GÉANT - DFN · GÉANT (GN3plus) is the latest in a series of projects comprising the pan-European...

Deutsches Forschungsnetz Mitteilungen Ausgabe 84 | Mai 2013

www.dfn.de

Mitteilungen

GÉANT Europäischer

Forschungsbackbone

schaltet um auf

Terabit-Technologie

X-WiN ConfidentialPotenziale der neuen DWDM-Technik

AuditDFN-PKI gemäß ETSI-

Standard zertifiziert

Impressum

Herausgeber: Verein zur Förderung

eines Deutschen Forschungsnetzes e. V.

DFN-Verein

Alexanderplatz 1, 10178 Berlin

Tel.: 030 - 88 42 99 - 0

Fax: 030 - 88 42 99 - 70

Mail: [email protected]

Web: www.dfn.de

ISSN 0177-6894

Redaktion: Kai Hoelzner (kh)

Gestaltung: Labor3 | www.labor3.com

Druck: Rüss, Potsdam

© DFN-Verein 05/2013

Fotonachweis:

Titel © Ljupco Smokovski - Fotolia.com

Seite 6/7 © 77SG - Fotolia.com

Seite 30/31 © chris-m - Fotolia.com

The need for speed

The creation and sharing of data is increasing exponentially, impacting research networks, high

performance computing and grids – collectively known as e-infrastructures. Major projects in-

volving global partners, such as CERN‘s Large Hadron Collider and the forthcoming Square Kilo-

meter Array, generate enormous amounts of data that need to be distributed, analysed, stored

and made accessible for research. This need for fast, stable transfer of data depends heavily on

the high speed and dedicated bandwidth offered by research networks such as X-WiN or GÉANT.

GÉANT (GN3plus) is the latest in a series of projects comprising the pan-European GÉANT network

and associated services, and is a 2 year project co-funded by the European Union comprising 41

partners including DFN. GÉANT’s overall objectives are to meet the communications needs of Eu-

ropean and world-wide research communities in all fields. Such needs include both a transport fa-

cility for production data and also a network environment where experiments can be conducted.

Addressing the exponential growth in data, DANTE – the organisation that on behalf of Europe’s

NRENs has built and operates the network – is presently implementing a major upgrade to support

capacity of up to 2 Terabits per second across its core network, due for completion in July 2013.

In continually striving for networking excellence, GÉANT relies heavily on strong relationships

with its NREN partners, together delivering the robust data communications infrastructure that

serves the international research community. DFN has long been an essential and highly valued

partner in providing powerful national and global research and education connectivity.

Within GN3plus, the project is introducing a new production Service Activity: „Testbeds as a Ser-

vice<“. This will provide two types of testbed capabilities: a Dynamic Packet Network Testbed Ser-

vice to address upper layer network research and a Dark Fibre Testbed to provide photonic layer

long haul facilities for testing novel optical/photonic technologies in the field.

Another portion of the project budget has been reserved to fund specific tasks, to be carried out

by new beneficiaries by means of a competitive open call.

As a result of these ongoing efforts, GÉANT and the NRENs remain well positioned to support cur-

rent and future communication needs in the pan-European research community.

Niels Hersoug and Matthew Scott,

DANTE Joint General Managers

4 | DFN Mitteilungen Ausgabe 84 | Mai 2013

13 14

2

6

2

10

15

4

8

12

3

7

11

1

9

5

Unsere Autoren dieser Ausgabe im Überblick

1 Kai Hoelzner, DFN-Verein ([email protected]); 2 Kai Ramsch,

Regionales Rechenzentrum Erlangen (RRZE) ([email protected]); 3 Birgit Kraft,

Regionales Rechenzentrum Erlangen (RRZE) ([email protected]); 4 Yitzhak Aizner,

ECI Telecom Ltd. ([email protected]); 5 Sharon Rozov, ECI Telecom Ltd.

([email protected]); 6 Amitay Melamed, ECI Telecom Ltd. (amitay.melamed@

ecitele.com); 7 Irene Weithofer, Fachhochschule Köln ([email protected]);

8 Henning Mohren, Fachhochschule Düsseldorf ([email protected]);

9 Jürgen Brauckmann, DFN-CERT Services GmbH ([email protected]),

10 Dr. Ralf Gröper, DFN-Verein ([email protected]); 11 Julian Fischer, Forschungsstelle

Recht im DFN ([email protected]); 12 Susanne Thinius, Forschungsstelle Recht im DFN

([email protected])

5DFN Mitteilungen Ausgabe 84 |

Wissenschaftsnetz

X-WiN Confidential

Potenziale der neuen DWDM-Technik im

Wissenschaftsnetz

von Kai Hoelzner, Birgit Kraft, Kai Ramsch ........................... 8

Looking at the future. Today.

von Yitzhak Aizner, Amitay Melamed, Sharon Rozov ..... 11

Kurzmeldungen ............................................................................. 16

International

GÉANT schaltet um auf Terabit-Technologie

von Kai Hoelzner ........................................................................... 18

ORIENTplus:

Boosting EU-China Collaboration

Ein Gespräch mit Kai Nan, Jiangping Wu,

David West und Christian Grimm ........................................... 21

Global R&E Network CEO Forum

take next steps in Asia’s Global

City of Hong Kong ........................................................................ 23

Kurzmeldungen ............................................................................. 25

Campus

Gemeinsam sicher – Nordrhein-Westfalens

Hochschulen setzen auf gemeinsames

Informationssicherheitsmanagement

von Irene Weithofer, Henning Mohren ................................. 26

Sicherheit

Audit der DFN-PKI

von Jürgen Brauckmann, Dr. Ralf Gröper ............................. 32

Sicherheit aktuell

von Heike Ausserfeld, Dr. Ralf Gröper ................................... 39

Recht

Wissenschaftsparagraph geht in die

Verlängerung – Dritter Anlauf für § 52a

Urheberrechtsgesetz

von Susanne Thinius ................................................................... 40

Das Ende für den Newsletter!?

Oberlandesgericht München: E-Mail-Versand

mit der Bitte um Bestätigung der Anmeldung

stellt belästigende Reklame dar

von Julian Fischer ......................................................................... 42

Wer sich auf Facebook präsentiert, muss

viel preisgeben

Zur Impressumspflicht für öffentliche

Facebook-Fanseiten

von Susanne Thinius ................................................................... 47

DFN-Verein

Übersicht über die Mitgliedseinrichtungen

und Organe des DFN-Vereins ................................................... 50

Inhalt

6 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ

7WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 |

WissenschaftsnetzX-WiN Confidential

Potenziale der neuen DWDM-Technik im

Wissenschaftsnetz

von Kai Hoelzner, Birgit Kraft, Kai Ramsch

Looking at the future. Today.

von Yitzhak Aizner, Amitay Melamed,

Sharon Rozov

Kurzmeldungen


jungen optischen Plattform des Wissen-

schaftsnetzes sind mehr als positiv.

Nicht nur technologisch, sondern auch für

die Organisation und das Netzmanage-

ment war die Migration ein echter Para-

digmenwechsel. Zwar betreibt der DFN-

Verein bereits seit vielen Jahren die IP-Ebe-

ne des Wissenschaftsnetzes, doch war der

Zugriff auf die optische Ebene bislang nur

eingeschränkt möglich. Mit dem Wechsel

auf ECI-Technik besteht erstmals voller Zu-

griff auch auf die unterste Schicht des Net-

zes. Gegenüber den klassischen Wellenlän-

gen-Multiplexern, die die Transport-Arbeit

Mehr Netzintelligenz auf opti-scher Ebene

Am 20. Dezember 2012 wurde die letz-

te Kernnetz-Strecke des X-WiN mit neu-

er DWDM-Technik des israelischen Netz-

werkausrüsters ECI Telecom in Betrieb

genommen. Sieben Monate waren seit

dem Zuschlag an ECI vergangen und hin-

ter den Aufbauteams lag ein halbes Jahr

intensiver Arbeit an den 111 Standorten im

X-WiN. Inzwischen befindet sich die neue

DWDM-Plattform des Wissenschaftsnet-

zes seit fünf Monaten im Produktionsbe-

trieb und die Erfahrungen mit der noch

auf den Glasfaser-Netzen des vergange-

nen Jahrzehnts erledigt haben, ermögli-

chen Geräte wie die im X-WiN eingesetzten

Apollo-Multiplexer von ECI nicht nur eine

Vervielfachung der Kapazitäten, sondern

verlagern auch ein Stück weit Netzintelli-

genz auf die optische Ebene.

Die neue optische Technik ermöglicht es,

das Netzwerk komfortabler zu betreiben

und Funktionalitäten der IP-Plattform op-

tisch zu ersetzen bzw. zu ergänzen. Das

optische Transportnetz (OTN, engl.: opti-

cal transport network) ist eine von der ITU

im Standard G.709/G.872 vereinheitlichte

X-WiN Confidential Potenziale der neuen DWDM-Technik im Wissenschaftsnetz

Mit der Migration des X-WiN auf eine neue, auf Wellenlängen-Multiplexern des Netzwerkausrüsters

ECI Telecom basierenden Infrastruktur, ergeben sich neue Perspektiven für Nutzung und Betrieb des

Wissenschaftsnetzes. Neben dem Upgrade des Super-Core auf 100-Gigabit/s-Technik und der Mög-

lichkeit, native 100-Gigabit-Anschlüsse in der obersten Kategorie des DFN-Internetdienstes zu nut-

zen, sind es vor allem die Potenziale zur Optimierung von Betriebsprozessen, die das neue Netz für

Anwender wie Betreiber interessant machen.

Text: Kai Hoelzner (DFN-Verein), Birgit Kraft (RRZE),

Kai Ramsch (RRZE)

colored: für jede „Farbe“ ein spezifischer Port je Add/Drop-Block

directed: genau eine Ausgangsrichtung erreichbar je Add/Drop-Block

colorless: jede „Farbe“ an jedem Add/Drop-Port

directionless: jede Ausgangsrichtung erreichbar für jeden Add/Drop-Port

DWDM-Knoten

Add/DropNorth

Add/DropWest

Add/DropEast

T/R

T/R

T/R

T/R

T/R

T/RX

DWDM-Knoten

Add/Drop

T/R

T/R

T/R

T/R

DWDM-Multiplexer – „modern“DWDM-Multiplexer – „klassisch“


Technologie für Netzwerke, mit denen mit-

tels eines Transportdienstes optisch Da-

ten übertragen werden. Dabei definiert das

OTN optische und elektrische Schichten,

in denen die zu übertragenden Daten ein-

gepackt werden, um von der technischen

Realisierung abstrahieren zu können. Die

drei rein optischen Schichten Optical Trans-

mission Section (OTS), Optical Multiplex

Section (OMS) und Optical Channel Lay-

er (OCh) werden vereinfacht zum Optical

Channel Layer (OCh) zusammengefasst und

gewährleisten den optischen Transport.

Grundvoraussetzung ist dabei die Ver-

schaltung von optischen Leitern, so dass

an den Netzwerkknoten die Daten ver-

schiedener Kommunikationsverbindun-

gen aus der Glasfaser entnommen (Add/

Drop) bzw. zur nächsten optischen Kom-

ponente weitergeleitet werden. Der Ein-

satz von rekonfigurierbaren Add-Drop-Mul-

tiplexern (ROADM – Reconfigurable Opti-

cal Add-Drop Multiplexer) verbessert dabei

die Neu- und Umschaltung von Verbindun-

gen und gleichzeitig auch die Verfügbar-

keit bei Glasfaserwartungen und nicht ge-

planten Unterbrechungen.

Diese neue Generation von Add-Drop-Multi-

plexern bietet im Gegensatz zur alten Tech-

nologie die Möglichkeit, Wellenlängen „co-

lorless“ und „directionless“ ein- und aus-

zukoppeln. „Colorless“ bezeichnet die Ei-

genschaft, verschiedene Wellenlängen im

Gegensatz zu einem festen Port beliebi-

gen Ports zuzuordnen, „directionless“ be-

deutet, dass jeder Add/Drop-Port mit allen

möglichen Richtungen durch den Multiple-

xer verbunden werden kann. Somit ist an

jedem Add/Drop-Port jede Farbe und jede

Ausgangsrichtung möglich und dies kann

im laufenden Betrieb „aus der Ferne“ kon-

figuriert werden (siehe Abb. 1).

In Kombination mit umfangreichen remo-

te-Funktionalitäten ermöglicht die DWDM-

Technik eine flexible Wegeführung von Ver-

bindungen und ein intelligentes Ausnutzen

von Netzkapazitäten ohne technologische

Beschränkungen. Lange Vorlaufzeiten bei

der Schaltung neuer Wellenlängen oder

Konfigurationsarbeiten am Netz gehören

seit der Migration des X-WiN der Vergan-

genheit an. Nicht zuletzt bringt die Verfü-

gungsgewalt über die DWDM-Technik auf

lange Sicht auch erhebliche Kostenvortei-

le. Wo früher ganze Wellenlängen inklu-

sive Service durch den Betreiber geleast

werden mussten, wird künftig remote ei-

ne Wellenlänge zugeschaltet.

Datenströme gebündelt und verpackt

Der wohl größte Unterschied zur bislang

eingesetzten DWDM-Technologie be-

steht in der Möglichkeit, niedrigratige

Datenströme auf den Kernstrecken des

X-WiN gebündelt zu übertragen. Bei die-

sem Sammeltransport können bis zu zehn

1-Gigabit/s-Ströme zu einem 10-Gigabit/s-

Strom aggregiert werden, anstatt wie bis-

her 10 Wellenlängen zu belegen. Auf einer

100-Gigabit/s-Verbindung können dem-

entsprechend eine Vielzahl von 1- und

10-Gigabit/s-Verbindungen zusammenge-

fasst werden. Die technische Basis dieses

Verfahrens ist ein OTN-Backbone, der an 14

zentralen Kernnetzknoten mit 2-3 OTU2-

Verbindungen zu je 10 Gbit/s pro Kante auf-

gespannt ist (siehe Abb. 2). Oberhalb der

Das Kernnetz des X-WiN

mit „ODU Cross Connect

Backbone“, der sich über 14

Kernnetzknoten erstreckt.

BON

ZEU

LEI

KEH

KIE

SAA

STB

GAR

ERL

BAY

FZJ

AAC BIR

PEP

POT

TUB

KIT

BRE

HAN

BRA MAGBIE

FRA

HEI

STUREG

DRE

CHE

ZIB

ILM

JEN

ESF

HUB

ADH

AWI

BAS

KAI

HAMDES

DKR ROS

KAS

PAD

GIE

MAR

GOE

DORWUP

FHM

EWE

ENS

WUE

GRE

DUI

MUE

FFO

BOC

GSI

SLU

‚klassischen‘ optischen Schicht des Netzes,

dem „Optical Channel Layer“, befinden sich

im heutigen X-WiN drei „digitale Schich-

ten“, nämlich die „Optical Channel Trans-

port Unit“ (OTU), die „Optical Channel Da-

ta Unit“ (ODU) und „Optical Channel Pay-

load Unit“ (OPU), welche elektrisch verar-

beitet werden. Nutzdaten werden als OPU

Payload in ODU Frames verpackt und bil-

den so die logische Dateneinheit, die zwi-

schen den Eingangsports zweier Standor-

te transportiert werden soll. In Form von

OTU Frames werden sie dann an den Opti-

cal Channel Layer zum Transport überge-

ben. In den ODUs und OTUs ist definiert, mit

welcher Datenrate bzw. Bandbreite Daten

übertragen werden können. Die neue Hard-

ware ist in der Lage, verschiedene ODUs

zu kombinieren und in eine OTU zu „ver-

packen“ (ODU Cross Connect). Damit kön-

nen die Daten von Ports unterschiedlicher

Bandbreiten kostengünstig in eine Wellen-

länge integriert werden.

Der Einsatz von Switching-Fabric-Kompo-

nenten ermöglicht es außerdem, Verbin-

dungen zwischen optischen und elektri-

schen Komponenten sowie den Ports der

Anwender bzw. angeschlossenen Router

dynamisch und ohne physische Verände-

rungen an der Technik zu schalten. Dadurch


können beispielsweise VPNs (Virtual Pri-

vate Networks) direkt auf dem optischen

Medium ohne Beteiligung von IP-Geräten

eingerichtet werden. Weitere Einsatzmög-

lichkeiten dieser Technik sind MPLS (Multi-

protocol Label Switching) zur schnellen Da-

tenübermittlung auf OSI-Layer 2 und Band-

width on Demand zur Provisionierung von

Bandbreiten für zeitlich begrenzte Anfor-

derungen.

Anpassung der Netz-Topologie

Die Migration auf neue optische Übertra-

gungstechnik machte ein Re-Design der

IP-Plattform des X-WiN sinnvoll. Bereit ge-

gen Ende der Migration im vergangenen

Jahr wurden neue Faserverbindungen in

das Netz integriert, die im Norden von Ros-

tock über Greifswald nach Frankfurt/Oder

sowie im Westen von Bonn nach Saarbrü-

cken führen.

Die wohl wichtigste Neuerung im X-WiN

aber betrifft den Super-Core des X-WiN sel-

ber. Derzeit sind die Mitarbeiter der Ge-

schäftsstellen des DFN-Vereins gemeinsam

mit den Kollegen von ECI damit befasst,

den inneren Backbone des X-WiN zwischen

Frankfurt/Main, Hannover, Berlin und Er-

langen von bisher 20-Gigabit/s-Technik auf

100 Gigabit/s aufzurüsten.

Monitoring, Rekonfiguration und Wartung

Die aktuelle Multiplexer-Generation des

X-WiN bringt nicht nur eine Verlagerung

von Intelligenz auf die Transport-Ebene

des Netzes mit sich, sondern auch einen

viel direkteren Zugriff auf die Technologie

durch die Mitarbeiter. Dies wird wiederum

durch ein spezifisches Potenzial der Kom-

ponenten zur Remote-Steuerung ermög-

licht, mit denen das Netzmanagement we-

sentlich vereinfacht wird.

Dabei fällt zunächst einmal die Fähigkeit

ins Auge, sich selbstständig auf die jewei-

ligen Parameter der von den Multiplexern

angesprochenen Glasfasern zu tunen. Die

Multiplexer der Apollo-Serie sind mit der Fä-

higkeit ausgestattet, Leitungs- bzw. Dämp-

fungseigenschaften einer Glasfaser auto-

matisch zu erkennen und das abgegebene

Signal auf die jeweils angesprochene Fa-

ser zu justieren. Wird eine neue Faser in

das Netz integriert oder eine bereits vor-

handene nach einem Leitungsbruch repa-

riert, mussten bislang Mitarbeiter ausrü-

cken, die die Eigenschaften der Fasern vor

Ort mit speziellen Messgeräten ermitteln

und die Multiplexer per Hand auf die Ei-

genschaften der jeweiligen Faser abstim-

men. Dieser Prozess erfolgt heute remote

und ist in hohem Maße nutzerfreundlich.

Dieses Feature erlaubt dem DFN-Verein,

die Verantwortlichkeit für Wartung und

Management des Netzes weitgehend in

die eigene Hand zu nehmen.

Zur laufenden Überwachung des Netz-Sta-

tus kommuniziert die DWDM-Plattform des

X-WiN Fehlerzustände über das Simple Net-

work Management Protocol (SNMP). Die

Glasfaserstrecken selbst werden dabei

durch eine spezielle Wellenlänge – den Op-

tical-Supervising-Channel – überwacht, der

auf einem Interface an den Kernnetzstand-

orten endet, von wo aus die Mess-Daten

auf zwei Service-Rechner im Netz gesen-

det werden. Von hier aus werden sämtli-

che Netzparameter laufend an die Netz-

überwachung kommuniziert, die wie in der

Vergangenheit durch einen spezialisierten

Dienstleister durchgeführt wird, der sich in

der Zusammenarbeit mit dem DFN-Verein

bestens bewährt hat. Mit dem entschei-

denden Unterschied allerdings, dass auch

bei der Überwachung eine volle Transpa-

renz für den DFN-Verein als Auftraggeber

gegeben ist.

Und die Anwender?

Wer einen X-WiN-Anschluss sein Eigen

nennt, hat die Auswirkungen der Migra-

tion auf die neue optische Plattform be-

reits in positiver Weise zu spüren bekom-

men. Trotz der erheblichen Investitionen

des DFN-Vereins bei der Anschaffung der

DWDM-Technik ist es bereits ein halbes

Jahr nach Abschluss der Migration mög-

lich, die Leistung sowohl für die VPN-Stre-

cken im X-WiN als auch für die Anwender-

anschlüsse beim Dienst DFNInternet bei

unverändertem Entgelt zu steigern. Zum 1.

Juli 2013, kurz nach Erscheinen dieses Hef-

tes also, werden erhebliche Leistungsstei-

gerungen für die gängigen Nutzungsfor-

men der Anwender realisiert. Augenfällig

ist dabei, dass die oberste Anschluss-Kate-

gorie des Dienstes DFNInternet bereits in

der 100-Gigabit-Klasse angesiedelt ist. Wer

bislang einen 40 Gigabit/s-Anschluss sein

Eigen nannte, spielt künftig bandbreiten-

mäßig auf Augenhöhe z.B. mit dem CERN,

das vor kurzem den ersten 100-Gigabit-An-

schluss an das GÉANT realisiert hat. (Siehe:

Internationale Kurzmeldungen) M

Abb. 4: Übertragungskapazität der Kernnetzverbindungen des Wissenschaftsnetzes

X-WiN 2013: 8.800 Gbit/s

X-WiN 2006: 400 Gbit/s

G-WiN: 10 Gbit/s

B-WiN: 622 Mbit/s


Looking at the future.Today.

By: Yitzhak Aizner, Amitay Melamed, Sharon Rozov (ECI Telecom Ltd.)

In the past few years, we have seen the rapid growth of digital content. The amount of

stored information increases at a rate of 40 % – 60 % annually, and we expect this rate to

continue unabated. As human beings and as a society, we depend on this information

and digital content, which became the fabric of the global economy, national economies,

governments, industrial and commercial interests, and private lives.

Foto: © Pgiam - iStockphoto


3. Disaster Planning Strategies (in-

cluding Disaster Avoidance)

Mission-critical application environ-

ments, including their associated da-

ta-bases and virtual machines, must

be proactively migrated from a da-

ta center in the path of natural ca-

lamities, such as hurricanes, to an

alternate location. Disaster planning

strategies and content replications

are often required by regulators in

many countries.

The cloud phenomenon, particularly inter-

data-center replication and redundancy,

causes exponentially raised demands for

bandwidth and imposes high-bandwidth

requirements on the wide area network

(WAN).

Leading content service providers are see-

ing data center interconnect (DCI) traffic

grow ten times faster than user traffic. The

DCI traffic is characterized by traffic bursts

that need the full peak rate available at run

time, to guarantee coherency of inter-data

center operations. This requirement pre-

sents unique challenges when designing

a DCI network, including performance, ef-

ficiency and cost effectiveness. Therefore,

it is not only the issue of traffic capacity,

but also run-time resource management,

to guarantee network resources will be dy-

namically assigned and available, when a

specific DCI operation is being executed.

So we must look at what the future has to

offer in terms of more capacity and more

flexibility, to cope with the sporadic, simul-

taneous and independent nature of DCI re-

plication scenarios, not to mention bursty

broadband consumption.

Which brings us to software-defined net-

working and 400G transmission rates…

As a direct consequence, we are looking

at increased investments in storage units,

data centers and cloud technologies, with

no signs of declining in the foreseeable fu-

ture. In fact, according to Gartner Research,

data center expansion is expected to in-

crease from roughly $90B in 2011 to over

$150B in 2016, including servers, storage

& networking.

We are also witnessing the rapid growth

of cloud service offerings from companies

such as Amazon, Google, Yahoo, Facebook,

Apple, Microsoft, and IBM. These providers

use several geographically distributed da-

ta centers to improve end-to-end perfor-

mance, as well as to offer high availabili-

ty in case of failures. As such, cloud servi-

ces and cloud-based data centers are in-

creasingly and dramatically changing the

data stream behavior over our networks.

If, once, data and content were relatively

static in terms of storage as enterprises,

organizations and institutions kept their

information locally, they now travel among

data centers for increased reliability and

performance, for the following reasons:

1. Data Center Capacity Expansion

and/or Consolidation

Applications need to be migrated

from one data center to another as

part of data center maintenance or

consolidation, without any down-

time. Conversely, virtual machines

have to be migrated to a secondary

data center as part of expansions to

address power, cooling, and space

constraints in the primary one.

2. Virtualized Server Resource Dis-

tribution over Distances

Virtual machines need to be migrat-

ed between different data center

sites to provide computing power

from a data center closer to the cli-

ent (“follow the sun”), or to load-bal-

ance across multiple sites.

Software-Defined Networking (SDN) for Dynamic Data Centers

Until recently, optical networks could rely

on a simple practice to deal with the chal-

lenge of massive traffic growth, by meeting

peak hour demands. However, this be-

comes unrealistic as optical networks reach

their physical barrier for capacity, so that

any further expansions are dependent on

digging more fibers, not always a possi-

bility. In the case of data centers, because

of the bursty nature of traffic, relying on

peak hour demands as the default at all

times is a very costly proposition, eco-

nomically and in terms of power consump-

tion and environmental concerns.

The solution? Introducing network dynam-

icity into resource and power consumpti-

on per actual demand, through software-

defined networking, or SDN.

Optical networks serve as the infrastruc-

ture for many diverse applications, making

optical planning per application demands

impossible. The introduction of SDN as the

means for dynamic networking is an im-

portant trend, as it supports dynamic re-

source provisioning for efficient network

planning and operations.

SDN calls for the decoupling of the con-

trol plane and the data plane of network

nodes. The control plane provides abstrac-

tion of network capabilities, while hiding

the complexity of the underlying transport,

so network resources can be monitored

and programmed per application demand.

An orchestration layer enables a wider net-

work view and supports multi-layer, mul-

ti-domain and multi-vendor correlations.

Correlation is made possible by mashing

up multiple abstracted resources (see

figure 1.)

In a multi-layer solution, packet-transport

layer services diffuse into the optical net-

work. Optical transport muxing can be

made more intelligent, inheriting packet

layer capabilities, such as partial rate,


mum optimization of the network

and cloud resources.

- Multi-tenancy: securing applica-

tions and organizations by isolating

them from each other, while keeping

the underlying physical network hid-

den from end customers

The OIF (Optical Interworking Forum) and

the ONF (Open Networking Foundation),

organizations promoting SDN adoption,

have both established optical transport

working groups to address the applicabil-

ity of SDN to optical networks and recom-

mend reference architecture.

However, the introduction of SDN in opti-

cal networks will not be straightforward

as network operators are not expected to

completely replace their working networks

and management systems. Instead, some

type of a transformation process, based on

legacy capabilities, will be built to achieve

the goal of optical network programma-

bility and unified resource management

for both cloud and transport network re-

sources. Eventually optical networks will

blend 10G, 100G, 400G (and even 1T) with

SDN, for seamless and economically-via-

ble data transmission.

Towards 400G

Let’s look at transmission rates.

For the past two years, right after the 100G

standardization process was completed,

the telecom industry started looking at

what’s beyond 100G. Back then, the IEEE,

for the first time ever, standardized two

Ethernet rates – 40G and 100G – in the

same document (IEEE802.3ba). In fact, mar-

ket acceptance of 100G rates has been far

beyond that of 40G.

So it was natural for the IEEE to start in-

vestigating what’s beyond 100G. The IEEE

Working Group 802.3BWA started to look at

this issue, and its main conclusions were:

- By 2015, expected capacity require-

ments of 10x the requirements of

2010, i.e., Terabit

- By 2020, expected capacity require-

ments of 100x the requirements of

2010, i.e., 10 Terabit

- Higher speed at lower cost per bit

needed by Ethernet interconnect.

Not “can it be done,” but rather “can

it be done at the right cost?”

In March 2013, in a „Call for Interest“ meet-

ing at the IEEE, there was broad consensus

to form a working group for 400G Ethernet,

with the following issues as the main con-

cerns: reach, physical layers and architec-

ture (see figure 2.)

The IEEE sees the ITU-T defined OTN as the

long-reach default solution to carry 400G,

even in non-WDM environment. A common

join effort between the ITU-T and the IEEE

is required to build a working, mature eco-

system. Since packet is the major source

of traffic at the OTN layer, it is clear that

the next Ethernet rate and the new ITU-T

asymmetric, on-demand, scheduled and

QoS-based muxing. In the future we may

also be able to dynamically provision wave-

lengths to provide optical sub-rates, based

on similar policies and in alignment with

packet network services.

SDN can make the optical network pro-

grammable, for example in the following

contexts:

- Bandwidth-on-demand: immedi

ate provisioning of additional band-

width between locations to facili-

tate large data transfers or other im-

mediate bandwidth needs in case

of cloud bursting or cloud disaster

recovery

- Bandwidth scheduling: scheduled

provisioning of additional band-

width per pre-planned large data

transfers driven by scheduled ap-

plications and maintenance

- Workload balancing: sharing the

workload, applications and services

among links and servers for maxi-

Fig. 1: SDN reference architecture

Source: OIF

Ap

pli

cati

on

La

yer Service Service Service

Orchestration

Hypervisor Controller NMS

Co

ntr

ol/

NM

S La

yer

Tra

nsp

ort

Laye

r

Transport

Data Center


In addition, to increase line rate and main-

tain the 88 channels, higher SR may not

help at all, and we may need to increase

the spectrum density – the amount of bits/

sec that may be transferred on a spectrum

piece (such as 1Hz). Increasing spectrum

density is a well-known technique in radio

technology – microwave or cellular, but it

will always come with penalty of perfor-

mance. In the optical space, it basically

means lower distance. Thankfully, 100G

provides us with similar performance as

10G, but as we know from radio, increasing

symbol complexity has ~ 3dB OSNR penal-

ty for each step – so, for example, moving

from QPSK to QAM16 has ~6dB OSNR penal-

ty (~0.25 x 100G distance). (See Picture 3.)

OTN challenges, on the other hand, are

much more complex, as OTN should sup-

port legacy wavelengths with different

rates, amplified optics and power limitati-

on to prevent non-linearity (NLE). Yet ano-

ther major OTN challenge is the Bit/second/

HZ issue. Starting from 100G, fibers used

for WDM transport become bandwidth-

scarce, and preserving 88 channels for

beyond 100G is not possible, since the

symbol rate (SR) and the bandwidth are

roughly the same. The SR of standard ITU-

OIF 100G (DP-QPSK) is 33 G Symbol/sec ~ –

which is more than 33Ghz BW. To double

the SR for rate increasing, say to 66GSy/

sec, will exceed the 50 GHz spectrum of

WDM channels.

defined OTN need to be correlated to op-

timally carry the Ethernet rate.

However, given that the market will de-

mand 1T rates by 2015, how come 400G

met with such broad consensus from

IEEE members?

Looking into the future

The ITU has completely adopted the Ether-

net-based CFP (100G MSA client transceiver

package) package as its basic OTN client in-

terface, and even for line side, CFP will be

used for coherent transceiver. The new CFP

coherent transceiver includes SD-FEC on

the DSP chip, and will enable carrier Ether-

net switch routers (CESR) to skip the OTN

layer when working at long-reach fiber.

Yet the challenges of Ethernet and OTN

are completely different. Besides the va-

riations in distance (with Ethernet from

0 – ~40Km, and OTN >~40Km), Ethernet

uses fiber as dark fiber, being able to be

de fined depending on how it is optimized

(line code, number of colors, wavelengths,

optical power…). It is the only single inter-

face that lives on fiber.

Fig. 3: Source: Adapted from IEEE.

400 DP-16QAM 4.6 or 5.3 bits/s/Hz

87.5 or 75 Ghz

Our SCOPE

IEEE defined Ethernet IEEE defined Ethernet

ITU-T defined„Core OTN Transport“

carrying Ethernet traffic

Our SCOPE

X.000 km

Fig. 2:

Source: Adapted from IEEE.

400 GbE issues: • Reach• Types of PHYs• Architecture


rect relation to the interface speed. One

of the ways to be more energy efficient is

to change the link/interface rate based on

real traffic load. Rate adaptive/flex Ether-

net/OTN is one of the interesting ways to

get us there.

While in the future we may have flex Ether-

net and flex OTN layers, we can imagine

new optimized, dynamic mapping layer

between Ethernet/packet to OTN, map pa-

cket under Ethernet over subscription base

on QoS, or asymmetric link rate between

two endpoint.

It looks futuristic, but it is all about using

scarce fiber resources more efficiently, and

understand that the alternative is to light

more fiber.

With these kinds of flex approaches, we

may refresh the transport network with

total new concepts which, along with SDN

at the control layer, will enable a whole

new revolution of elastic power optimized

network to lead data center interconnect

towards the future. M

Elastic network

For the 400G Ethernet, we can be more

open minded and also think of a family

of Ethernet rates, where the higher rate

is 400G, but lower rates are also permit-

ted. In implementation, that will use par-

allel communications built from several

channels (such as several colors), it is not

bad to maintain partial Ethernet traffic, in

case one or more of the channels is down

from some reason. Assuming we will have

Ethernet client interface with 16 x 25G –

why should we have to drop the link, when

only 1 out of 16 has failed?

Flex Ethernet is not new – we already have

VDSL and SHDSL on the copper-Ethernet

under 802.3ah single pair domains, sup-

porting a variety of rates, rather than the

usual 10X conventional numbers of 10M,

100M, 1G. With the developing of carrier

Ethernet technology, it makes sense to pre-

serve the same capabilities in both OTN

and Ethernet, including flexibility.

Another issue to consider is system pow-

er. System power consumption, especially

in the transport sector, is growing in di-

To economically achieve the beyond 100G

rate by 2016-2017 timeframe will only be

possible if we rely on technologies that

are “almost here.” Despite the 2015 1T bps

IEEE 802.3BWA challenge, the industry is

still missing the right technology, which

will probably involve some major break-

through in the silicon photonic segment.

The lack of such breakthrough technolo-

gy was the key driver for the broad 400G

IEEE agreement.

We believe that a joint economic and tech-

nologic approach is required to enhance

the OTN rate, as it mostly serves the pack-

et world. This joint approach might inclu-

de the following ideas:

• Increase spectral density by moving

to QAM16

• Use supper channel of 2 – two mini

WDM channels, one near the other,

to support increased bandwidth, but

with current ADC technology (4 ADC

in 66G sample/sec in single DSP)

• Use 12.5Ghz granularity with

75/87.5Ghz/100G channel spec-

trum width, to increase the spectral

efficiency also known as flexible

grid concept

• Use DAC in the TX path to enable

spectral shaping, and TX prepro-

cessing.

400G with QAM16 will decrease the opti-

cal performance vis-à-vis 100G. However,

the full impact is yet to be understood.

What becomes clear is that we may not talk

about a single OTN rate, but rather about

a family of software-defined OTN rates.

In case the link OSNR will not enable

QAM16, the constellation may be changed

back to QPSK through software, or even to

BPSK or 8PSK – in conjunction with super

channel of two, family of rates would be

enabled, rather than single rate as in the

past. This concept is known as adaptive

OTN or OTN Flex. (See picture 4.)

Fig. 4: Source: Adapted from IEEE.

1569.59 1569.18 1568.77 1568.36 1567.95 1531.12 1530.72 1530.33 λ nm

10

Gb

/sλ

10

Gb

/sλ

40

Gb

/sλ

40

Gb

/sλ

40

Gb

/sλ

40

Gb

/sλ

40

Gb

/sλ

100

Gb

/sλ

C-band, fixed 50 GHz grid

1569.59 1569.18 1568.77 1568.36 1567.95 1531.12 1530.72 1530.33 λ nm

100

Gb

/sλ

400

Gb

/sλ

100

Gb

/sλ

400

Gb

/sλ

1 T

b/sλ

Example of a future C-band, 50 – 200 GHz Flexible Grid (in 25 GHz increments)


Kurzmeldungen

Einfach einen QR-Code einscannen und von

jeder der mehr als 5.000 Einrichtungen, die

weltweit an eduroam teilnehmen, ins Wis-

senschaftsnetz surfen! Wer 2013 als Stu-

dierender oder Wissenschaftler einen edu-

roam-Account besitzt, kann Smartphones,

Tablets oder Rechner mit dem ‚eduroam

Configuration Assistent Tool‘ (CAT) in Se-

kundenschnelle konfigurieren.

Der Konfigurationsassistent wurde aus

Mitteln der Europäischen Union finan-

ziert und wesentlich von den Kollegen des

polnischen und des luxemburgischen For-

schungsnetzes entwickelt. Für Nutzer deut-

scher Wissenschaftseinrichtungen findet

sich der Konfigurationsassistent unter der

URL: edit.dfn.de

Alternativ zum QR-Code kann mit zwei

Klicks auch über ein Web-Frontend kon-

figuriert werden. Einfach die vom System

angebotene Heimateinrichtung auswäh-

len und anschließend das verwendete Be-

triebssystem von Laptop, Smartphone oder

Tablet anklicken. Der Download der Konfi-

gurationsdatei startet automatisch.

Der Konfigurationsassistent läuft seit kur-

zem im Regelbetrieb in der Version 1.0.2

und wird bereits von vierzig Einrichtungen

im Deutschen Forschungsnetz angeboten.

Rechenzentren und DV-Verantwortliche,

die sich für den Assistenten interessieren,

nehmen Kontakt mit der Geschäftsstelle

des DFN-Vereins auf. M

DFN-Infobrief Recht als Kompendium

Seit 2011 werden die DFN-Infobriefe Recht

vom DFN- Verein zusätzlich zur laufenden

Publikation über das Netz auch als gedruck-

ter Jahres-Sammelband herausgegeben. In

den Sammelbänden sind alle Artikel, die

im Laufe eines Jahres veröffentlicht wur-

den, enthalten.

Der Jahresband 2012 kann über die Ge-

schäftsstelle des DFN-Vereins bezogen

werden. Bitte kontaktieren Sie uns per E-

Mail unter [email protected] M

Bereits zum 11. Mal trafen sich vom 6. bis

zum 8. Mai 2013 die Mitarbeiter der Hoch-

schulverwaltungen im Rahmen der alle

zwei Jahre stattfindenden Tagung der DFN-

Nutzergruppe Hochschulverwaltung. Un-

ter dem Motto „Mobiler Campus“ wurden

an der Universität Mannheim neueste Ent-

wicklungen im Bereich ‚IT an Hochschulen‘

diskutiert. Das Themenspektrum der Ver-

anstaltung reichte von der titelgebenden

Mobilität in all ihren Aspekten über Fra-

gen der Risikoanalyse und IT-Sicherheit bis

zum Prozessmanagement und den vielfäl-

tigen, nicht zuletzt sicherheitstechnisch

und juristisch relevanten Fragen rund um

Cloud-Technologien.

Die Hochschulverwalter bilden eine der

dienstältesten Communities im DFN-Ver-

ein, die als Nutzergruppe mit eigenen Ta-

Vom CISO bis zur Hochschul-App: Nutzergruppe Hochschulverwaltungtagt zum 11. Mal

Eduroam-Konfigurationsassistentim Regelbetrieb

gungen und Informationsveranstaltun-

gen ihre spezifischen Interessen formu-

lieren. Die Veranstaltungen der Nutzer-

gruppe sind von besonderer Relevanz für

das Deutsche Forschungsnetz, da die Ver-

waltungen der Hochschulen sich traditio-

nell in einer Doppelrolle gegenüber ‚dem

Netz‘ befinden. Sie sind zugleich Nutzer

mit höchsten Ansprüchen etwa in den Be-

reichen Sicherheit, Usability und Relevanz

für die realen Bedarfe der Wissenschaft,

zum anderen sind die Verwaltungen tief

eingebunden in die Entscheidungsprozes-

se im IT-Bereich. Insbesondere die Etablie-

rung von IT-Entscheidungen auf der Füh-

rungsebene der Hochschule durch CTOs

(Chief Technology Officer) oder die von vie-

len Seiten gestellte Forderung nach der

Einführung sogenannter CISO’s (Chief In-

formation Security Officer) zeigt, wie weit-

reichend die administrativen und die wis-

senschaftlichen Aspekte der Netznutzung

heute ineinander greifen.

Einen Überblick über die Themen und Ar-

beitsgebiete der Nutzergruppe gibt das Ta-

gungsprogramm, das auf den Webseiten

der Nutzergruppe hinterlegt ist. Zu fast

allen Vorträgen und Präsentationen fin-

den sich Folien und Abstracts. Wer sich

über den Stand und das Potenzial mobi-

ler Systeme an den Hochschulen informie-

ren möchte, wird auf den Webseiten der

Hochschulverwalter ebenso fündig wie der-

jenige, der einen Überblick über die der-

zeit im Einsatz befindlichen „Hochschul-

Apps“ sucht. M

http://www.hochschulverwaltung.de


weiterhin mit zwei redundanten Leitun-

gen ausgeführt (redundante Anbindung

mit einer Hauptleitung und einer Neben-

leitung). Alternativ kann auf die redundan-

te Anbindung verzichtet und die gesamte

Bandbreite stattdessen über einen einfach

angebundenen Anschluss (einfache Anbin-

dung) bereitgestellt werden. Das Verfah-

ren der Leistungssteigerung wurde von

der 65. Mitgliederversammlung des DFN-

Vereins im Dezember 2012 beschlossen.

Grundsätzlich gilt für den Dienst DFNIn-

ternet weiterhin: Keine Installations- oder

Grundgebühr, keine Volumenberechnung,

keine versteckten Kosten. Überall gleich

in Deutschland (außer für Portanschlüs-

se). Die Entgelte des Dienstes DFNInter-

net sind einfach und transparent. Sie be-

ziehen sich ausschließlich auf die einge-

hende Bandbreite (vom Wissenschaftsnetz

zum Anwender) für den Zugang zu DFNIn-

ternet und sind so ausgelegt, dass die ent-

stehenden Kosten für den Dienst von den

Anwendern gemeinsam gedeckt werden.

https://www.dfn.de/dienstleistungen/dfn-

internet/entgelte-ab-juli-2013/ M

250. AAI-Vertrag

Die Hochschule Albstadt-Sigmaringen ist

250ster Vertragspartner innerhalb der DFN-

AAI. Seit Jahren schon hat die DFN-AAI eine

Zuwachsrate von etwa drei Einrichtungen

oder Vertragspartnern, die Monat für Mo-

nat der Föderation beitreten.

Dabei wird die DFN-AAI zunehmend nicht

mehr nur im Verlags- und Bibliotheksbe-

reich genutzt, sondern kommt immer häufi-

ger auch beim E-Learning, bei der Software-

Distribution oder bei der Organisation in-

terner Arbeitsabläufe an den Hochschulen

zum Einsatz. So lässt sich mit der DFN-AAI

der Zugriff auf personalisierte Studenten-

Portale ebenso steuern wie die Gewährung

von Schreibrechten in Typo3.

Wissenschaftlern und Studierenden wer-

den mit der DFN-AAI inzwischen auch euro-

paweit Ressourcen zugänglich – seit kur-

zem ist die DFN-AAI in die von der TERE-

NA organisierte AAI „edugain“ integriert.

Für Fragen und Anregungen steht die Hot-

line unter [email protected] zur Verfü-

gung. M

Seit Einführung des Gigabit-Wissenschafts-

netzes im Jahr 2001 ist der DFN-Verein be-

strebt, den steigenden Anforderungen der

an das Wissenschaftsnetz angeschlosse-

nen Anwender durch Leistungssteigerun-

gen zu unverändertem Entgelt zu entspre-

chen. Mit dem 1. Juli 2013 gelten für alle

Kategorien des Dienstes DFNInternet ab

I02 neue Bandbreiten. Insbesondere in den

unteren Kategorien des Dienstes mit nied-

rigen Bandbreiten fällt die Leistungsstei-

gerung 2013 deutlich aus. Wer mit dem

kleinsten Anschluss an DFNInternet in der

Kategorie I02 angeschlossen ist, dessen

Bandbreite vergrößert sich von bislang 40

Mbit/s auf nun 200 Mbit/s. Die 75 bzw. 100

Mbit/s der Kategorien I03 und I04 werden

durch 300 Mbit/s bzw. 400 Mbit/s ersetzt.

In den mittleren Kategorien wird mindes-

tens eine Verdreifachung der Anschluss-

bandbreiten realisiert, während die höchs-

ten Kategorien des Dienstes mindestens

eine Verdoppelung ihrer bisherigen Band-

breite erfahren. Die Entgelte pro Kategorie

bleiben unverändert. Die Anschlüsse zum

Dienst DFNInternet werden grundsätzlich

Deutliche Leistungssteigerung im DFNInternet

Foto: © vm - iStockphoto

18 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL

GÉANT 2013: Terabit-Technologie im Einsatz

Seit Jahren ist ein exponentielles Wachs-

tum des Datenaufkommens in den For-

schungsnetzen zu beobachten, das mit

einer zunehmenden Internationalisie-

rung des Datenverkehrs einhergeht. For-

schungskollaborationen und international

aufgestellte Projekte und Infrastrukturen

wie das CERN oder zukünftig das Square

Kilometer Array generieren enorme Daten-

mengen, die über viele nationale Domains

hinweg verteilt, analysiert und gespeichert

werden müssen. Damit wachsen nicht nur

GÉANT schaltet um auf Terabit-Technologie

Fast gleichzeitig mit der Migration des X-WiN ist auch der europäische Wissenschafts-Backbone GÉANT mit Terabit-Technologie ausgestattet worden. Auf sämtlichen Dark- Fibre-Verbindungen des 50.000-km-Backbone-Netzes, mit dem die nationalen Forschungsnetze europaweit verknüpft sind, ist seit diesem Jahr eine neue Switching- und Multiplexing-Infrastruktur im Einsatz.

Text: Kai Hoelzner (DFN-Verein)

Foto

: © M

ia11 - ph

oto

case

19INTERNATIONAL | DFN Mitteilungen Ausgabe 84 |

die Anforderungen an die nationalen For-

schungsnetze, sondern auch an den eu-

ropäischen Forschungs-Backbone GÉANT.

Seit Anfang 2013 ist im X-WiN eine neue

Technologie-Generation auf der optischen

Übertragungsebene des Wissenschaftsnet-

zes im Einsatz. Bedingt durch einen ähnli-

chen Beschaffungs-Zyklus wurde nun auch

das GÉANT mit neuester Übertragungstech-

nik ausgestattet. Ebenso wie das Deutsche

Forschungsnetz hält GÉANT seitdem Ka-

pazitäten bereit, die bis in den Terabit-Be-

reich gesteigert werden können und die

Bedarfe der Wissenschaft in puncto Über-

tragungskapazität für einen längeren Zeit-

raum befriedigen werden.

Bereits 2011 war eine massive Investition

in die technische Infrastruktur des GÉANT

angekündigt worden, mit der die Übertra-

gungskapazitäten bis Ende des Jahrzehnts

in den Multi-Terabit-Bereich gehoben wer-

den können. Das Rollout des Terabit-Netz-

werks wurde unmittelbar nach Vergabe der

Aufträge im Juli 2012 begonnen und konn-

te noch im Frühjahr 2013 abgeschlossen

werden. Dabei wurden 12.000 Kilometer

Glasfaser-Verbindungen des GÉANT-Back-

bones mit neuer Multiplexing- und Swit-

ching-Technik ausgestattet. Insgesamt

wurden innerhalb von nur zehn Monaten

an mehr als 170 Standorten zwischen Ko-

penhagen, Tallin und Riga im Norden, Mos-

kau im Osten, Athen im Süden und Dublin

im äußersten Westen des Kontinents Altge-

räte ab- und neue Technologie aufgebaut.

Migration in zwei Phasen

Um Unterbrechungen zu vermeiden, wur-

de die Migration in zwei Phasen durchge-

führt, wobei zunächst die Switching-Tech-

nik erneuert und anschließend die opti-

sche Übertragungstechnologie der Wellen-

längen-Multiplexer ausgetauscht wurde.

Die bisherige Topologie des GÉANT wurde

dabei um zwei zusätzliche Routen Mailand

– Marseille und Marseille – Genf ergänzt.

Die zusätzlichen Strecken nach Marseille

ermöglichen, eine Fülle dort endender Un-

terseekabel aus dem Mittelmeerraum für

das GÉANT zu nutzen. Über diese Unter-

seekabel landet nicht nur ein erheblicher

Teil des Datenverkehrs mit Afrika, sondern

auch aus weiten Teilen Asiens.

Eine Reihe parallel bereitgestellter Fasern

entlang bereits existierender Strecken in

GÉANT erhöhen auf den Schlüssel-Verbin-

dungen des GÉANT die Kapazitäten und

die Stabilität des Netzes. Dies betrifft die

Strecken London – Paris, London – Brüs-

sel – Amsterdam, Amsterdam – Frankfurt

a.M., Frankfurt a.M. – Genf und Mailand –

Wien. Gleichzeitig ermöglichen die paral-

lelen Fasern auf den ‚inneren‘, stark bean-

spruchten GÉANT-Strecken eine flexiblere

Migration auf die neue Übertragungstech-

nik und ein vorheriges Testen der einzel-

nen Strecken vor dem finalen ‚Switch-Over‘.

Insbesondere, wenn keine parallele Faser

zur Verfügung stand, wurden die Arbeiten

an den Standorten nur außerhalb der Peak-

Zeiten des Netzes durchgeführt, so dass

mögliche Beeinträchtigungen des Daten-

verkehrs, wie etwa die Laufzeitverlänge-

rung von Paketen auf alternativ geroute-

ten Strecken, möglichst wenig Störungen

bei den Anwendern hätten verursachen

können. Anders als bei der Migration des

X-WiN, das Dank seiner vollständigen Stre-

ckenredundanz auch während der Migrati-

on immer mindestens eine Kernnetzverbin-

dung zu einem Standort aufrecht erhielt,

wurde bei der GÉANT-Migration ein Siche-

rungsseil für die Umschaltung der Stand-

orte benötigt: Eine Rollback-Strategie sah

vor, im Falle etwaiger technischer Proble-

me unverzüglich auf die alten technischen

Komponenten zurückzuschalten, die erst

bei erfolgreicher und vollständiger Migra-

tion des Netzes abgebaut wurden.

GÉANT-Backbone im Jahr 2013: 12.000 Kilometer Glasfaserstrecke (schwarz) wurden auf 100-Gigabit/s-

Technologie migriert.


„Need for Speed“

Die Ausrüster der neuen GÉANT-Generati-

on heißen Infinera und Juniper Networks.

Auf der Switching-Plattform kommen seit

Mai Router der MX 3D Serie von Juniper

Networks mit 100-Gigabit/s-Kapazität

zum Einsatz. Die optische Transportebe-

ne des GÉANT ist nun mit Infineras neues-

ter DTN-X Technik bestückt sein, die „XTC“

Add Drop Multiplexer und „OTC“ Optical

Line Amplifiers mit EDFA/RAMAN Verstär-

kern kombiniert. Den mehr als 50 Millionen

Endnutzern, die über die 32 europäischen

NRENs und eine Fülle interkontinentaler

Verbindungen via GÉANT kommunizieren,

steht damit eine annähernd frei skalierba-

re und hoch belastbare Netzinfrastruktur

zur Verfügung.

Forschen am Netz

Finanziert wird das GÉANT aus Nutzungs-

entgelten der nationalen Forschungsnetze

und aus Mitteln des 7. Rahmenprogramms

der Europäischen Union. Hierzu wurden im

Rahmen des Projektes GN3plus für die kom-

menden zwei Jahre 42 Millionen Euro von

der Europäischen Kommission bewilligt,

mit denen neben dem Betrieb des Netzes

auch der Aufbau von Testbeds sowie ein ei-

genes Förderprogramm für Entwicklungs-

projekte unterstützt werden. Insbesonde-

re die Durchführung von netznahen Inno-

vationsprojekten stellt für GÉANT ein No-

vum dar. Die Aufgabe, die die Europäische

Kommission dem GÉANT für die kommen-

den beiden Jahre mitgegeben hat, lautet,

über Open Calls eine Reihe von Miniprojek-

ten auszuschreiben und durchzuführen.

Gesucht werden hierfür Use-Cases, eigen-

ständige Forschungs- und Technologie-Ent-

wicklungen zur Unterstützung laufender

Projektaktivitäten sowie innovative Pro-

jekte und Demonstrationen in NREN-über-

greifenden Multi-Domain-Umgebungen.

GÉANT Testbeds

Mit dem Schwerpunkt „Testbeds as a Ser-

vice“ in GN3plus bietet GÉANT Wissen-

schaftlern künftig die Möglichkeit, Test-

beds zur Erprobung neuer Netztechnologi-

en und innovativer Anwendungen zu nut-

zen. Hierzu stehen im GÉANT zwei Typen

von Testbed-Ressourcen zur Verfügung:

Ein ‚Dynamic Packet Testbed‘ ermöglicht

Untersuchungen und Technologieerpro-

bungen auf den höheren Netzwerk-Ebe-

nen, während ein ‚Dark Fibre Testbed‘ ei-

ne Infrastruktur für Feldversuche mit op-

tischen und photonischen Technologien

bereitstellt, auf der sich technologische In-

novationen in realistischen Weitverkehrs-

verbindungen erproben lassen. Nicht zu-

letzt werden davon eine Reihe nationaler

NRENs profitieren, die in den kommenden

Jahren mit dem Umstieg von 10- auf 100

-Gigabit-Technologie befasst sein werden.

Das ‚GÉANT Dark Fibre Testbed‘ besteht

aus Faserverbindungen, die nach dem Ab-

schluss der aktuellen Netzwerk-Migration

des GÉANT verfügbar bleiben. Fünf solcher

Routen mit einer Gesamtlänge von 2.500

Kilometern können von Oktober 2013 an

bis Ende Juni 2015 für Tests genutzt wer-

den: Die Strecken London – Paris, Frank-

furt – Genf, Amsterdam – Frankfurt, Amster-

dam – Brüssel und Mailand – Wien sind mit

optischen Verstärkern ausgestattet und

werden an den Endpunkten der jeweili-

gen Strecken durch das Alcatel DWDM-

System des „alten“ GÉANT beleuchtet. Das

GÉANT Dark Fibre Testbed ermöglicht die

Technologie-Erprobung auf der Transport-

Ebene und wird nicht nur für das GÉANT,

sondern ebenso auch für die nationalen

Forschungsnetze interessant sein, die ih-

re Netze in den kommenden Jahren mit ei-

ner neuen Generation von Routern, Swit-

chen, Multiplexern und Verstärkern aus-

statten werden und in diesem Zusammen-

hang Hardwaretests durchführen müssen.

Das ‚GÉANT Dynamic Packet Testbed‘ stellt

interessierten Wissenschaftlern eine Fülle

von Netzwerk-Ressourcen zur Verfügung,

mit denen sich verschiedenste Ansätze für

virtuelle und dynamische Vernetzungen er-

proben lassen. Ziel ist, künftige Konzepte

und Technologien wie etwa Software Defi-

ned Networks z.B. auf der Basis von Open-

Flow in einer realistischen Weitverkehrs-

Umgebung und bei Bedarf über mehrere

Domains hin zu erproben und möglichst

zeitnah für die wissenschaftliche Netznut-

zung zu erschließen.

Der DFN-Verein war in jüngster Vergangen-

heit in verschiedenen Arbeitsgruppen an

der netztechnischen Weiterentwicklung

des GÉANT beteiligt, unter anderem in den

Bereichen Federated Network Architectu-

res sowie Virtualisierung von Netzen. Hier-

bei wurde untersucht, welche Rolle die Fö-

derierung von Netzen bzw. das Virtualisie-

ren von Netzkomponenten spielen werden.

GÉANT Open Call

In einem Open-Call-Verfahren wurden im

April und Mai 2013 Projektvorschläge ge-

sammelt, die sich mit spezifischen Themen

innovativen Netzwerkens befassen. Die Lis-

te dieser Themen reicht von Photonic Level

Access – also dem Zugriff auf Netzstruktu-

ren unterhalb der IP- und Ethernet-Ebene

Software Defined Networking, Bandwith

on Demand oder Terabit Transmission Tri-

als über eine Fülle von Utility-Themen wie

Network as a Service, hochverfügbare Net-

ze oder Cloud-Access bis hin zu innovati-

ven Demonstrationsprojekten.

Für die Durchführung dieser Projekte ste-

hen in GN3plus 3,3 Millionen Euro bereit.

Formuliertes Ziel ist, möglichst netznahe

Forschungsvorhaben zu unterstützen, die

für die Zukunft des GÉANT und der natio-

nalen Forschungsnetze relevant werden

können. Dabei wird eine enge Abstimmung

der eingereichten Projekte mit den laufen-

den Aktivitäten in GN3plus angestrebt. Die

Laufzeit der Open-Call-Projekte soll von

Oktober 2013 bis zum Ende der Planungs-

zeitraumes des 7. Rahmenprogramms der

EU reichen, das im März 2015 ausläuft. M


Who is behind ORIENTplus?

DW: ORIENTplus was born out of the successful ORIENT col-

laboration between Europe and China. Through the planning

and operation of ORIENTplus the relationship has further de-

veloped. We now have both major Chinese research and edu-

cation networks, CERNET and CSTNET, fully involved in the pro-

ject. We also have 9 European NREN partners*, though all Eu-

ropean NRENs are connected via GÉANT, and DANTE is co-ordi-

nating on behalf of the EU and Chinese partners. Operational

management is jointly coordinated by the GÉANT and CNGI-6IX

NOCs. The project is absolutely a partnership of equals between

Europe’s and China’s NRENs - committed to work together to

provide world class e-Infrastructure for world class collabora-

tive research. The project receives financial backing from the

EC’s FP7 programme and from the Chinese government as well

as from the NREN communities.

JW:CERNET was the Chinese partner in ORIENT and connected

CSTNET in China. CERNET is very pleased CSTNET has become a

full partner in ORIENTplus. The equal funding and project res-

ponsibility from China and Europe symbolises the shared com-

mitment of both sides.

Aren’t 10Gb connections commonplace these days? What makes

this upgrade so special?

CG: Not at all! I agree we have 10Gb in the European GÉANT foot-

print and on our links to the US. This is why most Internet traffic

to Asia still goes the long way round, via the US and through the

Pacific. But with ORIENTplus we now have a direct link between

Europe and China which goes overland through Siberia. Unfor-

tunately, this comes at a cost which is why we sought EC and

Chinese government funding support. But it has the great ad-

vantage of being the only high-capacity connection between Eu-

rope and China using the shortest route available – a must-have

ORIENTplus: Boosting EU-China CollaborationBetween 2007 and 2010 the ORIENT project provided the first direct high-capacity Internet connec-

tion for research and education between Europe and China. Now the successor project ORIENTplus

offers with its 10G link the shortest and fastest data communications route between the GÉANT and

Chinese research networking communities, enabling innovative research and education collabo-

rations to flourish. DFN-Mitteilungen caught up with project representatives in both regions and

asked them what ORIENTplus means for scientists, academics and NRENs at both ends of the link.

Kai Nan, Director

CSTNET

Jiangping Wu, Director

CERNET Center

David West, Dante Ltd.

Project Manager ORIENTplus

Christian Grimm, Director DFN

Chair ORIENTplus Steering Group


for many data-intensive and time-critical research applications.

The upgrade from 2.5 to 10Gb was clearly needed to keep pace

with the increased user demand we are seeing. To illustrate how

capacity to China has grown I may recall that ORIENTplus e–

volved from a direct 2Mbps peering between the UK and China

to a high-speed inter-regional link over a thousand times that

capacity. Not to mention that in DFN we celebrated a 64kbps link

between Germany and China less than 15 years ago.

JW: But ORIENTplus is more than just a link with huge capaci-

ty. Thanks to good co-operation between CERNET, TransPAC3,

and Internet2, and ORIENTplus there is now also an integral ele-

ment of “around the globe” connectivity support. A recent mu-

tual back-up agreement between the four partners guarantees

network reliability and resilience by automatically re-routing

the traffic via the US in the event of any outage. I believe this is

the first-ever global back-up partnership and a great example

of collaboration between network providers.

We understand that link is operated in hybrid mode. What are

the advantages of that?

CG: Indeed. The hybrid nature of the link means that it can carry

both IP and point-to-point traffic. It will allow us to deploy tools

and services, such as PerfSONAR, eduroam and dynamic point-

to-point links. In addition to the upgraded link capacity, this will

give us adequate flexibility to support communities with spe-

cial networking requirements.

KN: Let us not forget the good team work to make this happen.

We have set up a joint EU-China technical support team. So we

have the most efficient and simplified troubleshooting process

to ensure reliable and high quality network transmission. And I

agree, the hybrid mode provides the opportunity to deploy dif-

ferent, innovative techniques and equipment, such as accelera-

tion devices, to match specific application needs.

Who uses this link today and what are the growth areas?

CG: It comes as no surprise that users from the LHC community

were among the first to fill the increased capacity. But we ex-

pect many more from other disciplines. As an interesting effect,

by making the ORIENTplus capacity available to our users we

learned a lot about the many existing collaborations between

European and Chinese researchers.

KN: We have already seen take-up in the field of radio-astrono-

my. eVLBI, for example, relies on a stable network connection

for correlating massive data in real-time from radio-telescopes

in Europe and on CSTNET’s network in China. Similarly, the AR-

GO-YBJ cosmic ray studies involve the transfer of terabytes of

data every year from a telescope in Tibet to a processing cen-

tre in Italy – thousands of miles away. Real-time processing and

analysis of these data do not work with packet loss or a jittery

connection – so the applications need dedicated R&E network

links, such as ORIENTplus, to deliver this. Genomic research bet-

ween China and Europe needs the same strong networking. The

commodity Internet would simply not be able to tackle the data

traffic generated by DNA sequencing and processing by life sci-

ences institutions, such as the Beijing Genomics Institute (BGI)

and the European Bioinformatics Institute (EBI).

JW: More and more collaborative projects between universities

in China and Europe have increasing bandwidth demands. There

are, for example, many UK universities setting up remote campu-

ses and offices in China, the online courses, videoconferences and

other forms of virtual meetings and discussions are becoming

a key part of this type of remote education. Certainly, ORIENT-

plus is the basic infrastructure to support these collaborations.

What special value does China see in ORIENTplus?

JW: In the late 90’s, before ORIENT and ORIENTplus, CERNET’s first

ORIENTplus

Between 2007 and 2010 the ORIENT project provided the

first high capacity link between GÉANT and China with

FP6 funding support and successfully enabled many inno-

vative EU-China research and application collaborations

to flourish.

ORIENTplus is created to maintain and further develop

infrastructure between GÉANT and China that is open for

use by all European and Chinese researchers. The main fo-

cus of the this project is to support the infrastructure link.

To mark the significant upgrade of the ORIENTplus link to

10 Gbps, project partners, senior EC and Chinese govern-

ment officials, media representatives as well as members

of the user community gathered on 12 April for a com-

memorative event networked over the ORIENTplus link,

with a main venue in London connected by high-quality

video-conferencing to 14 sites across Europe and China.

The launch event provided an opportunity to hear and see

first-hand from scientists how this high-speed China-EU

link makes a real difference in advancing collaborative

research.*BASNET, CESNET, DFN, e-ARENA, GARR, GRNET, JANET, NORDUNET and PSNC


direct links to Europe were with JANET and DFN only. With ORI-

ENT and now ORIENTplus, China’s researchers can now reach

the whole of Europe with just one link. As the link capacity

grows and our researchers can collaborate more, the rela-

tionships get stronger and lead to new discoveries and inno-

vation. On China’s side we have the vision of global network-

ing since research challenges are global. We are very pleased

this is Europe’s vision too. It leads to good partnership and

success.

KN: ORIENTplus brings the best Chinese and European minds

together. In addition to our major science programmes, there

are important applications for all our people, such as e-health

and environmental monitoring. During the Sichuan earth quake

in 2008, for example, the ORIENT link was able to distribute high-

resolution satellite images of the damaged region for immedi-

ate analysis to help plan rescue, relief and recovery.

The CEOs critically reviewed the common strategic challenges

they face in delivering advanced ICT services to the Research and

Education communities they serve. Outcomes of this meet ing

include significant progress on the four major challenges the

CEOs defined at their first meeting as well as developing new

areas of common strategic interest.

The four challenges are as follows:

1. Global Network Architecture – While clear principles for a co-

herent global R&E network architecture continue to take form,

the CEOs decided to refine these principles by commissioning

a high-level action group to study and report back on key areas

such of procurement, the relationships with intercontinental

carriers and new intercontinental fiber builds, and federated

operations. A subgroup of the CEO Forum has also been formed

How do you see the EU-China collaboration develop in the com-

ing years?

DW: We already see China is the EU’s 2nd largest trading partner

and the EU is China’s biggest trading partner. The current ORI-

ENTplus project runs to the end of 2014.The growing research

and technology development programmes between Europe

and China mean there is a clear need for the world class e-Inf-

rastructure links to continue to be provided and further devel-

oped. So we are now starting to discuss not ‘if’ but ‘how’ this is

done, building on the already excellent working relationships.

As well as the connectivity we would like to broaden this in to

further service and user collaborations.

We have some way to go, but I hope it will not be too long be-

fore the project that follows on from ORIENTplus is able to tell

DFN-Mitteilungen of its latest upgrade to 100Gb or higher! M

to develop a common view on the political approach to funding

the Global Network Architecture. Both these groups will have

strict timetables to ensure close alignment and delivery across

our multiple global boundaries.

2. Global Realtime Communications Exchange – The CEOs en-

dorsed the work done so far to develop a global dialing directory

for audio and video collaboration tools using NRENUM.net, SIP,

and H.323 as the major technical direction. Each participating

NREN, if not have already done so, will begin implementation

of this before the end of the 2013. The level of global interoper-

ability resulting from this project will be a key enabler for the

collaboration goals of the sector globally during the next five

year horizon in order to enhance both research and teaching &

learning growth.

Global R&E Network CEO Forum take next steps in Asia’s Global City of Hong KongFollowing their first retreat in September 2012, the Global R&E Network CEO Forum met in Hong Kong on May 9th and 10th to review and further develop the four key global initiatives which they had defined as a part of a wider global Research and Education ICT strategy.


3. Global Service Delivery – An initial group of seven of the CEO

Forum’s NRENs are aligning their efforts on Global Service De-

livery and are collaborating on creating business models and

developing contracts to work with cloud providers on a global

scale. This initiative is not without significant challenge, specifi-

cally with respect to achieving common global legal agreements.

The progress of this project requires rapid global development

and implementation in order for the sectors across the world

to seize immediate cost and efficiency benefits in the effective

delivery of market leading technology solutions.

4. Global Federated Identity Management – To support the ef-

fective global use of cloud services and on-line learning envi-

ronments such as MOOCs, the CEOs committed to interconnect

each of their federations before the end of 2013. This effort will

be aligned such that the Global Realtime Communications Ex-

change and the Global Service Delivery can build on the interfed-

eration work. This interfederation platform is a fundamental

building block ensuring seamless linkages of both people and

projects across both national and regional boundaries. It was

recognized that if the global NREN community did not pursue

this approach as a matter of urgency there was a risk that less

appropriate and fragmented solutions would be adopted which

would be highly detrimental to the coherence of global research

and educational collaboration.

In addition to these four challenge areas, there also was signif-

icant discussion around the areas of both security and mobili-

ty, particularly with the exponential growth in BYOD (bring your

own device) and the increased risk profile as big data hits extra-

ordinary growth rates. The CEOs created two new groups. The

first one to determine how we can keep our networks and servi-

ces both open and secure. The second one on how to take away

barriers in global mobile communications for our community,

leading to clearly developed action plans in order to assess and

address any R&E market failure.

On the area of working with existing global or regional expert

groups, the CEOs acknowledged their commitment to work with

these groups to determine how their efforts can contribute to

the initiatives of the Global R&E Network CEO Forum.

The CEO Forum will continue to move forward with regular vid-

eo conferences and will meet again face to face to ensure pro-

gress against the specific project milestones. The strategic im-

portance of countries with emerging NRENs was clearly recog-

nized by the group with the next face to face meeting scheduled

to be held in South Africa at the end of 2013, a location which ex-

emplifies with a view to exploring further the advanced needs

of the global research community with the Square Kilometer

Array and the specific needs of developing NREN communities.

The Global R&E Network CEO Forum consists of the Chief Exec-

utive Officers of AARNet (Australia), CANARIE (Canada), CERNET

(China), CUDI (Mexico), DANTE (Europe), DFN (Germany), Internet2

(USA), Janet (UK), NORDUnet (European Nordics), REANNZ (New

Zealand), RedCLARA (Latin America), RENATER (France), RNP (Bra-

zil), and SURFnet (The Netherlands). (kh) M

Foto: © R_by_PD bearb.GS_pixelio.de


Kurzmeldungen

CERN bekommt erste 100-Gigabit/s-Verbindung

Das neue in Budapest angesiedelte Data Centre des CERN gehört

zu den ersten Nutzern, die vom neuen Terabit-Netz des GÉANT

profitieren. Das „Wigner Research Centre for Physics“ wird in Zu-

kunft in großem Umfang ‚remote‘ Experimentaldaten des Large

Hadron Collider (LHC) speichern. Um die extremen Datenmengen,

die beim neuen Storage-Konzept des CERNs transportiert werden

müssen zu bewältigen, erhalten das CERN in Genf und das unga-

rische Wigner Centrum eine direkte 100-Gigabit/s-Verbindung.

Das LHC generiert derzeit Daten im Umfang von 30 Petabyte pro

Jahr. Die schnelle weltweite Verteilung dieser Daten zu den Wis-

senschaftsgruppen in verschiedenen Ländern stellt eine Voraus-

setzung für die Durchführung der Experimente am CERN dar. Die

Basis für die Distribution der Experimentaldaten bilden die na-

tionalen Forschungsnetze und das GÉANT als pan-europäischer

Backbone mit leistungsfähigen weltweiten Links. Neben dem

GÉANT ist auch das ungarische Forschungsnetz NIIF/Hungarnet

involviert, das die Verbindung vom GÉANT-PoP in Budapest bis

zum Wigner Centre bereitstellt. M

Partnerschaft zwischen GÉANT und Helix Nebula Cloud

GÉANT-Betreiber Dante Ltd. und das europäische Grid-Projekt

„Helix Nebula Cloud“ haben im Dezember 2012 eine Partner-

schaft vereinbart, innerhalb derer GÉANT eine aktive Rolle bei

der Weiterentwicklung der Wissenschafts-Cloud für internati-

onale Großforschungsprojekte einnehmen wird. Führende eu-

ropäische Wissenschaftseinrichtungen hatten im vergangenen

Jahr das nach einem Planetennebel im Sternbild Wassermann

benannte europäische Wissenschafts-Grid Helix Nebula Cloud

gegründet. Zu den Initiatoren der Helix Nebula Cloud gehören

neben der Europäischen Raumfahrtagentur ESA, dem europäi-

schen Kernforschungszentrum CERN und dem Europäischen La-

boratorium für Molekularbiologie EMBL auch eine Reihe von In-

dustrie-Partnern aus dem IT-Bereich.

In der Helix Nebula Cloud wird die Nutzung zentraler Rechen-

und Speicherkapazitäten für aufwendige wissenschaftliche Be-

rechnungen zwischen internationalen Partnern in einer Cloud-

Umgebung erprobt. Die Partnerschaft mit dem europäischen

Forschungsbackbone GÉANT bedeutet nicht nur eine massive

Stärkung des Projektes. GÉANT, das sein Netz soeben auf 100-Gi-

gabit-Technologie umgerüstet hat und über leistungsfähige Ver-

bindungen in alle Kontinente verfügt, bringt nicht nur die welt-

weit leistungsfähigste Netz-Infrastruktur für die Wissenschaft

in die Partnerschaft ein, sondern auch den direkten Zugang zu

den Forschungsnetzen der nationalen Wissenschafts-Commu-

nities in Europa, die das GÉANT als gemeinsame Netz-Infrastruk-

tur initiiert haben. M

Erste transatlantische 100-Gigabit/s-Verbindung angekündigt

Gemeinsam mit GÉANT haben die nordamerikanische Internet2-

Intiative und ESnet (beide USA), das skandinavische NORDUnet,

das niederländische SURFnet und Kanadas CANARIE eine Public

Private Partnership mit kommerziellen Dienstleistern zum Ausbau

der interkontinentalen Verbindung zwischen Forschungsnetzen

in Europa und Nordamerika angekündigt. Ziel des auf dem „In-

ternet2 Annual Meeting“ Ende April angekündigten Vorhabens

ist die Etablierung einer ersten interkontinentalen 100-Gigabit/s-

Verbindung über den Atlantik. Unter dem Arbeitstitel „Advan-

ced North Atlantic 100G Pilot“ (ANA-100G) sollen bereits im Juni

2013 anlässlich der TERENA Networking Conference in Maastricht

Anwendungen zwischen den USA und Europa demonstriert wer-

den.

Hintergrund ist, dass mehrere NRENs auf beiden Seiten des At-

lantik auf 40- bzw. 100 Gbit/s-Technologie aufrüsten werden. Ne-

ben dem X-WiN und GÉANT sind hier auch das britische JANET,

SURFnet und NORDUnet sowie die Internet2-Initiative und ES-

net zu nennen. Die transkontinentalen Verbindungen allerdings

sind dieser Entwicklung auch bedingt durch die Angebotspoli-

tik kommerzieller Provider bislang nicht oder nur unzureichend

gefolgt. ANA 100G soll nicht nur die internationalen Kooperatio-

nen in der Wissenschaft beflügeln, sondern auch einen Anstoß

in Richtung der am internationalen Markt tätigen Carrier und

Netzausrüster geben. M

26 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS26

ISMS – vom einsamen Helden zur hochschulweiten Strategie

Informationssicherheit ist längst keine

Aufgabe mehr für den einsamen Helden

im Rechenzentrum, der sich mit der läs-

tigen Materie Datensicherheit auskennt

und seinen mehr oder minder einsichti-

gen Kollegen und Kolleginnen ins Gewis-

sen redet, wenn es darum geht, Passworte

nicht länger unter der Schreibtischunter-

lage zu ‚verstecken’. Informationssicher-

heit an Hochschulen erfordert heute so-

wohl ein professionelles Management als

auch eine personelle Verankerung auf Lei-

tungsebene. Letztlich geht es zwar auch

um die Frage, ob in den Browsern und Be-

triebssystemen die jeweils aktuellen Pat-

ches eingespielt wurden, im Kern jedoch

darum, ob alle Management-, Kern- und

Supportprozesse der Hochschule auf In-

formationssicherheit ausgerichtet sind.

Dies stellt nicht nur kleinere Einrichtun-

gen vor Probleme. Zwar existieren mit der

ISO/IEC Normen „ISO/IEC 27001 und 27002“

und dem vom Bundesamt für Sicherheit

in der Informationstechnik entwickelten

„BSI-Standard“ Leitfäden, die detailliert

regeln, welche Maßnahmen auf dem Weg

zu mehr Informationssicherheit getroffen

werden müssen. Die Umsetzung des um-

fangreichen Regelwerks an den Hochschu-

len ist allerdings nicht trivial und mit er-

heblichem Organisations- und Arbeitsauf-

wand verbunden.

Die Fachhochschulen des Landes NRW ha-

ben aus diesem Grund bereits im Jahr 2011

einen gemeinsamen Fördermittelantrag

zur Einführung eines Managementsystems

Gemeinsam sicherNordrhein-Westfalens Hochschulen setzen auf gemeinsames Informationssicherheitsmanagement

Um den stetig wachsenden Anforderungen an die Hochschulen im Bereich Informa-

tionssicherheit zu begegnen, setzen Nordrhein-Westfalens Hochschulen seit 2011 auf

eine gemeinsame Strategie. Synergie statt individueller Anstrengungen lautet das

Motto, mit dem das Projekt PRISMA (Programm für ein gemeinsames Informations-

sicherheitsmanagement der Fachhochschulen NRW) die Einführung eines Information

Security Management Systems (ISMS) in den Hochschulen ermöglichen will. Gemein-

sames Ziel ist der Aufbau einer dauerhaften Kooperation zur Verbesserung der

Informationssicherheit, die Synergieeffekte mit sich bringt.

Text: Irene Weithofer (Fachhochschule Köln), Henning Mohren (Fachhochschule Düsseldorf)

Abb. 1: Ein ISMS soll als Bestandteil eines übergreifenden Managementsystems die Entwicklung, Imple-

mentierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der

Informationssicherheit abdecken. Dabei folgt das ISMS einem kontinuierlichen Verbesserungsprozess.

Anforderungen

und

Erwartungen

an ein ISMS

Informations-

sicherheits-

Management-

system (ISMS)

Kontinuierliche

Umsetzung,

Überwachung,

Verbesserung

und Betrieb

Plan

Check

Do Act

ISMS

umsetzen

und

betreiben

ISMS

planen

und

festlegen

ISMS

überwachen

und

überprüfen

ISMS

instandhalten

und

verbessern

27CAMPUS | DFN Mitteilungen Ausgabe 84 |

für Informationssicherheit bei der zustän-

digen Landesregierung gestellt. Im Rah-

men des durch Mitglieder des Arbeitskrei-

ses der Kanzlerinnen und Kanzler und der

DVZ-Leiter gesteuerten „Programms für

ein gemeinsames Informationssicherheits-

management der Fachhochschulen NRW“,

kurz PRISMA, wurde ein Referenzmodell

für die Einführung eines Information Se-

curity Management Systems (ISMS) entwi-

ckelt, das derzeit auf die teilnehmenden

Hochschulen transferiert wird.

PRISMA sorgt dabei nicht nur für den loka-

len Aufbau des ISMS an den teilnehmen-

den Hochschulen, zu dem auch die Be-

nennung eines CISOs (Chief Information

Security Officer) an jeder Hochschule ge-

hört, vielmehr legt das Projekt auch den

Grundstein für eine dauerhafte Koopera-

tion mit der Bezeichnung ISKo (Koopera-

tion zur Informationssicherheit).

ISKo versteht sich als offene Kooperation,

d.h., jede Hochschule in NRW kann an der

Kooperation teilnehmen und Mitglied wer-

den. Das schließt explizit auch Hochschu-

len ein, die nicht am Projekt PRISMA teil-

genommen haben. Inzwischen liegen auch

Beitrittsabsichten von Universitäten vor.

Das Projekt PRISMA gliedert sich in meh-

rere Projektphasen (Arbeitspakete). Dem

Deming-Zyklus „Plan – Do – Check – Act“

folgend wurden im Projekt zunächst über-

greifende Dokumente zum Informations-

sicherheitsmanagement erstellt.

Dokumente zum Informations-sicherheitsmanagement

Die Leitlinie zur Informationssicherheit

(IS-Leitlinie) definiert verbindlich die Ziele,

die die Fachhochschulen in NRW gemein-

sam verfolgen wollen. Sie ist die Grund-

lage für die Kooperation der Hochschu-

len, die auch nach Projektende zur Ver-

besserung der Informationssicherheit

fortgeführt werden soll. In der IS-Leitli-

nie werden der Geltungsbereich, die Zie-

le und die Organisation der Kooperation

festgelegt. Im grundlegenden Textteil, der

für alle Hochschulen gleichermaßen gilt,

ist auch der Kooperationsvertrag veran-

kert. Darüber hinaus kann jede Hochschule

eigene Ziele und lokale Organisationsfor-

men für ihr spezifisch ausgeprägtes Ma-

nagement der Informationssicherheit er-

gänzen. Auf diese Weise besitzt jede Hoch-

schule ihre eigene IS-Leitlinie – gestaltet

mit dem eigenen Logo – und setzt diese

verbindlich in Kraft.

Mit dem Ziel, die Zusammenarbeit auch

nach Ende des Projekts im Bereich des In-

formationssicherheitsmanagements fort-

zusetzen, sind die Fachhochschulen da-

bei, eine Kooperation zum Informations-

sicherheitsmanagement (ISKo) zu grün-

den. Die Bedingungen zur Teilnahme an

dieser Kooperation regelt der ISKo-Koope-

rationsvertrag. Er wurde im Rahmen des

Projekts entworfen und darüber hinaus

auch im Arbeitskreis der Kanzlerinnen und

Kanzler und gegenüber den DVZ-Leitern

vorgestellt.

Die an der Kooperation teilnehmenden

Hochschulen verschreiben sich zu:

gemeinsamen, in der IS-Leitlinie ver-

bindlich definierten Zielen der Infor-

mationssicherheit:

• Berücksichtigen der Informations-

sicherheit und des Datenschutzes

in jedem Geschäftsprozess.

• Schützen von Informationen über

die Sicherstellung ihrer Verfügbar-

keit, Integrität und Vertraulichkeit,

Authentizität, Revisionsfähigkeit

und Transparenz.

gemeinsamen Elementen der Orga-

nisation:

• Benennen eines CISO (Chief Infor-

mation Security Officer) durch je-

de ISKo-Hochschule.

• Aktive Mitarbeit im ISKo-Team.

den Standards

• der BSI 2-Standardreihe zur Infor-

mationssicherheit (100-1 – Manage-

mentsysteme für Informationssi-

cherheit (ISMS), 100-2 – IT-Grund-

schutz-Vorgehensweise, 100-3 –

Risikoanalyse auf der Basis von

IT-Grundschutz, 100-4 – Notfall-

management und Normen)

Diese Punkte definieren den allgemeinen

Konsens aller Hochschulen.

Das Management der Informationssicher-

heit wird neben der IS-Leitlinie in weite-

ren Dokumenten detaillierter festgelegt

und beschrieben. Im Projekt PRISMA ent-

stand eine erste Fassung eines Handbuchs

zur Informationssicherheit (IS-Handbuch),

das anschließend vom ISKo-Team laufend

fortentwickelt werden soll. Das IS-Hand-

buch richtet sich an CISOs und andere

Beteiligte im Management der Informa-

tionssicherheit und enthält eine Anlei-

tung zur Entwicklung einer IS-Strategie

Abb. 2: Der Basis-Sicherheitscheck verlief orientiert am Schichtenmodell und den zugeordneten Baustei-

nen, wie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben. In den Referenz-

hochschulen wurde im Projekt PRISMA die Schicht I „Übergreifende Aspekte“ mit 14 der insgesamt

17 Bausteine überprüft:

B 1.0 SicherheitsmanagementB 1.1 OrganisationB 1.2 PersonalB 1.3 NotfallmanagementB 1.4 DatensicherungskonzeptB 1.5 DatenschutzB 1.6 Schutz vor SchadprogrammenB 1.8 Behandlung von SicherheitsvorfällenB 1.9 Hard- und SoftwaremanagementB 1.10 StandardsoftwareB 1.13 Sensibilisierung und Schulung zur InformationssicherheitB 1.14 Patch- und ÄnderungsmanagementB 1.15 Löschen und Vernichten von Daten

B 1.16 Anforderungsmanagement

Übergreifende Aspekte

Infrastruktur

IT-Systeme

Netze

Anwendungen

Schicht I

Schicht II

Schicht III

Schicht IV

Schicht V

28 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS

Die Audits an den Referenzhochschulen

wurden entsprechend der Prüfkataloge

des BSI durchgeführt. Dabei wurden be-

stimmte sicherheitsrelevante Abläufe in

Hinblick auf die Informationssicherheit

exemplarisch bewertet. Die nach der IT-

Grundschutz-Methode des BSI angewende-

te Form der Überprüfung nennt sich Basis-

Sicherheitscheck – sie wurde in Form von

Interviews durchgeführt. Ziel war, einen

ausgewogenen Soll-Ist-Vergleich durchzu-

führen. Gemeinsam mit den Interview-Teil-

nehmerinnen und -Teilnehmern wurden

zunächst die relevanten Gefährdungssi-

tuationen herausgearbeitet. Danach wur-

de das vorhandene Sicherheitsniveau (Ist)

anhand gefährdungsabwehrender Maß-

nahmen aus den BSI-Grundschutzkatalo-

gen (Soll) festgestellt.

Die Audits wurden in offener Form durch-

geführt, so dass an den jeweiligen Termi-

nen auch Beschäftigte anderer Hochschu-

len des Landes NRW teilnehmen konnten.

sowie zahlreiche weitere Informationen

zum Informationssicherheitsprozess und

seinen Prinzipien, zu den Rollen im ISMS,

zu Schutzbedarfskategorien, zum IT-Risi-

komanagement etc. Ein gesonderter Ab-

schnitt beschreibt die möglichen Maßnah-

men zur Initialisierung des lokalen ISMS

auch für die Hochschulleitung.

Einführung des ISMS an den Referenzhochschulen

Im Projekt PRISMA wurde auch der Um-

setzungsgrad des ISMS an drei Referenz-

hochschulen, den Fachhochschulen Aa-

chen, Düsseldorf und Köln, in Form von

Audits überprüft. Ziel war es, Gemeinsam-

keiten und Unterschiede im Bereich der

Umsetzung von Informationssicherheit

an den Referenzhochschulen zu ermitteln

und zu prüfen, ob sich daraus Synergie-

effekte für die Gesamtheit der Fachhoch-

schullandschaft in NRW ergeben können.

Dadurch hat das PRISMA-Projekt sicherge-

stellt, dass die gewonnenen Erfahrungen

bei der Einführung des ISMS allen Einrich-

tungen zugutekommen können.

Im Ergebnis hat sich gezeigt, dass die Refe-

renzhochschulen einen ähnlichen Umset-

zungsgrad des Informationssicherheits-

managements vorweisen. Während Be-

reiche wie Organisation und Personal

durchweg gut abgeschnitten haben, wur-

de Verbesserungspotenzial in den Berei-

chen Notfallmanagement und Sicherheits-

management festgestellt. Die Ergebnis-

se aus den Referenzhochschulen wurden

im September 2012 im Rahmen eines ein-

tägigen Workshops vorgestellt, zu dem

alle teilnehmenden Hochschulen einge-

laden waren. Im November 2012 wurde

ebenfalls der Arbeitskreis der Kanzlerin-

nen und Kanzler der teilnehmenden Hoch-

schulen über den Stand des Projektes und

den baldigen Beginn der Transferphase

unterrichtet.

Der Basis-Sicherheitschecks an den drei Referenzhochschulen zeigte kurz vor Abschluss im September 2012 in vielen Aspekten einheitlich gute und schlechte

Werte mit nur wenigen Abweichungen zwischen bestem und schlechtestem Ergebnis.

B 1.0

SicherheitsmanagementB 1.1

Organisation

B 1.2

Personal

B 1.3

Notfallmanagement

B 1.4

Datensicherungskonzept

B 1.5

Datenschutz

B 1.6

Schutz vor Schadprogrammen

B 1.8

Behandlung von Sicherheitsvorfällen

B 1.9

Hard- und Software-Management

B 1.10

Standardsoftware

B 1.14

Patch- und Änderungs-

management

B 1.15

Löschen und Vernichten von Daten

B 1.16

Anforderungsmanagement

B 1.13

Sensibilisierung und Schulung

zur Informationssicherheit

Bester Umsetzungsgrad

Durchschnittlicher Umsetzungsgrad

Schlechtester Umsetzungsgrad

29CAMPUS | DFN Mitteilungen Ausgabe 84 |

Die Transferphase

In der bereits angelaufenen Transferpha-

se wird das im Projekt erarbeitete und an

den Referenzhochschulen verifizierte Wis-

sen auf möglichst viele Hochschulen in

NRW übertragen – nicht zuletzt als Basis

der langfristigen Kooperation. Der Trans-

fer wird in mehreren Runden in unter-

schiedlicher Zusammensetzung der Teil-

nehmerkreise durchgeführt, um sowohl

die Hochschulleitungen als auch die ope-

rativ tätigen Bereiche sachgerecht zum

Informationssicherheitsmanagement zu

informieren und für die Kooperation zu

gewinnen.

Für die Transferphase ist der Zeitraum

von April bis September 2013 vorgesehen.

Schließlich wird das Projekt mit der Grün-

dung der Kooperation zum Informations-

sicherheitsmanagement (ISKo) enden, die

das Thema an jeder einzelnen teilnehmen-

den Hochschule sowie in der Gesamtheit

aller Hochschulen als Daueraufgabe vor-

antreiben soll.

Kooperation zur Informations-sicherheit (ISKo)

In der Kooperation ISKo soll das Manage-

ment der Informationssicherheit gerade

dort, wo Synergieeffekte zu erwarten sind,

kontinuierlich und gemeinsamen verbes-

sert werden. Denn die grundlegende Ko-

operationsidee ist ja ein möglichst scho-

nender Ressourceneinsatz, geschaffen

durch die Zusammenarbeit der Hochschu-

len untereinander. Auf Basis gleichartiger

Anforderungen zu abgestimmten Sicher-

heitsthemen sollen für alle Hochschulen

möglichst gleichermaßen anwendbare Ba-

siskonzepte und Lösungen entwickelt wer-

den. Ebenso sollen Erfahrungen bei der An-

wendung von Sicherheitsmaßnahmen und

im Umgang mit Sicherheitsvorfällen mit-

einander ausgetauscht werden, um wir-

kungsvolle Prävention zu schaffen.

In diesem Sinne sollen die zu benennenden

CISOs sowie die Datenschutzbeauftragten

der teilnehmenden Hochschulen als Team

zusammenarbeiten und wesentlich dazu

beitragen, dass die oben genannten Ziele

der Kooperation verbindlich verfolgt wer-

den. Dieses Team soll die Bezeichnung IS-

Ko-Team erhalten. Das ISKo-Team soll sich

eine Geschäftsordnung auf Basis des Ko-

operationsvertrages geben.

Mitglieder von ISKo sind zur aktiven Ko-

operation und Umsetzung der gemeinsa-

men Ziele in ihrer Hochschule verpflich-

tet. Die Verantwortung für die Informati-

onssicherheit verbleibt dabei bei den je-

weiligen Hochschulleitungen. M

Das „Managementsystem für Informationssicherheit“ (ISMS)

Informationen sind das Kerngeschäft einer jeden Hochschu-le. Forschung generiert Informationen, Lehre und Weiterbil-dung vermitteln Informationen. Auch in der Verwaltung und Organisation der Hochschulen in NRW spielen Informationen eine zentrale Rolle. Sie werden von den zahlreichen Profes-sorinnen bzw. Professoren, Lehrbeauftragten, weiteren Be-schäftigten sowie den Studierenden erstellt und bearbeitet.

Informationen sind zum Beispiel Forschungsergebnisse, Prü-fungsdaten, Finanz- oder Personaldaten. Sehr oft handelt es sich dabei auch um personenbezogene Informationen. Die Mitglieder und Angehörigen der Hochschulen sind da-mit gleichzeitig Betroffene personenbezogener Daten und Akteure der Informationsverarbeitung.

Die Schutzziele der Informationssicherheit beziehen sich auf unterschiedliche Arten von Daten und Zustände, die abgesi-chert werden müssen. Hierbei spielen Fragen des Schutzes vor Missbrauch persönlicher Daten genauso eine Rolle wie die Gewährleistung der informationellen Selbstbestimmung der Hochschulangehörigen, der Vertraulichkeit und Integri-tät von Daten und Kommunikationsvorgängen oder der Ver-fügbarkeit, etwa durch Verhinderung von Systemausfällen. Ebenfalls gilt es, die Authentizität, Überprüfbarkeit und Ver-trauenswürdigkeit von Daten sicherzustellen.

Informationssicherheit ist nicht allein Voraussetzung für den Erfolg in Lehre, Forschung und Weiterbildung, sondern stellt sich für viele Prozesse in der Wissenschaft zunehmend als Grundlage dar. Nicht zuletzt ist Informationssicherheit auch Bedingung für die gesetzeskonforme Arbeit von und an Hoch-schulen. Betroffen sind davon alle Informationen, die erho-ben, genutzt und weitergegeben werden.

Die Komplexität dieser Aufgabe ist geprägt von der zuneh-menden Abhängigkeit der meisten Arbeitsabläufe von der IT, ihrer schnellen Entwicklung und den immer kürzeren Lebens-zyklen der Anwendungen und Systeme. Zusätzlich haben die Möglichkeiten, die die neuen Medien und soziale Netzwer-ke bieten, zu einem veränderten Nutzungs- und Kommuni-kationsverhalten geführt. Hochschulen und ihre Angehöri-gen vernetzen sich mit Hochschulen, Unternehmen und an-deren Organisationen regional und global.

Die Sicherung der Qualität, Zuverlässigkeit und Nachhaltig-keit der Informationsverarbeitung an den Hochschulen er-fordert ein bewusstes und umsichtiges Handeln aller. Eine konsequente und geeignete Anwendung der Informations-sicherheit und des Datenschutzes bietet hierzu Hilfestellun-gen und Vorgaben.

31SICHERHEIT | DFN Mitteilungen Ausgabe 84 |

SicherheitAudit der DFN-PKI

von Jürgen Brauckmann, Dr. Ralf Gröper

Sicherheit aktuell

von Heike Ausserfeld, Dr. Ralf Gröper

32 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT

Audit der DFN-PKIIm vergangenen Jahr hat die DFN-PKI einen weiteren großen Schritt nach vorne ge-

macht: Die Zertifizierungsdienste der DFN-PKI im Sicherheitsniveau „Global“ wurden

nach einem umfangreichen Auditprozess erfolgreich gemäß dem ETSI-Standard TS 102

042 zertifiziert. Hierdurch kann das hohe Sicherheitsniveau der DFN-PKI auch Dritten

gegenüber nachvollziehbar dargestellt und so die Browserverankerung der ausgestell-

ten Zertifikate für die Zukunft sichergestellt werden.

Text: Jürgen Brauckmann (DFN-CERT GmbH), Dr. Ralf Gröper (DFN-Verein)

Foto: © RioPatuca Images - Fotolia.com


Hintergrund

Digitale Zertifikate aus der DFN-PKI sind an vielen Einrichtun-

gen im DFN nicht mehr wegzudenken. Von der Absicherung von

Webservern per HTTPS über die Signatur und Verschlüsselung

von E-Mails per S/MIME bis zu chipkartenbasierten Authentifi-

zierungsmechanismen für Mitarbeiter und Studierende spielen

Zertifikate eine entscheidende Rolle. Hierfür wurde der Dienst

über viele Jahre entwickelt und immer wieder veränderten Ge-

gebenheiten angepasst.

Entwicklung

Die DFN-PKI begann mit dem 1996 gestarteten Projekt „PCA im

DFN – Aufbau einer Policy Certification Authority für das Deut-

sche Forschungsnetz“ an der Universität Hamburg. Im Projekt

wurde zunächst davon ausgegangen, dass praktisch alle Einrich-

tungen im DFN ihre Zertifizierungsstellen selbst betreiben wür-

den. Daher lag der Schwerpunkt der Arbeit auf der Ausstellung

von CA-Zertifikaten und der Bereitstellung von Unterlagen zum

Aufbau einer eigenen CA, wie z.B. dem DFN-PCA Handbuch „Auf-

bau und Betrieb einer Zertifizierungsinstanz“. Die ersten Policy-

Dokumente wurden 1997 fertiggestellt, und regeln hauptsäch-

lich das Ausstellen von CA-Zertifikaten und die Anforderungen

an von einer Einrichtung selbst betriebene CA. Die Ausstellung

von Zertifikaten für Anwender, die noch keine eigene CA betrei-

ben, war aber ebenfalls schon vorgesehen.

Nachdem sich im Laufe der Zeit herausstellte, wie groß der tech-

nische und organisatorische Aufwand zum Betrieb einer eigenen

Zertifizierungsstelle in der Praxis wirklich ist, stellte der DFN-

Verein dann ab 2005 eine Erweiterung des Konzepts vor: Mit der

neuen Zertifizierungsrichtlinie vom Februar 2005 konnten in der

DFN-PKI die Aufgaben der Registrierungs- und der Zertifizierungs-

stelle von unterschiedlichen Parteien wahrgenommen werden.

Dadurch konnten die Einrichtungen im DFN die technisch kom-

plexen und personalintensiven Aufgaben eines CA-Betriebs an

die DFN-PCA abgeben und nur die Aufgaben selbst wahrnehmen,

die sinnvollerweise bei ihnen verbleiben sollten, wie z.B. die Iden-

tifizierung von Zertifikatinhabern. Mit diesem neuen Konzept

konnte der Aufwand zur Nutzung der DFN-PKI deutlich gesenkt

werden, so dass die Zahl der Teilnehmer und der ausgestellten

Zertifikate deutlich stieg.

Root-Integration

Ein weiterer Grund für den Erfolg der DFN-PKI ist die Browser-

verankerung der ausgestellten Zertifikate durch die Root-Inte-

gration. Nur so können Betriebssysteme und Webbrowser auto-

matisch die Vertrauenswürdigkeit der Zertifikate überprüfen.

Andernfalls würden Warnmeldungen die Nutzer verunsichern

und das einfache „Wegklicken“ dieser Warnungen das Vertrau-

ensniveau unterlaufen.

Die Root-Integration des Sicherheitsniveaus „Global“ der DFN-

PKI wurde 2007 durch eine Verkettung mit der „Deutsche Tele-

kom Root CA 2“ umgesetzt. Hierdurch benötigt der DFN keine ei-

gene „Root im Browser“, sondern erbt diese Eigenschaft durch

die bereits browserverankerte Telekom CA.

Struktur der DFN-PKI im Sicherheitsniveau Global

Die Browserverankerung der DFN-PKI erfolgt über ein Wurzelzer-

tifikat der T-Systems (Deutsche Telekom Root CA 2), von dem ein

Sub-CA-Zertifikat für unsere PCA (DFN-Verein PCA Global – G01)

ausgestellt wurde. Die Struktur ist in Abbildung 1 dargestellt.

Von der PCA sind dann die einzelnen CAs für die teilnehmenden

Einrichtungen ausgestellt – derzeit sind dies knapp 350. Die ei-

gentlichen End-Entity-Zertifikate, also z.B. Server- und Nutzerzer-

tifikate, werden dann schließlich von diesen CAs ausgestellt.

Abb. 1: Struktur der DFN-PKI „Global“

Neue Anforderungen an browserverankerte CAs

Angriffe auf Zertifizierungsstellen

War sichere Kommunikation Anfang der neunziger Jahre noch ein

Hobby von begeisterten Informatikern, so ist die verschlüsselte

und authentische Übermittlung von Daten inzwischen Grundvo-

raussetzung für praktisch alle ernstzunehmenden Anwendun-

gen. Daher stehen SSL, X.509-Zertifikate und CAs als System zur

Kommunikationssicherung seit einigen Jahren verstärkt im Blick-

punkt, z.B. durch Vorträge auf der Blackhat-Konferenz wie „New

Tricks for Defeating SSL in Practice“ von Moxie Marlinspike. Es

lassen sich drei Themenbereiche unterscheiden, die besonderes

öffentliches Interesse finden:

• Fehlerindenzugrundeliegenden(kryptographischen)

Protokollen

CA-Zertifikat

End-Entity-Zertifikat

LegendeDeutsche Telekom

Root CA2

DFN-Verein PCAGlobal - G01

Max MustermannMax MustermannMax Mustermannwww.hs-pellworm.dewww.hs-pellworm.dewww.hs-pellworm.de

GRP:Serveradministration



ForschungszentrumBeispielhausen

HS PellwormUniversität

Musterstadt


u.a. login.live.com und mail.google.com ausgestellt. Durch ei-

ne schnelle Reaktion von Comodo wurden die Zertifikate in Zu-

sammenarbeit mit den Browserherstellern innerhalb weniger

Stunden gesperrt.

Im Juni 2011 musste mit StartSSL eine weitere CA für mehrere Ta-

ge ihren Betrieb einstellen, ohne dass die betreffende Firma die

Ursache der Betriebseinstellung kommunizierte.

Im August 2011 wurde dann bekannt, dass die niederländische

CA DigiNotar für mehrere Wochen kompromittiert war, und meh-

rere hundert unautorisierte Zertifikate, u.a. wieder für google.

com, ausgestellt wurden. DigiNotar stellte nicht nur normale

SSL-Zertifikate aus, sondern war auch eine Zertifizierungsstel-

le für qualifizierte Zertifikate für eGovernment-Services in den

Niederlanden. Der Einbruch scheint durch ein veraltetes Content

Management System ermöglicht worden zu sein. Die erbeuteten

Zertifikate von DigiNotar wurden nachweislich für Man-in-the-

middle-Angriffe auf Internet-Nutzer im Iran verwendet, um de-

ren E-Mail-Kommunikation über Google Mail abzuhören. DigiNo-

tar wurde als vertrauenswürdige CA aus allen Webbrowsern per

Software-Update entfernt und ging wenig später in die Insolvenz.

Für all diese Angriffe gibt es sogar eine Art Bekennerschreiben

• LückeninAnwendungssoftware

• SicherheitslückenbeiCAs

In allen drei Bereichen gab es spektakuläre Veröffentlichungen,

z.B. die sogenannte BEAST Attacke im Herbst 2011, die mit einem

Angriff auf die kryptographischen Grundfunktionen von TLS 1.0

die Entschlüsselung von Teilen von verschlüsseltem Netzwerk-

Traffic ermöglicht. Diese kryptographischen Angriffe betreffen

aber nicht die zugrundeliegende RSA-Verschlüsselung und so

gab es jeweils schnelle Abhilfe durch entsprechende Updates

für die beteiligte Software.

Besonders viel Aufsehen haben aber einige verheerende Angrif-

fe auf browserverankerte CAs in den Jahren 2011 und 2012 er-

regt, bei denen nicht autorisierte Zertifikate ausgestellt wurden,

die dann auch zum Abhören vermeintlich sicher verschlüsselter

Verbindungen eingesetzt wurden. Im Nachgang dieser Angriffe

stellte sich heraus, dass teilweise haarsträubende organisatori-

sche und technische Mängel bei den betroffenen CAs diese An-

griffe ermöglichten.

So wurde am 17. März 2011 eine externe Registrierungsstelle

von Comodo kompromittiert und unautorisierte Zertifikate für

Foto: © PaulFleet - iStockphoto.de


auf pastebin.com. Dort wurde auch behauptet, dass eine weite-

re CA namens GlobalSign komplett gehackt wurde. Hier stellte

sich aber heraus, dass „lediglich“ der Webauftritt, nicht aber die

eigentliche CA-Infrastruktur kompromittiert wurde.

Organisatorische Unzulänglichkeiten

Nach den gezielten Angriffen wurden weitere Vorfälle bekannt,

die ihre direkte Ursache in organisatorischen Unzulänglichkei-

ten hatten: Anfang November 2011 musste eine malaysische CA

zugeben, dass sie mehrere Zertifikate mit zu schwachen Schlüs-

seln (512 Bit RSA!) und mit fehlerhaften Zertifikatnutzungen aus-

stellte. Auch diese CA wurde aus Webbrowsern entfernt.

Ende Januar 2012 wurde bekannt, dass eine im Browser veran-

kerte CA namens TrustWave mindestens ein Zertifikat verkauft

hat, mit dem in Produkten zur Data Loss Prevention ein Man-in-

the-middle-Angriff auf Nutzer ermöglicht wurde.

Im Dezember 2012 entdeckte das Security Team von Google ein

Zertifikat, das von der CA Turktrust ausgestellt wurde, und mit

dem ein Man-in-the-middle-Angriff möglich gewesen wäre. Es

stellte sich heraus, dass aufgrund eines Konfigurationsfehlers

in der CA ein eigentlich für Webserver gedachtes Zertifikat auch

als Sub-CA-Zertifikat nutzbar war und anscheinend versehentlich

in einer SSL Inspection Appliance eingesetzt wurde.

Turktrust und TrustWave konnten darlegen, dass es sich um ein-

malige Vorfälle handelte, und es wurde vermutlich auch niemand

geschädigt. Daher behielten beide CAs ihre Browser-Verankerung.

Reaktion der Betriebssystem- und Browserhersteller

Die beschriebenen Vorfälle fanden ein großes öffentliches Echo.

Auch abseits der Fachpresse erschienen Berichte über das Thema

und brachten es so in den Blickpunkt einer breiten Öffentlichkeit.

Als Reaktion auf die Angriffe und Unzulänglichkeiten verschärf-

ten die Betriebssystem- und Browserhersteller die Anforderun-

gen ihrer jeweiligen Root-CA-Programme. Die meisten Hersteller

haben dabei zum einen ihre eigenen Regeln verändert und der

neuen Bedrohungslage angepasst, und zum anderen die „Base-

line Requirements“ des CA/Browser-Forums (siehe Kasten) als

verbindlich vorgeschrieben.

Die T-Systems als Betreiber der Root-CA der DFN-PKI muss die-

se Anforderungen an ihre Sub-CAs und damit auch an den DFN-

Verein weiterreichen.

Zwei Änderungen betreffen die DFN-PKI im Besonderen: Ers-

tens mussten früher Sub-CAs unterhalb von im Browser ver-

ankerten Root-CA nicht nach einem vorgegebenen Standard

auditiert werden. Das hat sich jetzt geändert, auch Sub-CAs

benötigen nun ein externes Audit durch einen akkreditierten

Auditor nach einem vorgegebenen Standard.

Und zweitens müssen die „Baseline Requirements“ eingehalten

werden, was kleinere Anpassungen an den Prozessen und der

Technik der DFN-PKI zur Folge hatte.

ETSI und Webtrust

In den letzten 15 Jahren haben sich mehrere Verfahren heraus-

gebildet, nach denen der Betrieb eine CA auditiert werden kann.

Betriebssystem- und Browserhersteller verlangen immer ein Au-

dit der bei ihnen verankerten CAs nach einem von mehreren ge-

bräuchlichen Standards. Mozilla akzeptiert beispielsweise fol-

gende Standards:

• ETSITS101456„ElectronicSignaturesandInfrastructures

(ESI); Policy requirements for certification authorities issu -

ing qualified certificates“

• ETSITS102042„Policyrequirementsforcertification

authorities issuing public key certificate“

• ISO21188:2006„Publickeyinfrastructureforfinancial

services – Practices and policy framework“

• WebTrust„PrinciplesandCriteriaforCertification

Authorities 2.0“

• WebTrust„SSLBaselineRequirementsAuditCriteriaV1.1“

• WebTrust„PrinciplesandCriteriaforCertification

Authorities – Extended Validation Audit Criteria 1.4“

Diesen Standards ist gemein, dass es sich um umfangreiche Re-

gelwerke handelt, in denen Leitlinien zum Zertifizierungsbe-

trieb in abstrakter Form aufgelistet sind. Im Rahmen eines Au-

dits muss dann eine Abbildung zwischen diesen Leitlinien und

den tatsächlich existierenden Verfahren der untersuchten CA

gefunden werden. Dabei muss nicht nur die Policy betrachtet

werden, sondern die gesamte Dokumentationsstruktur: Inter-

ne Betriebshandbücher, Administrationsdokumente, Dokumen-

te für Zertifikatinhaber, Risikoanalysen, Zertifikatantragsformu-

lare und vieles mehr.

Es ist nicht zu erwarten, dass jede Leitlinie sofort eine offen-

sichtliche Entsprechung in der Dokumentation hat, und so muss

zu jedem Punkt aus den Audit-Standards einzeln argumentiert

werden, wieso dieser abgedeckt ist.

Ablauf des Audits der DFN-PKI

Klärung „Audit nach welchem Standard?“

Am Anfang eines Auditprozesses steht die Frage nach dem Stan-

dard, nach dem das Audit durchgeführt werden soll. Im Fall der

DFN-PKI ergeben sich die Optionen aus den Anforderungen der

Root-CA Programme der Browserhersteller (siehe oben). In Fra-


ge kommen aus diesen Optionen nur ETSI TS 102 042 sowie Web-

Trust „Principles and Criteria for Certification Authorities 2.0“,

da die anderen Standards nur für CAs mit speziellen Aufgaben

bzw. für CAs zur Ausstellung von Extended Validation Zertifika-

ten geeignet sind.

Im Jahr 2011 wurde mit der TÜV Informationstechnik GmbH (TÜ-

ViT) ein Audit nach ETSI TS 102 042 gestartet. Dieser Standard ist

zur Auditierung der DFN-PKI sehr gut geeignet, da der Fokus des

Audits auf den technischen und organisatorischen Sicherheits-

maßnahmen im CA-Betrieb und der Konformität der Policy liegt.

Erstes Voraudit

Der Auditierungsprozess der DFN-PKI begann Mitte 2011 mit ei-

nem ersten Voraudit. Hierbei wird die bestehende Situation vom

Auditor mit dem Ziel geprüft, Abweichungen vom Standard zu

erkennen und eine entsprechende Liste zu erstellen. Im Audit

werden die Aspekte „Policy“, „Bauliche Sicherheit“ und „IT-Si-

cherheit“ getrennt betrachtet.

Um eines vorwegzunehmen: Das Ergebnis des ersten Voraudits

war sehr positiv und die DFN-PKI hat vom TÜViT einen sehr gu-

ten Ausgangszustand bescheinigt bekommen. Der Großteil der

festgestellten Abweichungen vom Standard folgte nicht aus ei-

nem mangelhaften Sicherheitsniveau der DFN-PKI, sondern da-

raus, dass viele Dinge zwar anders gemacht wurden, als es im

ETSI-Standard vorgesehen ist, nicht aber schlechter. Das Ergeb-

nis des ersten Voraudits soll hier anhand von einigen Beispie-

len erläutert werden.

Die Policy einer PKI wird vom Auditor mit dem zugrundeliegenden

Prüfstandard verglichen. Hierbei muss der Prüfer für jede Anfor-

derung aus dem Standard eine Entsprechung beim Prüfling fin-

den. Im Bereich Policy mussten nach der ersten Sichtung der Do-

kumente fast 100 Punkte einzeln mit TÜViT abgeklärt werden, z.B.:

• „ImCP,CPSfehltgemäßETSI7.1a)derVerweisaufETSITS

102 042 und die zugehörige certificate policy.“

• „ImCP/CPSfehltgemäßETSI7.2.5a)dieAngabe,dass

CA-Schlüssel nicht für andere Zwecke verwendet werden.“

• „WiewirdderZertifikatnehmernachETSI7.3.6f)darüber

informiert, dass eine Sperrung seines Zertifikates erfolgt ist?“

Die allermeisten Punkte konnten entweder direkt geklärt wer-

den oder benötigten lediglich eine kurze Ergänzung der Beschrei-

bung. Nur bei zehn Punkten mussten tatsächlich Prozesse oder

Technik leicht modifiziert werden.

Im Bereich „Bauliche Sicherheit“ untersuchte TÜViT in erster Linie

die Brand- und Einbruchschutzmaßnahmen der Räumlichkeiten,

in denen die CA-Infrastruktur betrieben wird. Die zu beantwor-

tenden Fragen betrafen hauptsächlich Nachweise für bereits ge-

troffene Maßnahmen, die noch beschafft werden mussten. Na-

türlich mussten auch kleinere Ergänzungen der Infrastruktur

vorgenommen werden wie z.B. zusätzliche Brandmelder oder

ein weiteres Schloss für einen Schaltkasten. Darüber hinaus wur-

den Sensoren zur Brandfrühesterkennung eingebaut, die bereits

auslösen, wenn am anderen Ende des Raumes mit einem Lötkol-

ben gearbeitet wird.

Der Bereich „IT-Sicherheit“ umfasst alle Sicherheitsmaßnahmen

auf Netzwerk- und Server-Ebene. Es werden sowohl die organisa-

torischen als auch die technischen Aspekte betrachtet, beispiels-

weise das Patch-Management, die Netzwerk- und Firewallkonfi-

guration, die organisatorischen und technischen Maßnahmen

zur Begrenzung des administrativen Zugriffs auf Server. In die-

sem Bereich waren am wenigsten Fragen der Auditoren zu klären.

Neue Policy 2.3 der DFN-PKI im Sicherheitsniveau Global

Nach dem ersten Voraudit musste die DFN-PKI aufgrund der An-

forderungen der Browser- und Betriebssystemhersteller erst ein-

mal die Baseline Requirements des CA/Browserforums umset-

zen. Hierzu musste neben einigen technischen Änderungen bis

zum 1. Juli 2012 eine neue Policy in Kraft gesetzt werden, die die

entsprechenden Umsetzungen der Anforderungen enthält. Hier-

bei wurde gleichzeitig ein Großteil der aufgrund der Erkenntnis-

se aus dem ersten ETSI-Voraudit notwendigen Änderungen mit

berücksichtigt. Die Policy in der Version 2.3 wurde am 26. Juni

2012 in Kraft gesetzt.

Die auffälligsten Änderungen betreffen die Verwendung von Be-

griffen in der Policy. Dies wurde notwendig, da in ETSI TS 102 042,

aber auch in den Baseline Requirements, die Verwendung be-

stimmter Begriffe genau definiert ist, und die DFN-PKI hier teil-

weise andere Bezeichnungen verwendete oder in einer etwas

anderen Bedeutung eingesetzt hat:

• Die Registrierungsstellen (RA) bei den Teilnehmern der

DFN-PKI heißen nun Teilnehmerservice, die dort arbeiten-

den Personen Teilnehmerservice-Mitarbeiter (bisher: RA-

Operator).

• Die einzige Registrierungsstelle (engl. Registration Autho-

rity) der DFN-PKI wird von der DFN-PCA selber in Hamburg

betrieben.

• Aus dem Zertifikatnehmer wird der Zertifikatinhaber (engl.

Subject)

• Der Anwender heißt nun „Teilnehmer“ (engl. Subscriber).

• Darüber hinaus wurden die RA-Operatorzertifikate, welche

zur Authentifizierung der Mitarbeiter mit Prüfaufgaben

(wie die persönliche Identifizierung von Antragstellern)

dienen, auf persönliche Zertifikate anstelle der vorher ver-

wendeten Gruppenzertifikate umgestellt.


len Gründen leider noch nicht in die Version 2.3 aufgenommen

werden konnten. Hierfür wurde am 15. November 2012 eine wei-

tere überarbeitete Policy in Kraft gesetzt. Neben einigen verfei-

nerten Formulierungen ist die einzige inhaltliche Änderung der

zusätzliche und formal notwendige Satz „Die DFN-PCA und alle

ihre nachgeordneten CAs (Sub-CAs) erfüllen die Anforderungen

von ETSI TS 102 042 nach der LCP Policy.“

Audit

Das eigentliche Audit lief ähnlich ab wie die Voraudits: Die Prü-

fer vom TÜViT prüften zuerst die Papierlage, also in erster Linie

die Policy, aber auch die anderen relevanten Dokumente wie

„Pflichten der Teilnehmer“ oder „Informationen für Zertifikatin-

haber“. In einem anschließenden Workshop wurden wieder of-

fene Fragen geklärt. Diesmal konnten alle Fragen des TÜViT ab-

schließend beantwortet werden.

In einer beispielhaft durchgeführten Zertifikatbeantragung wur-

de überprüft, ob die tatsächlichen Prozesse auch den in der Poli-

cy definierten entsprechen. Hierzu wurde im Beisein des Prüfers

ein Zertifikat beantragt und der gesamte Prüfprozess bis zur Aus-

Weitere wichtige Änderungen, die auch jede Einrichtung be-

treffen, sind:

• Zertifikate mit lokalen Hostnamen oder internen IP-Adres-

sen dürfen nur noch mit einem Ablaufdatum bis Oktober

2015 ausgestellt werden. Nach diesem Termin gibt es keine

Zertifikate mit lokalen Hostnamen oder internen IP-Adres-

sen mehr in der DFN-PKI (und auch nicht von anderen Zer-

tifizierungsstellen, die im Browser verankert sind).

• Viele Prüfungen sind nach 39 Monaten zu wiederholen,

z.B. persönliche Identifizierungen oder der Nachweis über

den Besitz an einer Domain, die in Zertifikaten erscheint.

• Bisher gab es für jede teilnehmende Einrichtung ein ei-

genes Certification Practice Statement (CPS). Dieses wird

jetzt nicht mehr benötigt und durch ein gemeinsames CPS

sowie die neuen Dokumente „Informationen für Zertifikat-

inhaber“ und „Pflichten der Teilnehmer“ ersetzt.

Darüber hinaus gab es viele kleinere Änderungen, die beispielswei-

se die Aufbewahrungsfristen von Papierdokumenten betreffen.

Zweites Voraudit

Im zweiten Voraudit im Jahr 2012 wurde die DFN-PKI erneut vom

TÜViT geprüft. Da die DFN-PKI nun bereits an die Anforderungen

aus ETSI angepasst war, war ein Prüfergebnis mit deutlich weni-

ger Fundstellen zu erwarten. Trotzdem hatte die Liste der offenen

Punkte im Bereich „Policy“ immer noch fast siebzig Einträge, al-

so nur ungefähr ein Drittel weniger als im ersten Voraudit. Dies

war zunächst überraschend. Im Workshop mit dem TÜViT stell-

te sich aber heraus, dass es sich fast ausschließlich um Nachfra-

gen zur Policy handelte, die sich schnell klären ließen. An einigen

Stellen wurde die Policy darauf hin noch ein wenig klarer formu-

liert, faktische Änderungen waren aber nicht mehr notwendig.

Bei der Prüfung der IT-Sicherheit ergaben sich keine größeren

Auffälligkeiten. Einziger „Höhepunkt“: Bei Netzwerkscans wur-

den zwei Webserver mit gesperrtem bzw. abgelaufenem Server-

zertifikat gefunden. Wir konnten TÜViT erklären, dass es sich da-

bei um unsere beiden Testserver https://revoked-demo.pca.dfn.

de/ und https://expired-demo.pca.dfn.de/ handelt, die zum Tes-

ten des Verhaltens von Clientsoftware bei gesperrten oder ab-

gelaufenen Zertifikaten dienen – also mit voller Absicht ungül-

tige Zertifikate ausliefern.

Das Fazit des zweiten Voraudits war, dass die DFN-PKI für das

eigentliche Audit bereit ist und keine weiteren Voraudits not-

wendig waren.

Neue Policy 3.0 der DFN-PKI im Sicherheitsniveau Global

Für das Audit der DFN-PKI mussten nun noch einige Änderun-

gen in der Policy der DFN-PKI umgesetzt werden, die aus forma-Abb. 2: Das Zertifikat über die Erfüllung der Anforderungen nach ETSI

TS 102 042


stellung des Zertifikats durchgeführt. Dies wurde einmal bei der

DFN-PCA in Hamburg selber und am Ende des Audits noch ein-

mal bei einem Teilnehmer der DFN-PKI vor Ort durchgeführt. Die

IT-Sicherheit wird durch die theoretische Bewertung der Sicher-

heitsmaßnahmen, aber auch durch konkrete Netzwerkscans und

Penetration Tests überprüft.

Am Ende des dreitägigen Vor-Ort Audits wurde vom Prüfer be-

reits vorab das Bestehen in Aussicht gestellt. Das formale positi-

ve Ergebnis war erst einige Zeit später verfügbar: Der TÜViT muss

nach einem Audit erst noch interne Qualitätssicherungsmaß-

nahmen durchführen, bei denen ein am bisherigen Audit nicht

beteiligter Mitarbeiter das gesamte Prüfergebnis noch einmal

auf Plausibilität prüft. Diese interne Prüfung wird dann in einem

formalen Akt mit der auch hier sogenannten Zertifizierung ab-

geschlossen, und es wird sogar ein Zertifikat ausgestellt: Eine

Urkunde mit einer Unterschrift des Leiters der Zertifizierungs-

stelle (nicht zu verwechseln mit einer CA, die digitale Zertifika-

te ausstellt). Dieser letzte Schritt konnte dann Anfang Dezem-

ber 2012 abgeschlossen werden.

Gültigkeit des Audits

Jedes Zertifikat zu einem Audit hat nur eine beschränkte Gül-

tigkeit von einem Jahr. Vor Ablauf des Jahres muss in einem er-

neuten Audit-Prozess nachgewiesen werden, dass die Prozesse

der CA nicht inzwischen vom Prüfstandard abweichen. Deshalb

wird auch im Herbst 2013 wieder ein Audit bei der DFN-PCA statt-

finden. Im Prinzip sollte dieses Re-Audit keinerlei Überraschun-

gen bieten und mit einem relativ geringen Aufwand und vor al-

lem ohne weiteren Aufwand bei den Teilnehmern der DFN-PKI

zu absolvieren sein.

Vorteile für DFN-Anwender

Wo bringt das Audit jetzt Vorteile? Schließlich war der Auditpro-

zess mit nicht unerheblichen Mehraufwänden beim DFN, aber

auch bei den an der DFN-PKI teilnehmenden Anwendern verbun-

den. Notwendige Änderungen wurden zwar so weit wie möglich

in der DFN-PCA intern umgesetzt, um die Aufwände bei den An-

wendern zu minimieren. Trotzdem ließen sich einige Aspekte

nur durch die Änderung von Prozessen bei den Anwendern um-

setzen. Umstellungen durch zwei neue Policy-Versionen, durch

personengebundene Teilnehmerservice-Mitarbeiter-Zertifikate

und durch geänderte Archivierungsfristen haben sicherlich auch

bei den Anwendern für einige Arbeit gesorgt.

Den Mehraufwänden stehen aber viele Vorteile gegenüber: Ge-

rade in diesem sicherheitskritischen Bereich ist es sehr wert-

voll, eine Bestätigung von unabhängiger Seite über die Güte der

Dienstleistung zu haben. Nur eine Überprüfung der Prozesse und

der eingesetzten Technik durch Dritte gewährleistet einen lang-

fristig sicheren Betrieb.

Darüber hinaus entwickeln sich die Anforderungen der Soft-

warehersteller weiter, so dass ein bestandenes Audit Vorausset-

zung für den Selbst-Betrieb einer Zertifizierungsstelle mit Brow-

ser-Verankerung ist. Damit haben wir durch den Audit-Prozess

sichergestellt, dass auch in den kommenden Jahren browser-

verankerte Zertifikate in der DFN-PKI in der gewohnten Flexi-

bilität und in dem hohen Volumen ausgestellt werden können.

Fazit

Trotz der auf den ersten Blick recht langen Dauer von einein-

halb Jahren und dem beträchtlichen Aufwand lief das Audit oh-

ne größere Schwierigkeiten ab, was auch an dem bereits vorher

realisierten hohen Sicherheitsniveau liegt. Dank der engagier-

ten Mitarbeit der DFN-PKI-Teilnehmer konnten auch aufwändi-

ge Schritte wie der Austausch von Teilnehmerservice-Mitarbei-

ter-Zertifikaten in kurzer Zeit durchgeführt werden.

Mit dem Audit und der Zertifizierung nach ETSI TS 102 042 hat

sich die kontinuierliche Weiterentwicklung der DFN-PKI der letz-

ten Jahre fortgesetzt, so dass wir für die Zukunft gut gerüstet

sind. M

„CA/Browser Forum“

Das CA/Browser Forum ist ein Konsortium von Brow-

serherstellern und CA-Betreibern. Das CA/Browser

Forum legt Richtlinien fest, nach denen browserver-

ankerte CAs vorgehen sollen, um ein ausreichendes

Sicherheits- und Vertrauensniveau für SSL-Zertifikate

sicherzustellen. Ursprünglich wurde im CA/Browser

Forum das Vorgehen zur Ausstellung von sogenann-

ten „Extended Validation“-Zertifikaten definiert.

Diese Regelungen hatten somit erst einmal keine Aus-

wirkungen auf die DFN-PKI. Durch die Sicherheitsvor-

fälle der Jahre 2011 und 2012 bei browserverankerten

CAs wurden aber auch die Aktivitäten beschleunigt,

Anforderungen für nicht-EV-Zertifikate zu definieren.

Am 1. Juli 2012 traten diese „Baseline Requirements

for the Issuance and Management of Publicly-Trusted

Certificates“ in Kraft. Die Mitglieder des CA/Browser-

forums verpflichteten sich selber zur sofortigen

Einhaltung, andere CAs wurden anschließend durch

die Anpassung der Root-Programme der Browser-

hersteller hierzu verpflichtet.


Im Rahmen der DFN-Betriebstagung wur-

de Anfang März 2009 das neue DFN-CERT

Portal bereitgestellt. Über dieses Portal

erhalten Anwender einfachen Zugriff auf

die Dienste, die im Rahmen des DFN-CERT

zur Verfügung gestellt werden. Im ersten

Schritt wurden die bekannten „Auto-

matischen Warnmeldungen“ funktional

erweitert und in das Portal integriert.

Einen ausführlichen Bericht hierzu gibt es

in diesen DFN-Mitteilungen. M

Interne Hostnamen in der DFN-PKI

Viele Einrichtungen haben interne Ser-

ver-Strukturen, für die Zertifikate mit

Namen ausgestellt werden, die nur eine

interne Bedeutung haben: Beispielswei-

se CN=exchange.local oder CN=mail, oder

aber interne IP-Adressen wie 10.0.0.1. Bis

2012 konnten diese Namen in der DFN-PKI

und bei kommerziellen Zertifizierungsstel-

len uneingeschränkt verwendet werden.

Dieses Vorgehen ist in Zukunft durch die

Baseline Requirements des CA/Browser Fo-

rums nicht mehr zulässig. Daher werden

seit der Version 2.3 der Policy der DFN-PKI

vom 26.6.2012 Server-Zertifikate mit sol-

chen Namen automatisch nur noch mit ei-

nem Ablaufdatum bis zum 01.11.2015 ausge-

stellt. Bereits ausgestellte Zertifikate die-

ser Art müssen durch die DFN-PCA spätes-

tens am 01.10.2016 gesperrt werden. Diese

Regelung betrifft nicht nur die DFN-PKI,

sondern auch alle anderen CAs mit einer

Browser-Verankerung.

Für die DFN-Anwender bedeutet das, dass

sie ihre internen Dienste, die nicht mit welt-

weit auflösbaren FQDNs oder mit regist-

rierten IP-Adressen versehen sind, ab 2015

nicht mehr mit im Browser verankerten

Zertifikaten versehen können. Ein allge-

meingültiger Migrationspfad für Anwen-

der, die solche Zertifikate verwenden, kann

nicht angegeben werden, aber der DFN und

die DFN-PCA unterstützen die Anwender

natürlich dabei, eine für ihre Einrichtung

passende Lösung zu finden. M

Vertipper-Domains

Dem DFN-CERT wurden im März 2013 meh-

rere bei der Denic registrierte ‚Vertipper‘-

Domains gemeldet. Diese beziehen sich auf

unterschiedliche Einrichtungen und sind

immer in der gleichen Art aufgebaut: rz-*.

de, also beispielsweise „rz-uni-musterstadt.

de“. Die Domains wurden von zwei bekann-

ten Domain-Grabbern registriert und wer-

den hauptsächlich bei Sedo vermarktet. Ei-

ne mögliche Gefahr besteht, falls die Do-

mains auf einen Server zeigen, auf dem

beispielsweise eine Phishing-Seite oder

SSH-Zugang eingerichtet ist und die ein-

gegebenen Daten unbedarfter Nutzer auf-

gezeichnet werden. Die betroffenen Ein-

richtungen wurden vom DFN-CERT infor-

miert und können über das Widerspruchs-

verfahren bei der Denic die Löschung bzw.

Übernahme der Domains beantragen. M

Netzwerkdrucker als DDoS-Waffe

Im April wurde dem DFN-CERT die Be-

teiligung von mehreren IP-Adressen an

DDoS-Angriffen gemeldet. Die Untersu-

chung zeigte, dass unter diesen IP-Ad-

ressen Drucker und ähnliche Geräte mit

(Web-)Konfigurationsschnittstellen vom

öffentlichen Internet heraus erreichbar

waren. Diese Schnittstellen stellen eine

hohe Einbruchsgefahr dar, da sie oftmals

in der Werkskonfiguration mit bekannten

Standard-Benutzernamen und Passwör-

tern versehen sind und zudem häufig aus-

nutzbare Schwachstellen enthalten. Solche

von außen erreichbare Geräte werden mit

hoher Wahrscheinlichkeit angegriffen, da

sie von Suchmaschinen indiziert werden

und somit mittels einer einfachen Such-

maschinen-Abfrage gefunden werden kön-

nen. Mit dem Netzwerkprüfer im DFN-CERT

Portal können Anwender im Voraus erken-

nen, welche Systeme in ihren Netzen von

außen sichtbar sind und so Drucker und

ähnliche Systeme durch entsprechende

Firewall-Regeln gegen derartige Angrif-

fe schützen. M

Sicherheit aktuell

IPv6 in der DFN-PKI

Text: Heike Ausserfeld, Dr. Ralf Gröper (DFN-Verein)

Kontakt

Wenn Sie Fragen oder Kommentare

zum Thema „Sicher heit im DFN“ ha-

ben, schicken Sie bitte eine Mail an

[email protected].

40 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT

Wissenschaftsparagraph geht in die Verlängerung

Selten wurde eine Vorschrift so heftig und lange diskutiert wie diese: § 52a Urheber-

gesetz (UrhG), in Fachkreisen auch „Wissenschafts- bzw. E-Learning-Paragraph“ ge-

nannt. Für Hochschulen ist er eine nicht mehr wegzudenkende Norm. Der Verlagsin-

dustrie ist er dagegen ein Dorn im Auge. Dessen Reichweite beschäftigt Gerichte seit

Jahren. Nun gewährte der Gesetzgeber eine Verlängerung der Norm bis 2014 – zum

dritten Mal in Folge. Welche Konsequenzen dies unter anderem für den schwelenden

Vergütungsstreit zwischen Wissenschaftseinrichtungen und Verlagsindustrie haben

wird, wird sich innerhalb der nächsten zwei Jahre – hoffentlich – zeigen.

Dritter Anlauf für § 52a Urheberrechtsgesetz

Text: Susanne Thinius (Forschungsstelle Recht im DFN)

Die Vorschrift

§ 52a UrhG erlaubt es als sogenannte „Schrankenregelung des Ur-

heberrechts“ Hochschulen und schulischen Einrichtungen, ver-

öffentlichte Werkteile, Werke geringen Umfangs sowie einzelne

Beiträge aus Zeitungen oder Zeitschriften für einen bestimmt ab-

gegrenzten Kreis von Unterrichtsteilnehmern zum Online-Abruf

(beispielsweise im Intranet) bereitzustellen. Dies muss zum ange-

strebten Zweck geboten und zur Verfolgung nicht kommerzieller

Zwecke gerechtfertigt sein. Für die Bereitstellung muss eine an-

gemessene Vergütung an die Autoren oder stellvertretend die Ver-

wertungsgesellschaften gezahlt werden. Insbesondere E-Learning-

Plattformen profitieren von dieser Vorschrift. Denn § 52a UrhG

ermöglicht Hochschulen, ohne die Zustimmung des Urhebers

dessen Werk im Intranet hochzuladen und Studierenden auf die-

se Weise zur Verfügung zu stellen.

Durch die Instanzen

Das Landgericht Stuttgart hat als erstes Instanzengericht in sei-

nem Urteil vom 27.09.2011 (Az.: 17 O 671/10) die Bedeutung des

§ 52a UrhG für die Wissenschaft und die Notwendigkeit des Zu-

gangs digitaler Studienliteratur hervorgehoben. Noch damals leg-

te das Gericht fest, dass lediglich 3 Seiten eines Werkes speicher-

bar und maximal 10 % eines Werkes zum Lesen und Ausdrucken

für die Nutzer von E-Learning-Plattformen zugänglich gemacht

werden können (siehe dazu ausführlich Herring, „Die Vorschrift

des § 52a Urheberrechtsgesetz – ein Auslaufmodell?“, DFN-Info-

brief Recht 1/2012).

Im Anschluss daran urteilte das Oberlandesgericht Stuttgart

am 4.4.2012 (Az.: 4 U 171/11) jedoch, dass stets eine am Einzel-

fall orientierte Sichtweise hinsichtlich des Umfangs eines Wer-

kes anzusetzen sei und verwarf die Beurteilung anhand fester

Prozent- und Seitenzahlen. Vielmehr sei eine Abwägung zwi-

schen Nutzerinteresse nach öffentlichem Zugang und der

Beeinträchtigung der Rechteinhaber vorzunehmen (eine de-

taillierte Urteilsanalyse findet sich bei Fischer, „Es bleibt alles

anders! OLG Stuttgart zur Reichweite des § 52a Urheberrechts-

gesetz“, DFN-Infobrief Recht 3/2012). Die Rechtsprechung des

Landgerichts Stuttgart wurde damit zum Teil erheblich abge-

ändert.

Verlängerung schubweise

Bereits 2003 wurde § 52a UrhG in das UrhG eingefügt. Die Be-

fürchtungen der wissenschaftlichen Verleger vor unzumutba-

ren Beeinträchtigungen berücksichtigend, wurde die Norm zu-

41RECHT | DFN Mitteilungen Ausgabe 84 |

nächst bis 31.12.2006 befristet. Eine Verlängerung folgte erst-

malig im Jahr 2006 um zwei Jahre und 2008 um weitere vier Jah-

re – bis zum 31.12.2012. Die Auswirkungen der Norm auf die

Praxis konnten trotz mehrfacher Evaluierungen bis dahin nicht

abschließend beurteilt werden.

Nun beschloss die CDU/CSU-Bundestagsfraktion im November

2012 – quasi in letzter Minute vor Fristablauf – einen Gesetz-

entwurf zur Verlängerung des § 52a UrhG bis 31.12.2014.

Grund für die erneute Verlängerung ist neben der Hoffnung auf

Aufklärung der Auswirkungen auf die Praxis auch die Tatsache,

dass sich die Hochschulen und die VG Wort (Verwertungsgesell-

schaft Wort) nicht auf eine Vergütung für die Nutzung der E-Lear-

ning-Materialien einigen können. Ein weiterer wichtiger Aspekt

ist, dass netzgestützte Lehr- und Forschungsstrukturen (in Form

elektronischer Semesterapparate) ermöglicht werden sollen. Die-

ses Ziel wird eben nicht nur durch vertragliche Vereinbarungen

mit den Verlagen direkt erreicht, sondern auch durch die Schran-

kenregelung des § 52a UrhG.

Es wird nun Aufgabe des Bundesgerichtshofes sein, dem lang

anhaltenden Vergütungsstreit ein möglichst schnelles Ende zu

bereiten und Licht ins Dunkel der Reichweite dieses umstritte-

nen Paragraphen zu bringen. Beim Bundesgerichtshof sind mo-

mentan mehrere Musterprozesse anhängig, die es demnächst

zu entscheiden gilt.

Denn fest steht auch, dass die fortwährende Verlängerung der

Norm eine erhebliche Rechtsunsicherheit mit sich bringt, da

viele Wissenschaftseinrichtungen, darunter auch Hochschulen,

den Betrieb der E-Learning-Plattformen nicht verlässlich planen

können. Sie fordern daher die gänzliche Entfristung der Norm.

Die Wissenschaftsverlage dagegen plädieren für eine komplet-

te Abschaffung der Norm.

Konsequenzen für die Hochschulpraxis

Für die Hochschulen bringt die erneute Verlängerung neben

Rechtsunsicherheit aber auch immense Vorteile: Digitale Un-

terstützungsmöglichkeiten in Unterricht und Vorlesungen sind

kaum mehr aus der Wissenschaftswelt wegzudenken. Modernes

Lernen und Forschen wäre ohne die erwähnten technischen und

didaktischen Mittel nicht mehr möglich. Der Wissenschafts-

standort Deutschland würde an Wettbewerbsfähigkeit einbüßen.

Bleibt zu hoffen, dass in den kommenden zwei Jahren eine dau-

erhafte Regelung für Forschung und Lehre geschaffen wird, die

gleichermaßen den Interessen von Wissenschaft sowie Verla-

gen bzw. Autoren dient. M

Foto: © Andres Rodriguez - Fotolia.com


Das Ende für den Newsletter!?

Bisher konnte davon ausgegangen werden, dass die Frage, wann die Zusendung von

Newslettern zulässig ist, sich nach dem sogenannten „Double-Opt-In-Verfahren“

bestimmt. Dabei gibt der Adressat zunächst seine E-Mail-Adresse an und erhält dar-

aufhin einen Bestätigungslink zugeschickt, um sicherzustellen, dass er die Eintragung

auch tatsächlich vorgenommen hat. Diese bisherige Praxis hat das Oberlandesge-

richt München mit Urteil vom 27.09.2012 (Az.: 29 U 1682/12) nunmehr in Frage gestellt,

indem es die per E-Mail verschickte Bitte um Bestätigung eines Newsletter-Abos als

belästigende Reklame und somit als Spam angesehen hat. Die Konsequenz dieser

Ansicht wäre, dass das dargestellte Verfahren nicht mehr angewandt werden könnte,

da bereits die Bestätigungs-E-Mail des Anbieters unzulässige Werbung darstellt. An-

derweitige Lösungsvorschläge für den rechtskonformen Versand eines Newsletters

bleibt das Gericht jedoch schuldig. Bedeutet dies das Ende für den elektronischen

Newsletter?

Oberlandesgericht München: E-Mail-Versand mit der Bitte um Bestätigung der

Anmeldung stellt belästigende Reklame dar

Text: Julian Fischer (Forschungsstelle Recht im DFN)

I. Einleitung

Das Versenden von Newslettern ist auch in Zeiten von Social-

Media (Facebook, Twitter etc.) sowie stets aktualisierter Home-

pageseiten eine der erfolgreichsten Möglichkeiten, um interes-

sierte Nutzer stets auf dem aktuellen Stand zu halten. Mittler-

weile gibt es spezielle Rund-E-Mails zu jedem erdenklichen The-

ma und für jeden Bereich. Durch die Möglichkeit der Mitteilung

neuer Informationen besteht – speziell für Hochschulen – die

Möglichkeit, über jeden Vortrag, jede Vorlesungsänderung oder

kürzlich zur Verfügung gestellte Materialien schnell und einfach

zu berichten.

E-Mail-Versand nur mit Einwilligung

So informativ der Newsletter-Versand auch ist, so lästig kann er

werden, sofern Newsletter verschickt werden, die den Empfän-

ger nicht interessieren oder deren zunehmende Anzahl ganze E-

Mail-Postfächer verstopfen. Mit dem Sichten und Aussortieren

von E-Mails ist unzweifelhaft Arbeitsaufwand verbunden und

durch die Übermittlung der E-Mail-Datenmengen können ggf.

zusätzliche Kosten durch den Provider anfallen. Daher muss,

gerade vor dem Hintergrund zunehmender Spam-E-Mails, mehr

denn je die Einhaltung der juristischen Vorgaben Beachtung fin-

den. Insoweit hat der DFN-Verein bereits frühzeitig mit dem weit

verbreiteten Irrtum aufgeräumt, dass Newsletter oder Werbein-

halte auch ohne Zustimmung des Empfängers verschickt wer-

den dürfen (hierzu: Golla, Zwölf hartnäckige Irrtümer, Die neuen

„Klassiker“ der juristischen Fehleinschätzung bei Homepages in:

DFN-Infobrief Recht September 2010, S. 2 – 4). Für den rechtskon-

formen Newsletter-Versand gilt dabei zunächst das sog. „Opt-In-

Verfahren“, wonach der Besteller ausdrücklich in den Erhalt der

E-Mail einwilligen muss. Anderenfalls verhält der Versender sich

wettbewerbswidrig und kann schließlich abgemahnt werden, vgl.

§ 7 Abs. 2 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb)

i. V. m. § 8 Abs. 3 UWG. Der Anbieter eines Newsletters darf da-

her seine Informationen grundsätzlich nur dann verschicken,

wenn er zunächst eine Einwilligung des Empfängers erhalten

hat („Opt-In“).


Gefahr der Abmahnung

Zwar stehen Hochschulen nicht zwingend in einem konkreten

Wettbewerbsverhältnis, da sie – was insbesondere auf reine In-

formations-E-Mails zutrifft – nicht versuchen, gleichartige Waren

oder Dienstleistungen innerhalb desselben Endverbraucherkrei-

ses abzusetzen (§ 2 Abs. 1 Nr. 3 UWG). Nichtsdestotrotz besteht

auch bei ihnen über die Vorschriften des Bürgerlichen Gesetz-

buches (§§ 823 Abs. 1, 1004 BGB) die Gefahr der Inanspruchnah-

me auf Unterlassung, verbunden mit einer meist kostspieligen

Abmahnung. Schließlich sind auch abseits wettbewerbsrechtli-

cher Ansprüche noch Ansprüche wegen eines Eingriffs in das all-

gemeine Persönlichkeitsrecht des Postfachinhabers oder, sofern

es sich um Firmenadressen handelt, in den ebenfalls geschütz-

ten Gewerbebetrieb möglich.

II. Juristische Vorgaben für den Newsletter-Versand

„Double-Opt-In“-Verfahren

Als gute und abgesicherte Methode beim Versand von Newslet-

tern hat sich, in Anlehnung an die juristischen Vorgaben, das

sog. „Douple-Opt-In-Verfahren“ herausgebildet, das vor allem

auch von Seiten der Gerichte als rechtskonform akzeptiert wur-

de. Hierbei handelt es sich um ein sog. doppeltes Einwilligungs-

verfahren, bei der ein interessierter Empfänger zunächst seine

E-Mail-Adresse auf der Homepage des Versenders einträgt und

daraufhin – häufig automatisiert – eine Bitte um Bestätigung

seiner Anmeldung per E-Mail erhält. Damit die einwilligungs-

bedürftige Anmeldung des Newsletter-Dienstes rechtskonform

abgeschlossen werden konnte, bedurfte es noch einer entspre-

chenden Bestätigung von Seiten des Postfachinhabers, indem

er beispielsweise auf einen Aktivierungslink in der E-Mail klickt.

Erst dann durfte der Anbieter sicher sein, dass der Newsletter-

Beitritt auch wirklich vom Adresseninhaber veranlasst worden

ist und dieser in den entsprechenden Verteiler mit aufgenom-

Foto: © guentermanaus - Fotolia.com

44 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | Recht

men werden möchte. Durch die Rücksendung/Aktivierung der

Bestätigungs-E-Mail konnte der Anbieter schließlich auch den

ihm obliegenden Beweis der Einwilligung erbringen.

Um hierbei dem Grundsatz der Datensparsamkeit gerecht zu

werden, darf in den Abfragefeldern der Newslettereintragung

nur nach der E-Mail-Adresse gefragt werden. Zusätzliche Anga-

ben wie Name, Adresse etc. sind für die Versendung der News-

letter- bzw. Bestätigungs-E-Mail nicht erforderlich und daher da-

tenschutzrechtlich unzulässig.

Austragungsmöglichkeit und Impressumspflicht

Darüber hinaus muss der Besteller jederzeit die Möglichkeit haben,

den Newsletter wieder abzubestellen. Hierzu genügt es, wenn für

ihn am Ende der E-Mail die Option besteht, sich durch Klicken ei-

nes Abmelde-Links wieder aus dem Verteiler austragen zu lassen.

Zu guter Letzt musste noch der Impressumspflicht genüge ge-

tan werden, da es sich bei dem Newsletter um einen Telemedi-

endienst handelt. Das Impressum musste dabei – entsprechend

den hierbei geltenden Vorgaben – über zwei Klicks erreichbar

und jederzeit verfügbar sein (siehe hierzu: Recht im DFN, Wis-

sensbasis, Abs. III, Angebot von abrufbaren Inhalten, Informati-

onspflicht beim Betrieb von Tele- und Mediendiensten (Impres-

sumspflicht)). Gewährleistet werden konnte dies dadurch, dass im

Newsletter ein Link auf die Homepage des Anbieters gesetzt wird.

III. Zusendung der Bestätigungs-E-Mail im

„Double-Opt-In-Verfahren“

Bisherige Rechtsprechung

Bei dem oben dargestellten Verfahren blieb jedoch stets frag-

lich, ob nicht die Zusendung der Bestätigungs-E-Mail im Rah-

men des „Double-Opt-In-Verfahrens“ seinerseits bereits unzuläs-

sig ist. Diese Überlegung und Diskussion beschränkte sich bis-

her allerdings allein auf die juristische Literatur. Auf Rechtspre-

chungsebene schien die Problematik spätestens beantwortet,

als der Bundesgerichtshof (BGH) am Rande eines Urteils vom 10.

02. 2011 (Az.: I ZR 164/09) zur Zulässigkeit von Werbeanrufen er-

klärte, dass derjenige, dessen E-Mail-Adresse mit der vermeint-

lich ihm zugehörigen Telefonnummer elektronisch abgegeben

wurde, um eine Bestätigung seines Teilnahmewunsches per E-

Mail gebeten werden darf.

Amts- (AG Hamburg, Urteil vom 11. 10. 2006, Az.: 6 C 404/06; AG

München, Urteil vom 30. 11. 2007, Az.: 161 C 29330/06) und Land-

gerichte (LG Berlin, Urteil vom 23. 01. 2007, Az.: 15 O 346/06) hat-

ten sich bereits zuvor, speziell für den Bereich der Newsletter-

Anmeldung, für die Zulässigkeit des Zusendens einer Bestäti-

gungs-E-Mail ausgesprochen. Einzige Ausnahme, bei der selbst

der Versand einer Überprüfungs-E-Mail unzulässig blieb, war der

Fall, dass der Versender sicher wusste, dass die E-Mail-Adresse

von jemand anderem eingetragen wurde.

Das Urteil des OLG München

Mit dem oben angegebenen Urteil des OLG München wird die Fra-

ge der rechtlichen Zulässigkeit des Zusendens der Bestätigungs-

E-Mail im Newsletter-Anmeldeverfahren erstmalig auch auf ge-

richtlicher Ebene in Frage gestellt. Dem Urteil lag die Klage einer

Steuerberatungsgesellschaft gegen eine Anlageberatungsfirma

zugrunde. Dabei gaben die Richter – entgegen der Vorinstanz (LG

München, Urteil vom 13. 03. 2012, Az.: 33 O 11089/11) – der Kläge-

rin Recht, indem sie den Versand der E-Mail mit der Bitte um Be-

stätigung der (kostenlosen) Newsletter-Anmeldung als rechtlich

unzulässig einstuften. Das Gericht erklärte, dass es für die Zusen-

dung von E-Mails stets der Einwilligung des Postfachinhabers –

hier der Steuerkanzlei – bedürfe („Opt-In-Verfahren“). Für deren

Vorliegen sei die Anlageberatung beweispflichtig und könne die-

sen Beweis nicht antreten. Daher sei die gleichwohl erfolgte Zu-

sendung sowohl als Wettbewerbsverstoß als auch als Eingriff in

den Gewerbebetrieb einzustufen. Daran könne schließlich auch

die Tatsache nichts ändern, dass es sich um eine E-Mail handele,

mit der zur Bestätigung einer Bestellung im Rahmen des „Doub-

le-Opt-In-Verfahrens“ aufgefordert wird. Diese Vorgehensweise

stelle konsequentermaßen eine unbestellte Dienstleistung dar

und sei folglich als unzulässige Werbung im Sinne des § 7 Abs.

2 Nr. 3 UWG einzustufen. Immerhin verfolge die Beklagte damit

das Ziel, die Erbringung ihrer Dienstleistung (Anlageberatung) zu

fördern. Ebenfalls keine Änderung könne sich aus der Tatsache

ergeben, dass es bei dem Versand der Bestätigungs-E-Mail ledig-

lich um das Bestreben gehe, eine ausdrückliche Einwilligung des

Adressaten für weitere Werbemaßnahmen zu erlangen. Auch die

Bestätigungs-E-Mail sei eine unmittelbar in Zusammenhang mit

der Förderung ihrer Anlageberatungstätigkeit stehende Maßnah-

me. Für das geltende Einwilligungserfordernis sei es nun einmal

auch nicht erforderlich, dass bereits die (Bestätigungs-)E-Mail

selbst eine Werbebotschaft enthalte. Der Aufwand zur Durch-

sicht und Löschung unbestellter E-Mails sei hiervon unabhängig.

Die Zusendung der E-Mail sei insoweit auch deswegen als rechts-

widrig anzusehen, da mit ihr ein unzumutbar belästigender Cha-

rakter einhergehe. Das Gericht betont in diesem Zusammenhang,

dass im Hinblick auf die billige, schnelle und aufgrund der Auto-

matisierung auch arbeitsparende Versendungsmöglichkeit der

E-Mail-Werbung mit einem immer weiteren Umsichgreifen die-

ser Werbeart zu rechnen sei, sofern hier keinerlei Einschränkun-

gen vorgenommen werden.


IV. Einordnung des Urteils und Konsequenz

Das Urteil des OLG München stellt die gesamte bisher ergange-

ne instanzgerichtliche Rechtsprechung zum zulässigen Versand

einer Bestätigungs-E-Mail in Frage. Nach Ansicht der OLG-Rich-

ter lässt sich nicht zwischen einer Bestätigungs-E-Mail und ei-

ner üblichen Werbe-E-Mail differenzieren.

Offensichtlich wollte das OLG München darauf hinweisen, dass

es keinen Unterschied machen dürfe, um welche Art der zuge-

stellten und dann im Postfach befindlichen E-Mail es sich han-

delt, sofern es an einer vorherigen rechtskonform erteilten

Einwilligung fehlt. Anderenfalls würde letztlich zwischen den

transportierten Dateninhalten (Überprüfungs- oder Werbe-

E-Mail) unterschieden, was wiederum zu weiterführenden un-

lösbaren Widersprüchen führen könnte. Das Gericht sieht vor

allem auch den wirksamen Schutz vor zunehmenden Spam-E-

Mails in Frage gestellt, dessen große Bedeutung es an verschie-

denen Stellen des Urteils herausstellt.

Praxisuntauglich

Auf der anderen Seite scheinen die Richter die praktische Not-

wendigkeit des Newsletter-Anbieters zu vergessen, sich über die

Bestätigungs-E-Mail Gewissheit darüber zu verschaffen, ob der

Postfachinhaber tatsächlich an der Aufnahme des Newsletter-

Versands interessiert ist. Das Problem liegt darin, dass die meist

auf der Homepage befindliche Eintragungsmaske sich eben nicht

als Einwilligung einstufen lässt, da dort jeder die E-Mail-Adresse

eines beliebigen Postfachinhabers eintragen kann. Der Newslet-

ter-Anbieter darf aus datenschutzrechtlichen Gründen aber kei-

ne anderweitigen (Überprüfungs-)Angaben als die der E-Mail-Ad-

resse vom Nutzer erfragen. Dies führt zu der Konsequenz, dass

er sich auch nur auf diesem Wege die Gewissheit über die Fra-

ge der tatsächlich gewollten Aufnahme in den Newsletter ver-

schaffen kann. Daher besteht für den Versender des Newslet-

ters keine andere Möglichkeit der Überprüfung, als per E-Mail

den Postfachinhaber der angegebenen E-Mail-Adresse um eine

entsprechende Bestätigung zu bitten. Insoweit gehen die Vorga-

ben des OLG München an den praktischen Gegebenheiten vor-

bei. Jeder Anbieter eines Newsletters würde sich der Gefahr aus-

setzen, dass er eine Bestätigungs-E-Mail verschickt, aufgrund

derer er zulässigerweise abgemahnt werden könnte. Dieses Ri-

Foto: © Tiniiiii - photocase.de


siko würden vermutlich die wenigsten – die ihr Angebot ohne-

hin zumeist als benutzerfreundlichen Service verstehen – ein-

gehen. Am Ende würde der elektronische Newsletter daher qua-

si vor dem Aus stehen.

Alternative: Verzicht auf ein automatisiertes Verfahren

Als denkbare Alternative, die auch mit den Vorgaben der Rich-

ter aus München in Einklang zu bringen wäre, käme die Möglich-

keit in Betracht, auf einen automatisierten Bestellvorgang des

Newsletter-Versandes zu verzichten und das Erfordernis einer

eigenhändigen Bestellung von Seiten des Postfachinhabers ein-

zuführen. Hierdurch wäre die Gefahr gebannt, dass Unbekann-

te durch bloße Angabe der E-Mail-Adresse das Zusenden der Be-

stätigungs-E-Mail auslösen könnten. Diese wäre vor dem Hinter-

grund der ausschließlich individuellen Anforderung auch über-

haupt nicht mehr erforderlich. Inwieweit diese Variante dem,

auf unkomplizierte Eintragung und Versand angelegten, News-

letter dann noch gerecht wird, ist allerdings höchst zweifelhaft.

Schließlich müsste – anstelle eines automatisierten Verfahrens

– jede E-Mail einzeln bearbeitet und die E-Mail-Adressen in den

Newsletter-Versand mit aufgenommen werden. Darüber hinaus

würde mit großer Sicherheit durch die Umstellung die Zahl der

Interessenten deutlich reduziert. Ob Ertrag und Aufwand des

Newsletter-Angebots dann noch in einem vernünftigen Verhält-

nis zueinander stehen, darf stark bezweifelt werden.

Dokumentationsmöglichkeit mittels Logfile ratsam

Hoffnung verspricht daher die zugelassene Revision zum BGH,

der bereits in einem ähnlichen Fall den Versand einer Bestäti-

gungs-E-Mail für zulässig erachtet hat. Eine Änderung dieser

höchstrichterlichen Sichtweise dürfte – vor allem aus Praktika-

bilitätsgründen – nicht zu erwarten sein. Nicht zuletzt wäre ei-

ne Bestätigung der Ansicht des OLG München ein bedenklicher

Rückschritt des Online-Rechts um viele Jahrzehnte. Vor diesem

Hintergrund und der Tatsache, dass es sich bisher um ein äu-

ßerst fragwürdiges Einzelurteil handelt, erscheint eine Verän-

derung des Newsletter-Versands in der Hochschulpraxis nicht

zwingend erforderlich zu sein. Auch hat sich im Anschluss an das

Urteil weder eine Abmahnwelle noch eine Umstellung bei ander-

weitigen (kommerziellen) Newsletter-Angeboten ergeben, bei

denen durch das Bestehen einer Wettbewerbssituation die Ge-

fahr einer Abmahnung als wesentlich höher einzuschätzen ist.

Wichtiger denn je ist in jedem Fall die Dokumentation, um zu-

mindest belegen zu können, dass eine Newsletter-Anforderung

tatsächlich erfolgt ist und dem Versand der Bestätigungs-E-Mail

eine vorherige Aufforderung zu Grunde lag. Dies lässt sich bei-

spielsweise dadurch erreichen, dass die IP-Adresse mittels eines

Logfiles festgehalten wird. Die beklagte Anlageberatungsfirma

konnte einen derartigen Beweis während des gesamten Verfah-

rens jedenfalls nicht erbringen.

V. Fazit

Das Urteil des OLG München lässt sich aus juristischer Sichtwei-

se nicht zwingend als Fehlurteil einstufen. Es macht vielmehr

darauf aufmerksam, dass jeder E-Mail-Versand der vorherigen

Einwilligung des Postfachinhabers bedarf. Konsequenterweise

gilt dieses Erfordernis auch für den Versand einer E-Mail, mit der

der Postfachinhaber aufgefordert wird, eine zuvor im Newslet-

ter-Angebot eingetragene E-Mail-Adresse zu bestätigen.

Allerdings scheinen die Richter die Konsequenz zu ignorieren,

dass dem Anbieter eines Newsletters keine andere Daten als die

der E-Mail-Adresse zur Verfügung stehen und er sich demzufolge

auch nur auf diesem Weg Gewissheit darüber verschaffen kann,

ob der Postfachinhaber tatsächlich in den Newsletter-Versand

aufgenommen werden möchte. Das dahinter stehende Einwilli-

gungserfordernis kann nicht dazu führen, dass jeglicher Verkehr

auf elektronischem Wege derart risikobehaftet ist, dass er fak-

tisch durch die Gerichte verhindert wird. Es muss möglich sein,

erwünschte E-Mails und Newsletter weiterhin an Interessenten

zu versenden und gleichzeitig die missbräuchliche Eintragung

in E-Mail-Verteilern herauszufiltern.

Das insoweit bislang für rechtsprechungskonform angesehene

„Double-Opt-In-Verfahren“ hat sich vor diesem Hintergrund ab-

solut bewährt. Somit bestand auch überhaupt keine Veranlas-

sung derart weitgehende Zweifel aufkommen zu lassen. Bei der

Bestätigungs-E-Mail handelt es sich schließlich um einen Schutz

vor unerwünschten E-Mails und um eine Absicherung, dass die

erste Anforderung tatsächlich von dem Adressaten stammt. Der

Aufwand des Löschens einer unerwünschten Bestätigungs-E-Mail

ist zudem sehr gering. Diese Sichtweise scheint den, allein ju-

ristisch argumentierenden, Richtern des OLG München jedoch

nicht zugänglich.

Um den von ihrer Seite aufgestellten Anforderungen gerecht zu

werden, käme als einzig denkbare Alternative der Verzicht auf

ein automatisiertes Verfahren und die damit verbundene Um-

stellung auf eine individuelle Anforderung der Newsletter-Zu-

sendung in Betracht. Ob dieser Rückschritt im Internet-Zeitalter

vom BGH geteilt wird, ist aber ausgesprochen zweifelhaft. Es ist

vielmehr zu erwarten, dass der BGH – ganz im Sinne der prakti-

schen Notwendigkeit – die Zulässigkeit des jahrelang praktizier-

ten „Douple-Opt-In-Verfahrens“ bestätigt. Der Zeitpunkt hierfür

könnte jedenfalls nicht besser sein. M


Wer sich auf Facebook präsen-tiert, muss viel preisgebenZur Impressumspflicht für öffentliche Facebook-Fanseiten

Text: Susanne Thinius (Forschungsstelle Recht im DFN)

I. Rechtlicher Hintergrund der Impressumspflicht

§ 5 Telemediengesetz (TMG) postuliert die Informations-

(„Impressums“-)pflicht für Diensteanbieter von „geschäftsmäßi-

gen, in der Regel gegen Entgelt angebotenen Telemedien“. Es müs-

sen demnach Angaben wie Name und Anschrift sowie Rechtsform

und Vertretungsberechtigter (Nr. 1), Informationen zur schnellen

Kontaktaufnahme inklusive E-Mail-Adresse (Nr.2), die zuständi-

ge Aufsichtsbehörde (Nr. 3), Handelsregister und entsprechen-

de Registernummer (Nr. 4), Umsatzidentifikationsnummer NR.

Sogenannte Facebook- Fanseiten sind stark in Mode – diesem Trend können sich

deutsche Hochschulen schon seit einiger Zeit nicht mehr widersetzen. Doch auch bei

dieser Form des öffentlichen Auftritts müssen gewisse Regeln beachtet werden – wie

die Impressumspflicht. Ist das Impressum einer solchen „geschäftsmäßigen Webseite“

unvollständig oder gänzlich nicht vorhanden, so kann das für die Webseitenbetreiber

erhebliche Konsequenzen haben – u.a. einen Verstoß gegen das Wettbewerbsrecht.

Dies entschied kürzlich das Landgericht (LG) Regensburg. Doch was droht den Betrei-

bern im Falle eines Verstoßes und welche Angaben sind nun zwingend erforderlich?


6) etc. leicht erkennbar, unmittelbar erreichbar und ständig ver-

fügbar gehalten werden.

Die Definition des Begriffes „Diensteanbieter“ und damit des

Adressaten der Impressumspflicht aus § 5 TMG findet sich in § 2

Nr. 1 TMG: darunter ist jede „natürliche oder juristische Person“

zu verstehen, die „eigene oder fremde Telemedien zur Nutzung

bereithält oder den Zugang zur Nutzung vermittelt“. Das sind an

erster Stelle Anbieter von Inhalten wie Webseiten.

Ein Diensteanbieter handelt „geschäftsmäßig“, wenn er Teleme-

dien aufgrund einer nachhaltigen Tätigkeit mit oder ohne Ge-

winnerzielungsabsicht erbringt. „Nachhaltigkeit“ bedeutet in

diesem Zusammenhang, dass die Tätigkeit auf einen längeren

Zeitraum ausgerichtet ist und sich nicht auf einen Einzelfall be-

schränkt. Private Gelegenheitsgeschäfte fallen somit nicht unter

den Begriff der Geschäftsmäßigkeit, wohl aber Hochschulauftrit-

te in sozialen Netzwerken, die ihre Studenten, Mitarbeiter und

Externe über ihre Angebote und Dienstleistungen informieren

wollen und Raum für Meinungsaustausch und Diskussion bie-

ten – und zwar auf Dauer angelegt.

Die Informationspflichten des § 5 TMG dienen dem Verbraucher-

schutz und der Transparenz von geschäftsmäßig erbrachten Te-

lediensten. Sie stellen aus diesem Grund sog. „Marktverhaltens-

regeln“ i.S.d. § 4 Nr. 11 des Gesetzes gegen unlauteren Wettbe-

werb (UWG) dar. Ein Verstoß gegen § 5 TMG beziehungsweise die

Nichteinhaltung der Voraussetzungen kann mithin ein unlaute-

res und gleichzeitig wettbewerbswidriges Verhalten darstellen.

Dies wiederum kann Ansprüche aus dem UWG begründen, wie

beispielsweise Unterlassungsansprüche nach § 8 UWG und Scha-

densersatzansprüche aus § 12 UWG. Im Rahmen dessen wird von

der Beklagtenpartei nicht selten gefordert, strafbewährte Un-

terlassungserklärungen abzugeben, bei deren Zuwiderhandlun-

gen Ordnungsgelder oder gar Ordnungshaft fällig werden kön-

nen. Schadensersatzansprüche können in Gestalt von vorgericht-

lichen Anwalts- bzw. Abmahnkosten geltend gemacht werden.

II. Entwicklung der Rechtsprechung in den vergangenen Jahren

In den vergangenen Jahren gab es einige interessante Urteile

und Beschlüsse zur Impressumspflicht von sozialen Netzwer-

ken, insbesondere zu Facebook, unter anderem zu Adressat und

Umfang dieser Pflicht. Ein eindeutiger Trend lässt sich erken-

nen: Geschäftsmäßige Webseiten-Betreiber werden stärker in

die Pflicht genommen. Der augenscheinliche Grund dafür: Der

„Kunde“ beziehungsweise Nutznießer einer Webseite soll um-

fassend darüber aufgeklärt werden, wer für deren Inhalte ver-

antwortlich ist und an wen er sich im Zweifel zu wenden hat.

So beschloss das Oberlandesgericht (OLG) Celle im vergangenen

Jahr (Az. 13 U 72/12), dass Diensteanbieter derjenige ist, der die

„Funktionsherrschaft“ über die Domain beziehungsweise das

Telemedium hat. Das Telemedium war in diesem Fall eben auch

eine zumindest geschäftsmäßige Webseite. Für eine solche be-

deutet dies, dass der Unternehmer beziehungsweise der Arbeit-

geber – und nicht etwa der einzelne Mitarbeiter – Diensteanbie-

ter ist und somit die Verantwortung für die Richtigkeit des Im-

pressums übernimmt.

Das Landgericht Aschaffenburg hatte bereits mit Urteil aus dem

Jahr 2011 (Az. 2 HK O 4/11) entschieden, dass im Falle einer (auch)

geschäftsmäßigen beziehungsweise kommerziellen Nutzung ei-

nes Facebook-Profils oder sog. Facebook- Fanseiten eine Impres-

sumspflicht nach § 5 TMG entsteht. Das gelte ebenfalls für Nut-

zer von (einfachen) Facebook- Accounts, wenn diese nicht nur

rein privat genutzt werden. Die Weiterleitung via Link auf die un-

ternehmenseigene Webseite mit dortigem Impressum genüge

nicht, um das Fehlen des Impressums auf der Facebook-Seite zu

kompensieren, so die Aschaffenburger Richter. Auch die Angabe

von Anschrift und Telefonnummer allein genüge nicht den Im-

pressums-Anforderungen. Wer sich also zu Marketingzwecken

Facebook, Twitter und Co. bedient, den treffen strenge Impres-

sumspflichten. Der Grundstein für das Urteil des LG Regensburg

wurde damit gelegt.

III. Urteil des Landgerichts Regensburg

Das LG Regensburg hat in seiner jüngsten Entscheidung vom

31.1.2013 (Az. 1 HK O 1884/12) nunmehr bestätigt, dass auch ge-

schäftsmäßige Facebook-Seiten, die als Eingangskanal in Web-

seiten dienen, der allgemeinen Impressumspflicht nach § 5 TMG

unterliegen. Das Fehlen einer solchen sei sogar wettbewerbs-

widrig, so die Regensburger Richter. Im konkreten Fall ging es

um zwei IT-Systemhäuser, die ein sich ähnelndes Betriebsspek-

trum aufwiesen (Entwicklung von Software, Schulungen etc.).

Das Gericht sah beide Parteien aufgrund der Gleichartigkeit des

Leistungsangebots als Mitbewerber i.S.v. § 2 Nr. 3 UWG an, die in

einem konkreten Wettbewerbsverhältnis stehen. Diesen Mitbe-

werbern stehen grundsätzlich wettbewerbsrechtliche Ansprü-

che zu, so § 8 Abs. 3 Nr. 1 UWG.

Es kam, wie es kommen musste: Ein IT-Unternehmen klagte ge-

gen das andere, weil es sich am Impressum des anderen Unter-

nehmens auf dessen Facebook-Webseite störte. Das LG gab der

Klage statt, da die Angaben im Impressum den Anforderungen

des § 5 TMG tatsächlich nicht genügten. Konkret seien Name und

Anschrift unvollständig gewesen und auch die Angabe über den

Geschäftsführer und die zuständige Aufsichtsbehörde fehlten.

Dies stelle laut Gericht einen Wettbewerbsverstoß i.S.d. § 4 Nr.

11 UWG bzw. wettbewerbswidriges Verhalten dar. Nach § 4 Nr.


11 UWG sind Handlungen unlauter, die einer gesetzlichen Vor-

schrift (in diesem Falle § 5 TMG) zuwiderhandeln, die Marktver-

haltensregeln darstellt. Diese Voraussetzungen erfüllt § 5 TMG.

Das Gericht stellte nun fest, dass die Klägerin aus § 8 UWG einen

Unterlassungsanspruch gegen die Beklagten und einen Anspruch

auf Ersatz ihrer Aufwendungen (für entstandene Abmahnkosten)

habe. Zudem verneinte das Gericht ein mögliches missbräuch-

liches Verhalten der Klägerin (i.S.d. § 8 Abs. 4 UWG) durch sog.

Massenabmahnungen. Massenabmahnungen liegen nur dann

vor, wenn die Tätigkeit der Klägerin hauptsächlich im Abmah-

nen selbst und nicht im angegebenen Betriebsfeld liege. Viel-

fach- oder Massenabmahnungen können dann einen Hinweis auf

Rechtsmissbrauch geben, wenn mehr als 180 Mal innerhalb einer

Woche durch dieselbe Person abgemahnt wird. Andere Umstän-

de müssten allerdings noch hinzutreten, um einen Rechtsmiss-

brauch anzunehmen, z.B. eine überhöhte Vertragsstrafe, über-

höhte Abmahngebühren etc.

Die Entscheidung bestätigt also, was seit mindestens 2 Jahren

diskutiert wird: Social-Media-Angebote sind zumindest dann im-

pressumspflichtig, wenn sie geschäftsmäßig genutzt werden.

IV. Auswirkungen auf die Hochschulpraxis

Für Hochschulen sind diese Entscheidungen von aktueller Be-

deutung, da es mittlerweile zum guten Ton einer jeden Hoch-

schule, aber auch Einrichtungen, Instituten und Fakultäten ge-

hört, sich in sozialen Netzwerken zu präsentieren und so eine

neue Kommunikationsplattform anzubieten. Wie eingangs er-

wähnt, treten sie damit geschäftsmäßig auf. Die erwähnten Ur-

teile finden somit Anwendung auf Hochschulen.

Aus dem Regensburger Urteil lässt sich der Schluss ziehen, dass

Mitbewerber von Hochschulen im wettbewerbsrechtlichen Sinne

auch andere Hochschulen sein können, da sie gleichermaßen um

Studenten werben und Dienstleistungen rund um Studium und

Lehre anbieten. Sie stehen somit zueinander im konkreten Wett-

bewerbsverhältnis. Im Falle von unvollständigen Impressumsan-

gaben – auch und gerade bei öffentlichen Facebook-Auftritten

– kann deshalb jederzeit eine Abmahnung einer anderen Hoch-

schule ins Haus flattern – je nachdem, wie gewissenhaft ande-

re Hochschulen ihre Ordnungshüter-Eigenschaft wahrnehmen.

Zu beachten für die Hochschulen ist, dass ein Impressum auch

dann unvollständig ist, wenn lediglich eine gültige Adresse so-

wie Telefonnummer und E-Mail-Adresse angegeben werden. Auch

die schnelle elektronische Kontaktaufnahme und die unmittel-

bare Kommunikationsmöglichkeit sind bereitzustellen. Korrek-

te und vollständige Impressumsangaben sind eben unverzicht-

bar, wenn kostspielige Abmahnungen oder gar Klagen vermie-

den werden sollen. Vorsicht ist also geboten!

Es darf auf der anderen Seite jedoch nicht vergessen werden,

dass letztlich eine Pflicht zur elektronischen Kommunikation

nicht besteht. Angesichts der rechtlichen (Impressums- und an-

deren) Pflichten, die mit der Entscheidung zum Auftritt in so-

zialen Netzwerken wie Facebook einhergehen, sowie hinsicht-

lich datenschutzrechtlicher Bedenken sollte jede Einrichtung

selbst über ihre öffentlichen Auftritte im Netz entscheiden kön-

nen und müssen. M

Foto: © ProMotion - Fotolia.com

50 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | DFN-VEREIN

Laut Satzung fördert der DFN-Verein die

Schaffung der Voraussetzungen für die

Errichtung, den Betrieb und die Nutzung

eines rechnergestützten Informations- und

Kommunikationssystems für die öffentlich

geförderte und gemeinnützige Forschung

in der Bundesrepublik Deutschland. Der

Satzungszweck wird verwirklicht insbe-

sondere durch Vergabe von Forschungs-

aufträgen und Organisation von Dienst-

leistungen zur Nutzung des Deutschen

Forschungsnetzes.

Als Mitglieder werden juristische Per-

sonen aufgenommen, von denen ein we-

sentlicher Beitrag zum Vereinszweck zu er-

warten ist oder die dem Bereich der insti-

tutionell oder sonst aus öffentlichen Mit-

teln geförderten Forschung zuzurechnen

sind. Sitz des Vereins ist Berlin.

Die Organe des DFN-Vereins sind:

• die Mitgliederversammlung

• der Verwaltungsrat

• der Vorstand

Die Mitgliederversammlung ist u. a. zustän-

dig für die Wahl der Mitglieder des Verwal-

Übersicht über die Mitgliedseinrichtungen

und Organe des DFN-Vereins (Stand: 05/2013)

tungsrates, für die Genehmigung des Jah-

reswirtschaftsplanes, für die Entlastung

des Vorstandes und für die Festlegung der

Mitgliedsbeiträge. Derzeitiger Vorsitzen-

der der Mitgliederversammlung ist Prof.

Dr. Gerhard Peter, HS Heilbronn.

Verwaltungsrat

Der Verwaltungsrat beschließt alle wesent-

lichen Aktivitäten des Vereins, insbeson-

dere die technisch-wissenschaftlichen Ar-

beiten, und berät den Jahreswirtschafts-

plan. Für die 10. Wahlperiode sind Mitglie-

der des Verwaltungsrates:

• Prof. Dr. Hans-Joachim Bungartz (TU

München)

• Prof. Dr. Rainer W. Gerling (MPG Mün-

chen)

• Prof. Dr. Ulrike Gutheil (TU Berlin)

• Dir. u. Prof. Dr. Siegfried Hackel (PTB

Braunschweig)

• Dr.-Ing.habil. Carlos Härtel (GE Global

Research)

• Prof. Dr.-Ing. Ulrich Lang (Univ. zu Köln)

• Prof. Dr. Joachim Mnich (DESY)

• Prof. Dr. Wolfgang E. Nagel (TU Dresden)

• Prof. Dr. Bernhard Neumair (KIT)

• Dr.-Ing. Christa Radloff (Univ. Rostock)

• Prof. Dr. Peter Schirmbacher (HU zu

Berlin)

• Dr. Wolfgang A. Slaby (Kath. Univ.

Eichstätt-Ingolstadt)

• Prof. Dr. Horst Stenzel (FH Köln)

Der Verwaltungsrat hat als ständige

Gäste:

• einen Vertreter der KMK: gegenwärtig

Herrn Grothe, SMWK Sachsen

• einen Vertreter der HRK: gegenwärtig

Prof. Dr. Metzner, Präsident der FH Köln

• einen Vertreter der Hochschulkanzler:

gegenwärtig Herrn Schöck, Kanzler

der Universität Erlangen-Nürnberg

• den Vorsitzenden des ZKI: gegenwär-

tig Prof. Dr. Lang, Universität zu Köln

• den Vorsitzenden der Mitgliederver-

sammlung: gegenwärtig Prof. Dr. Peter,

HS Heilbronn

Vorstand

Der Vorstand des DFN-Vereins im Sinne des

Gesetzes wird aus dem Vorsitzenden und

den beiden stellvertretenden Vorsitzen-

den des Verwaltungsrates gebildet. Der-

zeit sind dies Prof. Dr. Hans-Joachim Bun-

gartz, Vorsitz, sowie Prof. Dr. Ulrike Gutheil

und Prof. Dr. Bernhard Neumair.

Der Vorstand wird beraten von einem Tech-

nologie-Ausschuss (TA), einem Betriebsaus-

schuss (BA) und einem Ausschuss für Recht

und Sicherheit (ARuS), der zugleich auch

als Jugendschutzbeauftragter für das DFN

fungiert.

Der Vorstand bedient sich zur Erledigung

laufender Aufgaben einer Geschäftsstel-

le mit Standorten in Berlin und Stuttgart.

Sie wird von einer Geschäftsführung gelei-

tet. Als Geschäftsführer wurden vom Vor-

stand Jochem Pattloch und Dr. Christian

Grimm bestellt.

51DFN-VEREIN | DFN Mitteilungen Ausgabe 84 |

Aachen Fachhochschule Aachen

Rheinisch-Westfälische Technische Hochschule Aachen (RWTH)

Aalen Hochschule Aalen

Albstadt Hochschule Albstadt-Sigmaringen (FH)

Amberg Hochschule Amberg-Weiden für angewandte Wissenschaften

Ansbach Hochschule für angewandte Wissenschaften, Fachhochschule Ansbach

Aschaffenburg Hochschule Aschaffenburg

Augsburg Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg

Universität Augsburg

Bamberg Otto-Friedrich-Universität Bamberg

Bayreuth Universität Bayreuth

Berlin Alice Salomon Hochschule Berlin

BBB Management GmbH

Beuth Hochschule für Technik Berlin – University of Applied Sciences

Bundesamt für Verbraucherschutz und Lebensmittelsicherheit

Bundesanstalt für Materialforschung und -prüfung

Bundesinstitut für Risikobewertung

Deutsche Telekom AG Laboratories

Deutsches Herzzentrum Berlin

Deutsches Institut für Normung e. V. (DIN)

Deutsches Institut für Wirtschaftsforschung (DIW)

Fachinformationszentrum Chemie GmbH (FIZ Chemie)

Forschungsverbund Berlin e. V.

Freie Universität Berlin (FUB)

Helmholtz-Zentrum Berlin für Materialien und Energie GmbH

Hochschule für Technik und Wirtschaft – University of Applied Sciences

Hochschule für Wirtschaft und Recht

Humboldt-Universität zu Berlin (HUB)

International Psychoanalytic University Berlin

IT-Dienstleistungszentrum

Konrad-Zuse-Zentrum für Informationstechnik (ZIB)

Robert Koch-Institut

Stanford University in Berlin

Stiftung Deutsches Historisches Museum

Stiftung Preußischer Kulturbesitz

Technische Universität Berlin (TUB)

T-Systems International GmbH

Umweltbundesamt

Universität der Künste Berlin

Wissenschaftskolleg zu Berlin

Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)

Biberach Hochschule Biberach

Bielefeld Fachhochschule Bielefeld

Universität Bielefeld

Bingen Fachhochschule Bingen

Bochum ELFI Gesellschaft für Forschungsdienstleistungen mbH

Evangelische Fachhochschule Rheinland-Westfalen-Lippe

Hochschule Bochum

Hochschule für Gesundheit

Ruhr-Universität Bochum

Technische Fachhochschule Georg Agricola für Rohstoff,

Energie und Umwelt zu Bochum

Bonn Bundesministerium des Innern

Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit

Deutsche Forschungsgemeinschaft (DFG)

Deutscher Akademischer Austauschdienst e. V. (DAAD)

Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)

GESIS – Leibniz-Institut für Sozialwissenschaften e. V.

Rheinische Friedrich-Wilhelms-Universität Bonn

Zentrum für Informationsverarbeitung und Informationstechnik

Borstel FZB, Leibniz-Zentrum für Medizin und Biowissenschaften

Brandenburg Fachhochschule Brandenburg

Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen

GmbH

Helmholtz-Zentrum für Infektionsforschung GmbH

Hochschule für Bildende Künste Braunschweig

Johann-Heinrich von Thünen-Institut, Bundesforschungs-

institut für Ländliche Räume, Wald und Fischerei

Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen

Physikalisch-Technische Bundesanstalt (PTB)

Technische Universität Carolo-Wilhelmina zu Braunschweig

Bremen Hochschule Bremen

Hochschule für Künste Bremen

Jacobs University Bremen gGmbH

Universität Bremen

Bremerhaven Alfred-Wegener-Institut, Helmholtz-Zentrum für Polar- und

Meeresforschung (AWI)

Hochschule Bremerhaven

Stadtbildstelle Bremerhaven

Chemnitz Technische Universität Chemnitz

Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)

Technische Universität Clausthal-Zellerfeld

Coburg Hochschule für angewandte Wissenschaften, Fachhochschule Coburg

Cottbus Brandenburgische Technische Universität Cottbus

Darmstadt European Space Agency (ESA)

Evangelische Hochschule Darmstadt

GSI Helmholtzzentrum für Schwerionenforschung GmbH

Hochschule Darmstadt

Merck KGaA

Technische Universität Darmstadt

T-Systems International GmbH

Deggendorf Hochschule für angewandte Wissenschaften,

Fachhochschule Deggendorf

Dortmund Fachhochschule Dortmund

Technische Universität Dortmund

Dresden Helmholtz-Zentrum Dresden-Rossendorf e. V.

Hannah-Arendt-Institut für Totalitarismusforschung e. V.

Hochschule für Bildende Künste Dresden

Hochschule für Technik und Wirtschaft

Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.

Leibniz-Institut für Polymerforschung Dresden e. V.

Sächsische Landesbibliothek – Staats- und Universitätsbibliothek

Technische Universität Dresden

Düsseldorf Fachhochschule Düsseldorf

Heinrich-Heine-Universität Düsseldorf

Information und Technik Nordrhein-Westfalen (IT.NRW)

Eichstätt Katholische Universität Eichstätt-Ingolstadt

Emden Hochschule Emden/Leer

Erfurt Fachhochschule Erfurt

Universität Erfurt


Erlangen Friedrich-Alexander-Universität Erlangen-Nürnberg

Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V.

Universität Duisburg-Essen

Esslingen Hochschule Esslingen

Flensburg Fachhochschule Flensburg

Universität Flensburg

Frankfurt/M. Bundesamt für Kartographie und Geodäsie

Deutsche Nationalbibliothek

Deutsches Institut für Internationale Pädagogische Forschung

Fachhochschule Frankfurt am Main

Johann Wolfgang Goethe-Universität Frankfurt am Main

KPN EuroRings B.V.

Philosophisch-Theologische Hochschule St. Georgen e.V.

Senckenberg Gesellschaft für Naturforschung

Stonesoft Germany GmbH

Frankfurt/O. IHP GmbH – Institut für innovative Mikroelektronik

Stiftung Europa-Universität Viadrina

Freiberg Technische Universität Bergakademie Freiberg

Freiburg Albert-Ludwigs-Universität Freiburg

Friedrichshafen Zeppelin Universität gGmbH

Fulda Hochschule Fulda

Furtwangen Hochschule Furtwangen – Informatik, Technik, Wirtschaft, Medien

Garching European Southern Observatory (ESO)

Gesellschaft für Anlagen- und Reaktorsicherheit mbH

Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften

Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)

Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenfor-

schung GmbH

Gelsenkirchen Westfälische Hochschule

Gießen Technische Hochschule Mittelhessen

Justus-Liebig-Universität Gießen

Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)

Verbundzentrale des Gemeinsamen Bibliotheksverbundes

Greifswald Ernst-Moritz-Arndt-Universität Greifswald

Friedrich-Loeffler-Institut, Bundesforschungsinstitut für Tiergesundheit

Hagen Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft

FernUniversität in Hagen

Halle/Saale Institut für Wirtschaftsforschung Halle

Martin-Luther-Universität Halle-Wittenberg

Hamburg Bundesamt für Seeschifffahrt und Hydrographie

Datenlotsen Informationssysteme GmbH

Deutsches Elektronen-Synchrotron (DESY)

Deutsches Klimarechenzentrum GmbH (DKRZ)

DFN – CERT Services GmbH

HafenCity Universität Hamburg

Helmut-Schmidt-Universität, Universität der Bundeswehr

Hochschule für Angewandte Wissenschaften Hamburg

Hochschule für Bildende Künste Hamburg

Hochschule für Musik und Theater Hamburg

Technische Universität Hamburg-Harburg

Universität Hamburg

Hameln Hochschule Weserbergland

Hamm SRH Hochschule für Logistik und Wirtschaft Hamm

Hannover Bundesanstalt für Geowissenschaften und Rohstoffe

Hochschule Hannover

Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische

Landesbibliothek

Gottfried Wilhelm Leibniz Universität Hannover

HIS Hochschul-Informations-System GmbH

Hochschule für Musik, Theater und Medien

Landesamt für Bergbau, Energie und Geologie

Medizinische Hochschule Hannover

Technische Informationsbibliothek und Universitätsbibliothek

Stiftung Tierärztliche Hochschule

Heide Fachhochschule Westküste, Hochschule für Wirtschaft und Technik

Heidelberg Deutsches Krebsforschungszentrum (DKFZ)

European Molecular Biology Laboratory (EMBL)

Network Laboratories NEC Europe Ltd.

Ruprecht-Karls-Universität Heidelberg

Heilbronn Hochschule für Technik, Wirtschaft und Informatik Heilbronn

Hildesheim Hochschule für angewandte Wissenschaft und Kunst

Fachhochschule Hildesheim/Holzminden/Göttingen

Stiftung Universität Hildesheim

Hof Hochschule für angewandte Wissenschaften Hof – FH

Ilmenau Bundesanstalt für IT-Dienstleistungen im Geschäftsbereich des BMVBS

Technische Universität Ilmenau

Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen

Hochschule für angewandte Wissenschaften FH Ingolstadt

Jena Ernst-Abbe-Fachhochschule Jena

Friedrich-Schiller-Universität Jena

Institut für Photonische Technologien e. V.

Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)

Jülich Forschungszentrum Jülich GmbH

Kaiserslautern Fachhochschule Kaiserslautern

Technische Universität Kaiserslautern

Karlsruhe Bundesanstalt für Wasserbau

Fachinformationszentrum Karlsruhe (FIZ)

Karlsruher Institut für Technologie – Universität des Landes Baden-

Württemberg und nationales Forschungszentrum in der Helmholtz-

Gemeinschaft (KIT)

FZI Forschungszentrum Informatik

Hochschule Karlsruhe – Technik und Wirtschaft

Zentrum für Kunst und Medientechnologie

Kassel Universität Kassel

Kempten Hochschule für angewandte Wissenschaften, Fachhochschule Kempten

Kiel Christian-Albrechts-Universität zu Kiel

Fachhochschule Kiel

Institut für Weltwirtschaft an der Universität Kiel

Helmholtz-Zentrum für Ozeanforschung Kiel (GEOMAR)

Koblenz Hochschule Koblenz

Köln Deutsche Sporthochschule Köln

Fachhochschule Köln

Hochschulbibliothekszentrum des Landes NRW

Katholische Hochschule Nordrhein-Westfalen

Kunsthochschule für Medien Köln

Rheinische Fachhochschule Köln gGmbH

Universität zu Köln

Konstanz Hochschule Konstanz Technik, Wirtschaft und Gestaltung (HTWG)

Universität Konstanz

Köthen Hochschule Anhalt

Krefeld Hochschule Niederrhein

Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.

Landshut Hochschule Landshut, Fachhochschule

53DFN-VEREIN | DFN Mitteilungen Ausgabe 84 |

Leipzig Deutsche Telekom, Hochschule für Telekommunikation Leipzig

Helmholtz-Zentrum für Umweltforschung – UFZ GmbH

Hochschule für Grafik und Buchkunst Leipzig

Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“

Hochschule für Technik, Wirtschaft und Kultur Leipzig

Leibniz-Institut für Troposphärenforschung e. V.

Mitteldeutscher Rundfunk

Universität Leipzig

Lemgo Hochschule Ostwestfalen-Lippe

Lübeck Fachhochschule Lübeck

Universität zu Lübeck

Ludwigsburg Evangelische Hochschule Ludwigsburg

Ludwigshafen Fachhochschule Ludwigshafen am Rhein

Lüneburg Leuphana Universität Lüneburg

Magdeburg Hochschule Magdeburg-Stendal (FH)

Leibniz-Institut für Neurobiologie Magdeburg

Mainz Fachhochschule Mainz

Johannes Gutenberg-Universität Mainz

Universität Koblenz-Landau

Mannheim Hochschule Mannheim

TÜV SÜD Energietechnik GmbH Baden-Württemberg

Universität Mannheim

Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW)

Marbach a. N. Deutsches Literaturarchiv

Marburg Philipps-Universität Marburg

Merseburg Hochschule Merseburg (FH)

Mittweida Hochschule Mittweida

Mülheim an der

Ruhr

Hochschule Ruhr West

Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V.

München Bayerische Staatsbibliothek

Hochschule München (FH)

Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V.

Helmholtz Zentrum München Deutsches Forschungszentrum für

Gesundheit und Umwelt GmbH

ifo Institut – Leibniz-Institut für Wirtschaftsforschung e. V.

Ludwig-Maximilians-Universität München

Max-Planck-Gesellschaft

Technische Universität München

Universität der Bundeswehr München

Münster Fachhochschule Münster

Westfälische Wilhelms-Universität Münster

Neubranden-

burg

Hochschule Neubrandenburg

Neu-Ulm Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm

Nordhausen Fachhochschule Nordhausen

Nürnberg Kommunikationsnetz Franken e. V.

Technische Hochschule Nürnberg Georg Simon Ohm

Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen

Nuthetal Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke

Oberursel Dimension Data Germany AG & Co. KG

Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH

Offenbach/M. Deutscher Wetterdienst (DWD)

Offenburg Hochschule Offenburg, Fachhochschule

Oldenburg Carl von Ossietzky Universität Oldenburg

Landesbibliothek Oldenburg

Osnabrück Hochschule Osnabrück (FH)

Universität Osnabrück

Paderborn Fachhochschule der Wirtschaft Paderborn

Universität Paderborn

Passau Universität Passau

Peine Deutsche Gesellschaft zum Bau und Betrieb von Endlagern

für Abfallstoffe mbH

Potsdam Fachhochschule Potsdam

Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ

Hochschule für Film und Fernsehen „Konrad Wolf“

Potsdam-Institut für Klimafolgenforschung (PIK)

Universität Potsdam

Regensburg Hochschule für angewandte Wissenschaften – Fachhochschule

Regensburg

Universität Regensburg

Rosenheim Hochschule für angewandte Wissenschaften – Fachhochschule

Rosenheim

Rostock Leibniz-Institut für Ostseeforschung Warnemünde

Universität Rostock

Saarbrücken Universität des Saarlandes

Salzgitter Bundesamt für Strahlenschutz

Sankt Augustin Hochschule Bonn Rhein-Sieg

Schmalkalden Fachhochschule Schmalkalden

Schwäbisch

Gmünd

Pädagogische Hochschule Schwäbisch Gmünd

Schwerin Landesbibliothek Mecklenburg-Vorpommern

Senftenberg Hochschule Lausitz (FH)

Siegen Universität Siegen

Speyer Deutsche Universität für Verwaltungswissenschaften Speyer

Straelen GasLINE Telekommunikationsnetzgesellschaft deutscher

Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft

Stralsund Fachhochschule Stralsund

Stuttgart Cisco Systems GmbH

Duale Hochschule Baden-Württemberg

Hochschule der Medien Stuttgart

Hochschule für Technik Stuttgart

NextiraOne Deutschland GmbH

Universität Hohenheim

Universität Stuttgart

Tautenburg Thüringer Landessternwarte Tautenburg

Trier Hochschule Trier

Universität Trier

Tübingen Eberhard Karls Universität Tübingen

Leibniz-Institut für Wissensmedien

Ulm Hochschule Ulm

Universität Ulm

Vechta Universität Vechta

Private Fachhochschule für Wirtschaft und Technik

Wadern Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH (LZI)

Weidenbach Hochschule Weihenstephan

Weimar Bauhaus-Universität Weimar

Weingarten Hochschule Ravensburg-Weingarten

Pädagogische Hochschule Weingarten

Wernigerode Hochschule Harz (FH)

Weßling T-Systems Solutions for Research GmbH

Wiesbaden Hochschule RheinMain

Statistisches Bundesamt

Wildau Technische Hochschule Wildau (FH)

Wilhelmshaven Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth


Wismar Hochschule Wismar

Witten Private Universität Witten/Herdecke gGmbH

Wolfenbüttel Ostfalia Hochschule für angewandte Wissenschaften

Herzog August Bibliothek

Worms Fachhochschule Worms

Wuppertal Bergische Universität Wuppertal

Würzburg Hochschule für angewandte Wissenschaften – Fachhochschule

Würzburg-Schweinfurt

Julius-Maximilians-Universität Würzburg

Zittau Hochschule Zittau/Görlitz

Internationales Hochschulinstitut

Zwickau Westsächsische Hochschule Zwickau

GÉANT - DFN · GÉANT (GN3plus) is the latest in a series of projects comprising the pan-European...

Documents

Transcript of GÉANT - DFN · GÉANT (GN3plus) is the latest in a series of projects comprising the pan-European...