwort. Üblicherweise ist das der Hochschullogin der entsprechenden Hochschule, der direkt im z.B. Handy eingetragen wird. Das immer wieder beschworene Angriffsszenario ist, dass ein Angreifer einen eigenen Accesspoint aufstellt, der den gleichen Namen verwendet (z.B. Eduroam), wie die Hochschule. Dieser Angreifer möchte an die Logindaten des Hochschullogins herankommen. Endgeräte wie Handys versuchen sich im Allgemeinen immer mit dem Accesspoint zu verbinden, der das stärkste Funksignal hat. Dafür hat der Angreifer mit einer entsprechenden Antenne und Signalstärke natürlich gesorgt. Das Endgerät verbindet sich nun mit dem "falschen" Accesspoint und sendet diesem unter Umständen die im Endgerät hinterlegten Zugangsdaten des Hochschullogins. Unter Umständen ist hier deshalb wichtig, weil dies NUR DANN geschieht, wenn das Endgerät unsicher konfiguriert ist. Es ist dann unsicher konfiguriert, wenn es im Rahmen der Anmeldung am Accesspoint keine Prüfung vornimmt, ob der Accesspoint "echt" ist. Das geht, indem es ein Zertifikat prüft, welches der Accesspoint vorlegen muss (auch der Angreifer). Die Accesspoints von Hochschulen haben dieses (geheime) Zertifikat und können sich so als "echt" ausweisen. Der Angreifer nicht. Dieser legt ein anderes oder gefälschtes Zertifikat vor. Ist das Endgerät also so eingestellt, dass eine Zertifikatsprüfung stattfindet, besteht keinerlei Gefahr. Es sei weitergehend darauf verwiesen, dass ein Rogue Accesspoint allgemeinhin eigentlich nur dann so bezeichnet wird, wenn dieser auch eine Verbindung in das Netzwerk der Hochschule herstellt. Da jedoch die Ermittlung, ob eine solche Verbindung tatsächlich besteht schwer fällt, findet man die Interpretation, dass alle Accesspoints im geografischen Bereich der Hochschule als Rogue (und damit ungewollt=feindlich) eingestuft werden. Sollte jedoch jeder anonym jederzeit eigene Geräte an Ihr Hochschulnetzwerk anschließen können, haben Sie viel grundlegendere IT Sicherheitsprobleme, wovon ich derzeit aber nicht ausgehe. Und jetzt das verblüffende: Dieses immer wieder beschriebene Szenario hat Ihre bisherige Netzwerkinfrastruktur noch nicht angegriffen oder gefährdet. Tatsächlich wurde nur das Endgerät (Handy, Laptop usw.) angegriffen. Das kann in der Form weltweit so durchgeführt werden. Bei Ihnen zu Haus oder im Supermarkt. Da helfen auch keine Deauthenticationpakete, die nur auf dem Gelände der Hochschule gesendet werden. Und es kommt noch dicker. Der Angreifer wird für seinen Angriff selbstverständlich modernes Equipment verwenden. Also mit PMF oder WPA3. Diese Funktionen sind in den meisten modernen Endgeräten bereits verfügbar und verhindern, dass Deauthenticationpakete eine Auswirkung auf die Verbindung haben. Das Endgerät wird sich also trotz eventuell laufender Behinderungen durch die Hochschule am falschen Accesspoint anmelden und eventuell die Logindaten preisgeben. Es ergibt sich in der Konsequenz also nur ein Gefühl von Sicherheit. Endgeräte lassen sich immer und überall auslesen, sofern diese unsicher konfiguriert sind. Da ändern auch rechtswidrige Deauthenticationpakete nichts drann, die sowieso nur auf die geografischen Grenzen der Hochschule beschränkt sind. Die Behauptung damit Sicherheit zu erzeugen wiegt damit Nutzer und Verantwortliche in „Sicherheit“. Tatsächlich geht auch ein Angreifer davon aus, dass zumindest eine Rogue Detektion aktiviert ist und wird für einen solchen Angriff niemals direkt an der Hochschule ausführen. Er wird also nicht auffliegen können, egal ob die Information bekannt wird oder nicht. Die Sicherheit Ihres Netzwerkes ist dadurch gefährdet, wenn in Folge des Abgreifens der Nutzerdaten auch Schaden damit angerichtet werden kann. Das ist dann der Fall, wenn die abgegriffen Daten eben als Hochschullogin für alle Dienste der Hochschule verwendet werden und somit Noten oder Prüfungen geändert werden können usw. und wenn diese Dienste eben nicht mit einem zweiten Faktor gesichert sind. Weitere Angriffsszenarien, die die WLAN Infrastruktur der Hochschule direkt attackieren und bei denen Deauthenticationpakete tatsächlich eine Möglichkeit der Verteidigung bieten sind mir nicht bekannt. Ich würde mich freuen, wenn Sie meine Argumente mit Expertengremien besprechen. Besonders mit solchen Personen, die anderer technischer und rechtlicher Meinung sind, um sich aus einer eventuell eigenen Echokammer zu befreien. Damit Sie dafür auch genug Zeit haben, werde ich die Frist meiner Anfrage entsprechend verlängern und hoffe auf Zusammenarbeit. Für Rückfragen stehe ich Ihnen zur Verfügung. Die Informationen ergingen kostenfrei. Ich wünsche Ihnen und der Hochschule ein spannendes 2020. Mit freundlichen Grüßen Marcel Langner Anfragenr: 171303 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/171303 Postanschrift Marcel Langner << Adresse entfernt >> << Adresse entfernt >>

Sehr geehrte<< Anrede >> ich bitte um Vermittlung bei einer Anfrage nach dem Informationsfreiheitsgesetze Baden-Württemberg (LIFG, UVwG, VIG). Die bisherige Korrespondenz finden Sie hier: https://fragdenstaat.de/a/171303 Ich bin der Meinung, die Anfrage wurde zu Unrecht auf diese Weise bearbeitet, weil auch technische Dokumentation oder Konfigurationsdateien Akten im Sinne des IFG sind. Sie finden auch alle Dokumente zu dieser Anfrage als Anhang zu dieser E-Mail. Sie dürfen meinen Namen gegenüber der Behörde nennen. Mit freundlichen Grüßen Marcel Langner Anhänge: - 171303.pdf Anfragenr: 171303 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/171303

Sehr geehrte<< Anrede >> ich möchte von Ihnen einen rechtsmittelfähigen schriftlichen Bescheid anfordern. Sollte dieser nicht innerhalb der nächsten 2 Wochen bei mir eingehen, werde ich ohne weitere Ankündigung Untätigkeitsklage erheben. Bitte bedenken Sie, dass Ihre derzeitige technische und rechtliche Auffassung nur von einer handvoll weiterer Hochschulen in Deutschland geteilt wird. Auch die Presse beschäftigt sich inzwischen mit dem Thema: https://glm.io/148385?m Mit freundlichen Grüßen Marcel Langner Anfragenr: 171303 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/171303 Postanschrift Marcel Langner << Adresse entfernt >> << Adresse entfernt >>