Ausgabe 85 - DFN-Verein
Ausgabe 85 - DFN-Verein
Ausgabe 85 - DFN-Verein
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Deutsches Forschungsnetz Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013<br />
www.dfn.de<br />
Mitteilungen<br />
Von Hamburg bis nach Halifax:<br />
Atlantiküberquerung<br />
mit 100 Gigabit/s<br />
Plakette drauf!<br />
<strong>DFN</strong>-MailSupport besteht<br />
Audit zur IT-Sicherheit<br />
Bitte ein Terabit!<br />
<strong>DFN</strong>-<strong>Verein</strong> startet weltweit erstes<br />
Terabit-Testbed für die Wissenschaft
Impressum<br />
Herausgeber: <strong>Verein</strong> zur Förderung<br />
eines Deutschen Forschungsnetzes e. V.<br />
<strong>DFN</strong>-<strong>Verein</strong><br />
Alexanderplatz 1, 10178 Berlin<br />
Tel.: 030 - 88 42 99 - 0<br />
Fax: 030 - 88 42 99 - 70<br />
Mail: dfn-verein@dfn.de<br />
Web: www.dfn.de<br />
ISSN 0177-6894<br />
Redaktion: Kai Hoelzner (kh)<br />
Gestaltung: Labor3 | www.labor3.com<br />
Druck: Rüss, Potsdam<br />
© <strong>DFN</strong>-<strong>Verein</strong> 11/2013<br />
Fotonachweis:<br />
Titelfoto © kelpfish - depositphotos<br />
Seite 4 © Torsten Kersting<br />
Seite 6/7 © Dan Barnes - iStockphoto<br />
Seite 32/33 © mzacha - morgueFile
Vorwort<br />
Native Terabit-Technologie für die Datenübertragung,<br />
so lautet das Ziel, das sich das Deutsche<br />
Forschungsnetz gestellt hat. Anfang 2014<br />
soll hierbei der erste Meilenstein eines entsprechenden<br />
Entwicklungsvorhabens erreicht sein.<br />
Im Januar soll dazu im Wissenschaftsnetz X-WiN<br />
eine erste Datenverbindung mit Terabit-Technologie<br />
erprobt werden.<br />
Gemeinsam mit seinem Netz-Ausrüster ECI Telecom,<br />
dessen optische Transporttechnik nach einem<br />
europaweiten Vergabeverfahren seit inzwischen<br />
einem Jahr im X-WiN eingesetzt wird, soll<br />
nun einer der größten technologischen Sprünge<br />
vorbereitet werden, der in den kommenden<br />
Jahren zu erwarten ist.<br />
Damit wagt <strong>DFN</strong>-<strong>Verein</strong> einen Vorstoß in Übertragungsbereiche,<br />
die weit in die Zukunft der<br />
Datenkommunikation weisen. Zudem folgt der<br />
<strong>DFN</strong>-<strong>Verein</strong> dem im Rahmenprogramm der Entwicklungsaktivitäten<br />
selbstgesteckten Auftrag,<br />
Infrastruktur für wissenschaftliche Datenkommunikation<br />
nicht nur bereitzustellen, sondern<br />
zu fördern und künftige Stufen der technologischen<br />
Entwicklung mit zu gestalten.<br />
Das Testbed bildet den Auftakt zu einer Reihe<br />
von Erprobungen, bei denen nach ersten Infrastruktur-Test<br />
zunehmend die Anwender des Wissenschaftsnetzes<br />
eingebunden werden. Langfristiges<br />
Ziel ist es dabei, den wissenschaftlichen<br />
Einrichtungen in Deutschland Anschlüsse mit<br />
1 Tbit/s an das Wissenschaftsnetz zu ermöglichen.<br />
Nach und nach soll Terabit-Technologie<br />
damit von den ersten Labortest bis zur Anwendungsreife<br />
geführt werden.<br />
Stefan Piger, <strong>DFN</strong>-<strong>Verein</strong><br />
Im weltweit ersten Testbed für Terabit-Technologie<br />
für die Wissenschaft, das ECI und <strong>DFN</strong>-<strong>Verein</strong><br />
initiieren, werden erstmals Daten mit einer<br />
Kapazität von einem Terabit/s über das DWDM-<br />
Netz des Deutschen Forschungsnetzes übertragen.<br />
Die Erprobungen der Technologie für Terabit-Übertragungen<br />
findet nicht in einer wohlbehüteten<br />
Testumgebung statt, sondern integriert<br />
in den laufenden Betrieb des Wissenschaftsnetzes<br />
X-WiN.<br />
ECI, ECIs Technologiepartner Finisar und der<br />
<strong>DFN</strong>-<strong>Verein</strong> demonstrieren damit die extreme<br />
Leistungsfähigkeit der innovativen ‚Coherent-<br />
Terabit'-Technologie, die von ECI im Rahmen<br />
des Tera Santa Consortiums entwickelt wurde.<br />
Das Tera Santa Consortium, das 2011 von führenden<br />
technologischen Firmen und Universitäten<br />
gegründet wurde, entwickelt mit finanzieller<br />
Unterstützung des israelischen Wissenschaftsministeriums<br />
Terabit-Technologie auf<br />
Basis von OFDM (Orthogonal Frequency Division<br />
Multiplex). Mit Einsatz dieser Technologie<br />
kann der <strong>DFN</strong>-<strong>Verein</strong> seine Netzkapazität signifikant<br />
erhöhen.<br />
Shai Stein, CTO, ECI Telecom
4 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013<br />
1<br />
2<br />
3<br />
4<br />
5<br />
6<br />
7<br />
8<br />
9<br />
10<br />
11<br />
12<br />
Unsere Autoren dieser <strong>Ausgabe</strong> im Überblick<br />
1 Kai Hoelzner, <strong>DFN</strong>-<strong>Verein</strong> (hoelzner@dfn.de); 2 Dr. Stefan Piger, <strong>DFN</strong>-<strong>Verein</strong><br />
(piger@dfn.de); 3 Bettina Kauth, <strong>DFN</strong>-<strong>Verein</strong> (kauth@noc.dfn.de); 4 Ulrich Kähler,<br />
<strong>DFN</strong>-<strong>Verein</strong> (kaehler@dfn.de); 5 Dr. Christian Grimm, <strong>DFN</strong>-<strong>Verein</strong> (grimm@dfn.de);<br />
6 Dr.-Ing. Susanne Naegele-Jackson, Regionales Rechenzentrum Erlangen RRZE<br />
(Susanne.Naegele-Jackson@fau.de); 7 Dr. Peter Kaufmann, <strong>DFN</strong>-<strong>Verein</strong><br />
(kaufmann@dfn.de); 13 8 Jürgen Brauckmann, 14 <strong>DFN</strong>-CERT Services 15 GmbH<br />
(brauckmann@dfn-cert.de); 9 Dr. Ralf Gröper, <strong>DFN</strong>-<strong>Verein</strong> (groeper@dfn.de);<br />
10 Heike Ausserfeld, <strong>DFN</strong>-<strong>Verein</strong> (ausserfeld@dfn.de); 11 Dr. Klaus-Peter<br />
Kossakowski, <strong>DFN</strong>-CERT Services GmbH (kossakowski@dfn-cert.de);<br />
12 Florian Klein, Forschungsstelle Recht im <strong>DFN</strong> (recht@dfn.de)
<strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
5<br />
Inhalt<br />
Wissenschaftsnetz<br />
Bitte ein Terabit!<br />
von Kai Hoelzner, Dr. Stefan Piger ............................................ 8<br />
Von Hamburg bis nach Halifax:<br />
Atlantiküberquerung mit 100 Gigabit/s<br />
von Kai Hoelzner ............................................................................ 11<br />
Siehst Du dieses Licht? – Ein kleiner Einblick<br />
in den Betrieb des optischen Netzes<br />
von Bettina Kauth ......................................................................... 14<br />
Plakette drauf!<br />
von Ulrich Kähler ........................................................................... 17<br />
Kurzmeldungen .............................................................................. 20<br />
2. <strong>DFN</strong>-Workshop Datenschutz ................................................ 21<br />
International<br />
GN3plus: GÉANT vernetzt die Welt<br />
von Dr. Christian Grimm .............................................................. 22<br />
GÉANT erhält eingebauten Innovationsmotor<br />
Dr. Peter Kaufmann (<strong>DFN</strong>-<strong>Verein</strong>),<br />
Dr.-Ing. Susanne Naegele-Jackson (RRZE) ............................. 24<br />
Sicherheit<br />
Konzept und Nutzen von Certificate Policy<br />
und Certification Practice Statement<br />
von Jürgen Brauckmann, Dr. Ralf Gröper .............................. 34<br />
Sicherheit aktuell<br />
von Heike Ausserfeld, Dr. Ralf Gröper,<br />
Dr. Klaus-Peter Kossakowski ..................................................... 41<br />
Recht<br />
Happy Birthday,<br />
Forschungsstelle Recht im <strong>DFN</strong>!<br />
von Kai Hoelzner ............................................................................ 43<br />
Ja? Nein? Jein! – Kein Ende der<br />
Odyssee um den Personenbezug<br />
von IP-Adressen<br />
von Florian Klein ............................................................................ 45<br />
<strong>DFN</strong>-<strong>Verein</strong><br />
Übersicht über die Mitgliedseinrichtungen<br />
und Organe des <strong>DFN</strong>-<strong>Verein</strong>s .................................................... 50<br />
20 Years of Networking<br />
Excellence ........................................................................................ 29
6<br />
| <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | WISSENSCHAFTSNETZ
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
7<br />
Wissenschaftsnetz<br />
Bitte ein Terabit!<br />
von Kai Hoelzner, Dr. Stefan Piger<br />
Von Hamburg bis nach Halifax:<br />
Atlantiküberquerung mit 100 Gigabit/s<br />
von Kai Hoelzner<br />
Siehst Du dieses Licht? – Ein kleiner Einblick<br />
in den Betrieb des optischen Netzes<br />
von Bettina Kauth<br />
Plakette drauf!<br />
von Ulrich Kähler<br />
Kurzmeldungen<br />
2. <strong>DFN</strong>-Workshop Datenschutz
8 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | WISSENSCHAFTSNETZ<br />
Bitte ein Terabit!<br />
<strong>DFN</strong>-<strong>Verein</strong> startet weltweit erstes Terabit-Testbed<br />
für die Wissenschaft<br />
Native Terabit-Technologie für die Datenübertragung, so lautet das Ziel, das sich das<br />
Deutsche Forschungsnetz und sein Telekommunikationsausrüster ECI Telecom gestellt<br />
haben. Anfang 2014 soll ein erster Meilenstein auf dem Weg dieses ambitionierten<br />
Vorhabens erreicht sein. Auf einer Versuchsstrecke zwischen Dresden und Chemnitz<br />
wird eine Datenübertragung mit nativer Terabit-Techologie erfolgen. Damit wird einer<br />
der größten Sprünge in der Netztechnologie vorbereitet, der in den kommenden Jahren<br />
zu erwarten ist.<br />
Text: Kai Hoelzner (<strong>DFN</strong>-<strong>Verein</strong>), Dr. Stefan Piger (<strong>DFN</strong>-<strong>Verein</strong>)<br />
X-WiN-Knoten Dresden<br />
X-WiN-Knoten Chemnitz<br />
X-WiN-Verkehr<br />
ROADM<br />
X-WiN-Verkehr/<br />
Testbed<br />
X-WiN-Verkehr<br />
DWDM<br />
Mux<br />
1011000110100001<br />
ROADM<br />
=?<br />
Zufallszahlengenerator<br />
1011000110100001<br />
DWDM<br />
Mux<br />
X-WiN-Verkehr<br />
ROADM<br />
X-WiN-Verkehr/<br />
Testbed<br />
X-WiN-Verkehr<br />
Abb. 1: Das Terabit-Testbed des <strong>DFN</strong>-<strong>Verein</strong>s: Ein Zufallszahlengenerator speist am X-WiN Kernnetzstandort Dresden ein Testsignal ein, das per ‚Super-<br />
Channel‘ parallel zum X-WiN-Verkehr auf der Glasfaser nach Chemnitz und von dort in einer Schleife zurück nach Dresden übertragen wird. Dort erfolgt eine<br />
Prüfung der Identität von versandten und empfangenen Daten.
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
9<br />
Terabit-Testbed betritt völliges<br />
Neuland<br />
Mit dem Terabit-Testbed wagt der <strong>DFN</strong>-<strong>Verein</strong><br />
einen Vorstoß in Übertragungsbereiche,<br />
die weit in die Zukunft der Datenkommunikation<br />
hinausweisen. Weniger, was<br />
die pure Datenmenge angeht, die hierbei<br />
über das Wissenschaftsnetz transportiert<br />
wird, als vielmehr in technischer Hinsicht<br />
stellt Terabit-Technologie für die Datenkommunikation<br />
völliges Neuland dar. Weder<br />
existieren bisher Ethernet-Standards<br />
für Terabit/s, so dass native Terabit-Verbindungen<br />
von Anwender zu Anwender derzeit<br />
nicht absehbar sind, noch gibt es bislang<br />
klare Vorstellungen, welche Auswirkungen<br />
derartige Übertragungsverfahren<br />
auf das Design der Netze haben werden.<br />
Prinzipiell ist es bereits heute möglich, Datenübertragungen<br />
im Terabit-Bereich vorzunehmen.<br />
So lassen sich in der aktuellen<br />
Konfiguration des X-WiN bereits heute<br />
100-Gigabit-Verbindungen bis in den<br />
Tera bit-Bereich akkumulieren. Doch geht<br />
es beim Tera bit-Testbed des <strong>DFN</strong>-<strong>Verein</strong>s<br />
nicht um Erreichen quantitativer Rekorde,<br />
sondern um die Vorbereitung künftiger<br />
Technologie-Stufen des Netzes.<br />
Ohnehin verfügen weltweit nur wenige<br />
Wissenschaftsnetze bislang über die erforderliche<br />
100-Gigabit-Technologie. Neben<br />
dem <strong>DFN</strong>-<strong>Verein</strong> mit seinem Wissenschaftsnetz<br />
X-WiN finden sich 100-Gigabit-Verbindungen<br />
vor allem im europäischen Forschungsbackbone<br />
GÉANT und im Netz der<br />
Nordamerikanischen Internet2-Initiative.<br />
Generationswechsel im Ethernet<br />
Das Durchstoßen der Terabit-Schwelle im<br />
Netz ist jedoch nicht allein durch Limitierungen<br />
der Hardware behindert. Selbst die<br />
hierfür erforderlichen Client-Schnittstellen<br />
befinden sich bislang gerade am Anfang<br />
der Standardisierungsphase. Frühestens<br />
2017 wird mit einer Ethernet-Generation<br />
jenseits des 100-Gigabit-Standards zu rechnen<br />
sein. So wurde erst im März dieses Jahres<br />
eine „400 Gb/s Ethernet Study Group“<br />
von der IEEE, dem Institute of Electrical<br />
and Electronics Engineers, ins Leben gerufen,<br />
die sich mit der nächsten Generation<br />
des Protokolls beschäftigt.<br />
Doch auch wenn Datenraten jenseits der<br />
100-Gigabit/s auf absehbare Zeit nur durch<br />
Bündelung mehrerer Kanäle erreicht werden<br />
können, ist die technologische Vorbereitung<br />
in den tieferliegenden Schichten<br />
des Netzes mehr als bloß eine Kür für<br />
die Wissenschaften. Zum einen gilt es, eine<br />
Basis-Infrastruktur zu erschaffen, die<br />
für die Entwicklung neuer Protokolle genutzt<br />
werden kann. Zum anderen sind die<br />
Beschaffungszyklen im Netz und die vermehrte<br />
Nachfrage hochleistungsfähiger<br />
Netze in den Wissenschaften nicht geeignet,<br />
die technische Entwicklung abzuwarten<br />
und erst später zu reagieren. Vor allem<br />
aber folgt der <strong>DFN</strong>-<strong>Verein</strong> mit dem Terabit-<br />
Testbed seinem Auftrag, Infrastruktur für<br />
wissenschaftliche Datenkommunikation<br />
nicht nur bereitzustellen, sondern zu fördern<br />
und dabei künftige Stufen der technologischen<br />
Entwicklung mitzugestalten.<br />
Ausbauoptionen der heutigen<br />
X-WiN-Technik<br />
Nachdem der <strong>DFN</strong>-<strong>Verein</strong> mit seiner neuen<br />
DWDM-Technik von ECI innerhalb von wenigen<br />
Monaten das X-WiN auf 100 Gbit/s<br />
aufgerüstet hat, sollen nun die Ausbauoptionen<br />
der neuen DWDM-Technik des<br />
X-WiN ausgelotet werden. Dazu wird ECI<br />
dem <strong>DFN</strong>-<strong>Verein</strong> seine aktuellen Erprobungsträger<br />
für Terabit-Technologie für<br />
ein Testbed zur Verfügung stellen und gemeinsam<br />
mit dem <strong>DFN</strong>-<strong>Verein</strong> Erprobungen<br />
durchführen. Für den <strong>DFN</strong>-<strong>Verein</strong> ist<br />
es dabei von besonderem Interesse, dass<br />
diese Erprobungen nicht in einer besonders<br />
behüteten Laborumgebung, sondern<br />
parallel auf den gleichen Glasfasern ablaufen,<br />
auf den auch der Regelbetrieb des<br />
X-WiN stattfindet.<br />
ECI hat sich für derartige Erprobungen<br />
auch durch seine Aktivitäten im Tera Santa-Consortium<br />
qualifiziert. Im Rahmen des<br />
Tera Santa-Consortiums, einem Zusammenschluss<br />
von akademischer und industrieller<br />
Forschung, hat sich ECI zum Ziel gesetzt,<br />
ein Ökosystem für Terabit-Technologie<br />
zu erschaffen, innerhalb dessen bislang<br />
vollkommen unerprobte Konzepte für<br />
die Datenübertragung im Terabit-Bereich<br />
bis zur Einsatz-Reife erforscht und entwickelt<br />
werden sollen. Der <strong>DFN</strong>-<strong>Verein</strong> wird<br />
das Konsortium als Anwendungspartner<br />
bei der Erprobung künftiger Technologiestufen<br />
im Feld unterstützen. Ohne bislang<br />
eine feste Laufzeit des Projektes vereinbart<br />
zu haben, rechnen <strong>DFN</strong>-<strong>Verein</strong> und ECI<br />
Telecom damit, dass die Meilensteine des<br />
Testbeds innerhalb der nächsten 24 Monate<br />
erreicht werden können.<br />
Drei Meilensteine auf dem Weg<br />
nach morgen<br />
Derzeit stehen drei solcher Wegmarkierungen<br />
im Blickfeld. Hierzu gehört zunächst<br />
die Erprobung des bisherigen Konzeptes.<br />
Dazu soll in der ersten Projektphase Anfang<br />
2014 eine Terabit-Verbindung zwischen<br />
zwei benachbarten Knoten des Wissenschaftsnetzes<br />
geschaltet werden. Als<br />
Ergebnis dieses Meilensteins soll gezeigt<br />
werden, dass über das gegenwärtige Glasfasernetz<br />
des Wissenschaftsnetzes mit aktueller<br />
DWDM-Technik eine Verbindung<br />
mit dieser Übertragungskapazität möglich<br />
ist. Hierzu wird eine Versuchsstrecke<br />
unter Verwendung einer Netzschleife zwischen<br />
den Kernnetz-Standorten in Dresden<br />
und Chemnitz eingerichtet.<br />
In einem zweiten Meilenstein soll im gleichen<br />
Jahr die Erprobung der Terabit-Technologie<br />
zwischen der TU Dresden und dem<br />
Leibniz Rechenzentrum in München-Garching<br />
(LRZ) erfolgen. Als Ergebnis dieses<br />
Meilensteins soll gezeigt werden, dass die<br />
technologischen Konzepte für Terabit-Verbindungen<br />
auch für längere Faserstrecken<br />
tauglich sind. Der Zeitpunkt und genaue<br />
Inhalt dieses Meilensteins hängt von den<br />
dann verfügbaren technischen Komponenten<br />
ab.
10 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | WISSENSCHAFTSNETZ<br />
Der für 2015 geplante dritte Meilenstein<br />
schließlich befasst sich mit Fragen der Integrierbarkeit<br />
von Terabit-Technologie in<br />
den laufenden Netzbetrieb. Im Probebetrieb<br />
soll hierbei eine 1-Tbit/s-Verbindung<br />
zwischen Dresden und LRZ etabliert werden,<br />
auf der erste Applikations-Szenarien<br />
zur Anwendung kommen.<br />
Datenübertragung am offenen<br />
Herzen<br />
Die Entwicklung neuer Netzwerk-Karten<br />
gliedert sich in eine Vielzahl einzelner Blöcke,<br />
die später einmal auf einer Karte integriert<br />
werden können. Neben optischen<br />
Komponenten werden für die Transponder<br />
und Transceiver OTU-Framer sowie digitale<br />
Signalprozessoren benötigt, die in der<br />
Laborsituation als einzelne Module kombiniert<br />
werden müssen. Doch was sich im<br />
Laborversuch als funktionierender Prototyp<br />
erwiesen hat, muss sich auf Weitverkehrsstrecken<br />
erst noch bewähren. In der<br />
ersten Projektphase werden die Terabit-<br />
Verbindungen nicht in standardisierten<br />
Einschubmodulen enden, sondern in maßgeschneidert<br />
für den Einsatz im Terabit-<br />
Testbed konfektionierten Komponenten.<br />
Super-Channels für mehr<br />
Kapazität auf dem Lichtleiter<br />
Nicht nur auf standardisierte Module wird<br />
man in der Geburtsstunde der Terabit-Technologie<br />
verzichten müssen, sondern auch<br />
auf die bisherige Einteilung des genutzten<br />
Frequenzbandes, innerhalb dessen die Daten<br />
im Netz übertragen werden. So konnte<br />
man beim Übergang von 10 Gbit/s zu<br />
100 Gbit/s noch durch eine Änderung der<br />
Modulation von On-Off Keying (OOK) zum<br />
Quadrature Phase Shift Keying im Polarisationmultiplex<br />
(DP-QPSK) eine Verzehnfachung<br />
der spektralen Dichte auf 2 Bit/<br />
(s*Hz) unter Beibehaltung des bekannten<br />
50 GHz-Kanals erreichen.<br />
Beim Übergang zur Terabit-Technik wird<br />
hier eine grundlegende Änderung notwendig,<br />
da sich keine weitere Verzehnfachung<br />
der spektralen Dichte unter Einhaltung<br />
einer zu 10 und 100 Gbit/s-Technologie<br />
ähnlichen Reichweitencharakteristik erzielen<br />
lässt. Die aktuelle Entwicklung strebt<br />
eine moderate Erhöhung der spektralen<br />
Dichte durch Einsatz einer höherwertigen<br />
Modulation (16QAM) an. Gleichzeitig<br />
wird das bisherige 50-GHz-Kanalraster aufgelöst.<br />
Terabit-Übertragungen werden in<br />
sogenannten Super-Channels von bis zu<br />
187,5 GHz Breite in mehreren Bändern<br />
realisiert.<br />
Der Einsatz von Super-Channels hat Auswirkungen<br />
auf die im optischen Netz eingesetzte<br />
Multiplexer-Technik. So kommen<br />
in den meisten Netzen heutzutage<br />
ROADM (Reconfigurable Optical Add-Drop<br />
Multiplexer) zum Einsatz, die Kanäle im 50<br />
GHz Raster vermitteln können. Eine Weiterentwicklung<br />
dieser Geräte verfeinert<br />
diese Granularität auf minimal 12,5-GHz<br />
(Flex-Grid ROADM) und ermöglicht dadurch<br />
eine dichtere Anordnung mit der Folge<br />
einer höhere Anzahl von Super-Channels<br />
im C-Band.<br />
Eine weitere Folge der höheren spektralen<br />
Dichte und des damit sinkenden OS-<br />
NR (-6dB gegenüber QPSK) ist eine Reduktion<br />
der maximalen Reichweite der Übertragungen<br />
ohne optisch-elektrisch-optische<br />
(OEO) Regeneration. Durch die extrem<br />
hohe Übertragungskapazität pro Super-<br />
Channel kann es sich jedoch ohnehin als<br />
sinnvoll erweisen, das Netz mit einer ODU-<br />
Switching-Funktionalität auszurüsten, um<br />
Kapazitäten unterhalb von einem Terabit<br />
pro Sekunde vermitteln zu können. Durch<br />
die von diesen Komponenten zwangsweise<br />
durchgeführte Regeneration des Signals<br />
wäre die maximale unregenerierte Reichweite<br />
eines Super-Channels von untergeordneter<br />
Bedeutung.<br />
Integration künftiger<br />
Technologiestufen<br />
Der Auftakt für das Terabit-Projekt wird<br />
mit einem ersten Feldversuch gegeben,<br />
der voraussichtlich im Januar auf einer<br />
Schleife zwischen den Kernnetzstandorten<br />
des X-WiN an der TU Dresden und der<br />
TU Chemnitz durchgeführt wird. Hierbei<br />
wird ein Prototyp der nächsten Trans ceiver-<br />
Generation auf einem 7-Band-Superchannel<br />
zum Einsatz kommen, der parallel zu<br />
den vorhandenen Verbindungen des X-WiN<br />
geschaltet werden wird. Zunächst soll damit<br />
das Verhalten dieses Prototyps außerhalb<br />
der reinen Laborsituation getestet<br />
werden. Auf Basis der Ergebnisse dieses<br />
Feldtestes wird in den folgenden Monaten<br />
an einer Weiterentwicklung der Terabit-Technik<br />
mit dem Fokus auf Integration<br />
der Komponenten und höherer Reichweite<br />
gearbeitet. Nicht zuletzt müssen aber<br />
auch Applikationsszenarien entwickelt<br />
und getestet werden, um die vervielfachte<br />
Übertragungskapazität für Anwender<br />
des X-WiN nutzbar zu machen. So futuristisch<br />
der Gedanke an Terabit-VPNs oder das<br />
Verpacken von 100-Gigabit-Datenströmen<br />
in Trunks der Terabit-Klasse heute noch<br />
anmutet, so sicher ist es, dass Überlegungen<br />
dieser Art in wenigen Jahren auf der<br />
Agenda der meisten Netzbetreiber stehen<br />
werden. M
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
11<br />
Von Hamburg bis nach<br />
Halifax: Atlantiküberquerung<br />
mit 100 Gigabit/s<br />
Während des Sommers ist der GÉANT-Uplink des X-WiN auf zwei Mal 100 Gigabit/s<br />
ausgebaut worden. Für Anwender des Deutschen Forschungsnetzes sind damit echte<br />
100-Gigabit-Verbindungen im europäischen und demnächst auch transatlantischen<br />
Datenverkehr möglich.<br />
Text: Kai Hoelzner<br />
Foto: © Nils Albus – Pixelio
12 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | WISSENSCHAFTSNETZ<br />
Wenige Wochen nach Implementierung<br />
von 100-Gigabit/s-Verbindungen im gesamten<br />
Supercore des X-WiN wurden die<br />
beiden Übergänge zum GÉANT an den Kernnetzstandorten<br />
Frankfurt/Main und Hamburg<br />
mit 100G-Transpondern ausgestattet.<br />
Während der Übergabepunkt in Frankfurt<br />
bereits seit Juni direkt an den 100-Gigabit-<br />
Supercore des X-WiN angebunden ist, wurde<br />
im August der GÉANT-Link in Hamburg<br />
eigens mit einer Hunderter-Zuführung aufgerüstet.<br />
Per ‚long haul‘ ist der Hamburger<br />
Knoten nun mit dem Kernnetzknoten<br />
an der TU-Berlin verbunden. Eine Strecke,<br />
die eigens für den internationalen Datenverkehr<br />
reserviert ist und unterbrechungsfrei<br />
vom Berliner Tiergarten nach Hamburg<br />
Hammerbrook führt. Dort, zwischen Außenalster<br />
und Oberhafen, befindet sich<br />
der neu eingerichtete X-WiN-Standort<br />
Hamburg Wendenstraße, der außerdem<br />
auch in die Strecke Hamburg-Rostock eingebunden<br />
ist.<br />
Anwendern, die sich für X-WiN-Anschlüsse<br />
der höchsten Leistungsklasse entscheiden,<br />
können seither ultrabreitbandige Verbindungen<br />
in den europäischen Wissenschaftsbackbone<br />
GÉANT und – zunächst<br />
noch zu Testzwecken – zu den nordamerikanischen<br />
Wissenschaftsnetzen aufbauen.<br />
Möglich wird dies, da wesentliche Teile<br />
des europäischen Forschungsbackbone<br />
nur wenige Wochen nach dem X-WiN ebenfalls<br />
mit brandaktueller 100-Gigabit-Technik<br />
ausgestattet wurden.<br />
Die eigentliche Atlantiküberquerung findet<br />
statt mittels einer im Juni zunächst<br />
zu Demonstrationszwecken anlässlich der<br />
TERENA-Konferenz geschalteten Wellenlänge,<br />
die das GÉANT via Amsterdam und<br />
New York mit der nordamerikanischen Internet2-Initiative<br />
und dem ESNet verbindet.<br />
Neben den zahlreichen Verbindungen<br />
über 10 Gbit/s sind Europas und nordamerikas<br />
Wissenschaftler seither auch über<br />
100 Gbit/s direkt miteinander verbunden.<br />
Dieser „Advanced North Atlantic 100G-<br />
Pilot“ kurz ANA-100G, will Wissenschaftlern<br />
die Möglichkeit geben, Datenverbindungen<br />
in einer Bandbreite zu nutzen,<br />
die bislang im wesentlichen für die Bündelung<br />
ganzer Internet-Strecken zu so genannten<br />
Trunks genutzt werden. Das Problem<br />
mit 100G-Verbindungen ist bislang allerdings,<br />
dass die Anzahl von Anwendern,<br />
die mit 100-Gigabit-Anschlüssen gesegnet<br />
sind und eine transatlantische Verbindung<br />
dieser Leistungsklasse auch nur annähernd<br />
fordern könnten, derzeit mehr als überschaubar<br />
ist. Zwar verfügen das GÉANT,<br />
Internet2, ESnet und <strong>DFN</strong> heute bereits<br />
über 100G-Backbones, doch gleichen die<br />
leistungsfähigsten Wissenschaftsnetze<br />
vielerorts Ozeanriesen, denen die Einfahrt<br />
in den Hafen erst noch ausgebaggert<br />
werden muss. Nur eine handvoll<br />
Einrichtungen weltweit verfügen derzeit<br />
über 100-Gigabit/s-Anbindungen an<br />
ein Weitverkehrsnetz.<br />
Unter den nationalen Forschungsnetzen<br />
Europas dürfte das Deutsche Forschungsnetz<br />
mit seinen traditionellen Heavy-Usern<br />
wie der RWTH Aachen, der Technischen Universität<br />
Dresden oder dem Karlsruher Institut<br />
für Technologie derzeit die meisten<br />
potenziellen Nutzer für echte 100-Gigabit-<br />
Verbindungen mitbringen.<br />
Zwar sind 100G-Anschlüsse auch in Deutschland<br />
noch eine echte Rarität, doch könnte<br />
sich die Zahl der Einrichtungen, die sich<br />
für die oberste Leistungsklasse im <strong>DFN</strong>-Internet-Dienst<br />
entscheiden, in Deutschland<br />
zumindest rasch vergrößern. Seit Jahren<br />
treibt der <strong>DFN</strong>-<strong>Verein</strong> seine Strategie voran,<br />
eine möglichst große Zahl von Anwendern<br />
optimal, d.h. direkt an das Kernnetz<br />
anzuschließen. Fast alle größeren Wissenschaftseinrichtungen<br />
sind heute direkte<br />
Anrainer der fast 11.000 Kilometer Kernnetz-Verbindungen<br />
des X-WiN. Eine Vielzahl<br />
großer Hochschulen und Forschungseinrichtungen<br />
in Deutschland greift ohne<br />
kostspielige (und in der Regel leistungsschwächere)<br />
Zugangsleitungen direkt auf<br />
das X-WiN zu, da die Streckenführung des<br />
X-WiN in den vergangenen Jahren konsequent<br />
an die geografische Topologie der<br />
deutschen Wissenschaftsstandorte angepasst<br />
wurde.<br />
Neben seinen zwei 100-Gbit/s-Links zum<br />
GÉANT verfügt das <strong>DFN</strong> heute über nationale<br />
und internationale Peerings zu großen<br />
Providern und Exchange-Points und<br />
zu einer Vielzahl kleinerer ISPs mit einer<br />
Gesamtkapazität von annähernd 200<br />
Gbit/s. Diese Außenanbindungen von zusammen<br />
fast 400 Gbit/s sowie die Infrastruktur<br />
des Deutschen Forschungsnetzes,<br />
das mit dem X-WiN zu den derzeit<br />
leistungsstärksten Wissenschaftsnetzen<br />
weltweit gehört, machen das <strong>DFN</strong><br />
heute zu einem der bedeutenden Datenhäfen<br />
der Wissenschaft weltweit. Nicht<br />
vergessen werden sollte, das dies neben<br />
der nationalen 100G-Stategie des <strong>DFN</strong>-<strong>Verein</strong>s<br />
nicht zuletzt auch der tiefen Integration<br />
in den europäischen Wissenschaftsraum<br />
und seine Infrastruktur zu verdanken<br />
ist! M
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
13<br />
7. <strong>DFN</strong>-Forum Kommunikationstechnologien<br />
– Verteilte Systeme im Wissenschaftsbereich –<br />
Montag, 16.06.2014 – Dienstag, 17.06.2014 in Fulda<br />
Der <strong>Verein</strong> zur Förderung eines Deutschen Forschungsnetzes e.V. (<strong>DFN</strong>-<strong>Verein</strong>) veranstaltet gemeinsam<br />
mit der Hochschule Fulda am 16. und 17. Juni 2014 das 7. <strong>DFN</strong>-Forum Kommunikationstechnologien.<br />
Mitveranstalter sind die Zentren für Kommunikation und Informationsverarbeitung in<br />
Forschung und Lehre e.V. (ZKI) und die Gesellschaft für Informatik e.V. Das 7. <strong>DFN</strong>-Forum Kommunikationstechnologien<br />
„Verteilte Systeme im Wissenschaftsbereich“ ist eine Plattform zur Darstellung<br />
und Diskussion neuer Forschungs- und Entwicklungsergebnisse aus dem Bereich TK/IT. Das Forum<br />
dient dem Erfahrungsaustausch zwischen Wissenschaftlern und Praktikern aus Hochschulen, Großforschungseinrichtungen<br />
und Industrie.<br />
TK I: Neue Netztechnologienund<br />
Infrastruktur<br />
• Future Internet (Clean-Slate versus<br />
Evolution, Sicherheit)<br />
• Drahtlose Zugangstechnologien<br />
(WLAN, LTE ...)<br />
• Layer-2 Technologien (Carrier-Grade<br />
Ethernet, …)<br />
• Software Defined Networking (Open-<br />
Flow und andere Ansätze)<br />
• Network Functions Virtualization<br />
(NFV)<br />
• Netze für High Performance<br />
Computing<br />
TK II: Infrastrukturen für<br />
eResearch<br />
• Grid Computing: Community Grids,<br />
Betriebsmodelle, Nachhaltigkeit<br />
• Cloud Computing & Sicherheit<br />
• Service Oriented Computing &<br />
Architectures<br />
• Virtuelle Forschungsumgebungen<br />
• Forschungsdatenmanagement<br />
• Big Data in eScience und dessen<br />
Netzaspekte<br />
• Sicherheit und Datenschutz in<br />
Forschungsnetzen<br />
TK III: ITC Management<br />
• Future Internet Management<br />
• Autonomous Management<br />
• Management Policies<br />
• Identity Management, AAI,<br />
Accounting<br />
• Management von Grids&Clouds<br />
TK IV: IT-Zukunftsperspektiven<br />
• Wissenschaftsvernetzung in<br />
10 Jahren<br />
• Künftige IT-Infrastrukturen fürForschung<br />
und Lehre<br />
• HPC-Infrastrukturen in Europa<br />
• Cloud Services: Herausforderung für<br />
die Governance der Hochschul-IT?<br />
Beitragseinreichung:<br />
Bitte reichen Sie Ihre Beiträge zu<br />
den angegebenen Themenkreisen<br />
bis zum 16.12.2013 ein unter:<br />
http://dfn2014.hs-fulda.de/<br />
Die Beiträge sind im PDF-Format<br />
einzureichen und dürfen max. 10<br />
Seiten lang sein. (Details zum<br />
Format der endgültigen Fassungen<br />
siehe die obige Web-Adresse)<br />
Die angenommenen Beiträge<br />
werden im Konferenzband<br />
veröffentlicht, der im Rahmen der<br />
GI-Edition Lecture Notes in<br />
Informatics erscheinen wird.<br />
Wichtige Termine:<br />
Einreichung der Beiträge:<br />
16. Dezember 2013<br />
Autorenbenachrichtigung:<br />
24. Februar 2014<br />
Abgabe der endgültigen Fassung:<br />
24. März 2014
14 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | WISSENSCHAFTSNETZ<br />
Siehst Du dieses Licht? – Ein<br />
kleiner Einblick in den Betrieb<br />
des optischen Netzes<br />
Der Betrieb des optischen <strong>DFN</strong>-Netzes muss neben Management der Netzinfrastruktur<br />
auch den Betrieb der X-WiN-Standorte berücksichtigen und über ein Konzept zur Wartung<br />
und zur Dokumentation verfügen, dass die Remote-Verwaltung aller Komponenten unterstützt.<br />
Beim Aufbau der optischen Infrastruktur konnte das Betriebskonzept der X-WiN-IP-<br />
Infrastruktur weitergeführt werden, ergänzt um die Spezifika der optischen Plattform.<br />
Text: Bettina Kauth (<strong>DFN</strong>-<strong>Verein</strong>)<br />
Foto: © nektarstock - Photocase
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
15<br />
Im Oktober letzten Jahres wurde es ernst:<br />
Die Migration auf eine neue, mit Hardware-<br />
Komponenten des israelischen Ausrüsters<br />
ECI konzipierte optische Plattform für das<br />
X-WiN, ging in die heiße Phase – die Umschaltung<br />
in den Regelbetrieb. Die Aufgaben,<br />
die sich daraus ableiteten, waren<br />
umfassend und reichten von der Einbindung<br />
des Equipments in die X-WiN-Standort-Verwaltung<br />
bis zum Management (Planung,<br />
Betrieb und Wartung) der optischen<br />
Netzinfrastruktur.<br />
IP-Infrastruktur<br />
• Planung<br />
• Betrieb<br />
• Weiterentwicklung<br />
X-WiN Betrieb<br />
Optische-Infrastruktur<br />
• Planung<br />
• Betrieb<br />
• Weiterentwicklung<br />
Abgesehen von einigen Verstärker-Standorten<br />
sind die optischen Transport-Systeme<br />
(Apollo) von ECI an den <strong>DFN</strong> Router-<br />
Standorten installiert. Bei der Planung und<br />
Auslegung des Aufbaus sind der <strong>DFN</strong>-Netzbetriebsgruppe<br />
die Erfahrungen mit dem<br />
Betrieb der Kernnetz-Standorte zugutegekommen.<br />
So wird z.B. bei der Verkabelung<br />
darauf geachtet, dass Patches oder Links<br />
klar definierten Demarkationspunkten zugeführt<br />
werden – ein Vorgehen, das sich<br />
über die Jahre bewährt hat und für die Einbindung<br />
der optischen Plattform erweitert<br />
werden konnte. Es gibt also reservierte<br />
Patchfelder für Routerports, Apollo-Ports,<br />
Glasfasern und Anwenderleitungen. Wird<br />
z.B. ein neuer Link geschaltet, so benennt<br />
die <strong>DFN</strong>-Netzbetriebsgruppe gegenüber<br />
dem Leitungsprovider den Übergabe-Port<br />
und sorgt für die lokale Weiterverkabelung<br />
bis hin zum Endgerät. Die Kabelführungen<br />
sind in einer Datenbank dokumentiert. Damit<br />
ist es der <strong>DFN</strong>-Betriebsgruppe möglich,<br />
den Verlauf einer Verkabelung bis hin zur<br />
Glasfaser nachzuvollziehen.<br />
Standorte<br />
• Stellfläche<br />
• Rack<br />
• Strom<br />
• Klima<br />
• Zugangsregelung<br />
Abb. 1: Betriebskonzept X-WiN<br />
Wartungskonzept<br />
• Hardware<br />
• Software<br />
• Standort<br />
le unterbrechungsfreie Stromversorgung<br />
(USV). Die USV ist in der Regel so ausgelegt,<br />
dass sie mindestens eine Ausfallzeit<br />
von zwei Stunden überbrücken kann. Beim<br />
Aufbau neuer Hardware am Standort wird<br />
demnach auch immer überprüft, ob die<br />
Kapazität der USV noch ausreichend ist.<br />
Darüber hinaus werden die USVs remote<br />
überwacht, sodass defekte Aggregate erkannt<br />
werden können. Zusätzlich zu den<br />
USVs werden auch die Netzteile der Router<br />
und Apollos überwacht. Fällt eines der<br />
Netzteile aus, werden Alarme an die <strong>DFN</strong>-<br />
Netzbetriebsgruppe und den <strong>DFN</strong>-1stLevel-Support<br />
verschickt. Die Netzbetriebsgruppe<br />
analysiert anhand der vorhandenen<br />
Informationen, ob es sich um defekte<br />
Hardware oder einen Stromausfall am<br />
Standort handelt und leitet gegebenenfalls<br />
Entstörungsmaßnahmen ein.<br />
Während sich bei der Hardwareverwaltung<br />
am Standort viele Synergien zwischen optischer<br />
Plattform und IP-Plattform ergeben<br />
haben, wird zur Konfiguration und Überwachung<br />
des optischen Equipments eine<br />
zusätzliche, vom Hersteller ECI entwickelte<br />
Management-Software (Lightsoft)<br />
benötigt. Lightsoft gliedert das Manage-<br />
Konfiguration<br />
Überwachung<br />
Dokumentation<br />
• Standort<br />
• IP-Infrastruktur<br />
• Optische Infrastruktur<br />
Ein weiteres Designprinzip des X-WiNs ist,<br />
die Ausfallswahrscheinlichkeit dadurch<br />
zu reduzieren, dass Komponenten redundant<br />
ausgelegt sind. Das spiegelt sich<br />
in der Netztopologie wieder – alle Knoten<br />
sind mit mindestens zwei Nachbarn über<br />
disjunkte Wege verbunden – und findet<br />
sich auch in der Vermittlungshardware.<br />
So verfügen sowohl die Router als auch<br />
die optischen Multiplexer über zwei Prozessor-Boards<br />
und zwei Netzteile zum Anschluss<br />
an den Normalstrom und eine lokament<br />
in zwei Ebenen. In der übergeordneten<br />
Schicht werden die physikalische<br />
und optische Topologie dargestellt. Alarme<br />
werden an diese Schicht durchgereicht und<br />
Konfigurationen wie z.B. die Schaltung von<br />
Wellenlängen können hier durchgeführt<br />
werden und an die beteiligten optischen<br />
Komponenten vererbt. Mit dem in Lightsoft<br />
integrierten Element Management System<br />
(EMS) ist ein direkter Zugriff auf die optischen<br />
Transportsysteme und die darin<br />
verbauten Elemente (Amplifier, Transponder,<br />
Mux etc.) möglich. Schnittstellenspezifische<br />
Informationen wie z.B. optische<br />
Sende- und Empfangspegel oder Performance-Daten<br />
können über das EMS abgefragt<br />
werden. Ebenso können hier kartenspezifische<br />
Konfigurationen durchgeführt<br />
werden, wie z.B. das Schalten von Loops.<br />
Das Herzstück des Network-Management-<br />
Systems (NMS) ist der NMS-Server, der im<br />
X-WiN in Bezug auf Hardware und Standort<br />
redundant ausgelegt ist. Zwischen den<br />
Apollos und dem NMS-Server werden Management-Informationen<br />
(Statusinformationen,<br />
Konfigurationsanweisungen) ausgetauscht.<br />
Die Daten werden über den Optical<br />
Supervisor Channel (OSC) vermittelt,
16 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | WISSENSCHAFTSNETZ<br />
der exklusiv für Management-Verkehr zur<br />
Verfügung steht. Der OSC verfügt über eine<br />
Bandbreite von 100 Mbps. Mit einer Wellenlänge<br />
von 1510 nm liegt er außerhalb<br />
des C-Bands, das für die Konfiguration der<br />
Produktionswellenlängen vorgesehen ist.<br />
Die Anbindung der beiden NMS-Server an<br />
das optische Netz erfolgt über die Ethernet-Schnittstelle<br />
des jeweils lokalen Apollos.<br />
Die Apollos verfügen über einen Route-Prozessor<br />
und verteilen die Topologie-<br />
Informationen über OSPF.<br />
<strong>DFN</strong>-1st-Level<br />
Traps senden<br />
<strong>DFN</strong>-Netzbetriebsgruppe<br />
Konfiguration<br />
NMS-Server<br />
Netzinfo abrufen<br />
Konfiguration<br />
Netzinfo<br />
abrufen<br />
ECI Support<br />
Abb. 3: Betriebsgruppen, die auf den Server des Network-Management-Systems (NMS) zugreifen<br />
Damit die <strong>DFN</strong>-Netzbetriebsgruppe auf den<br />
NMS-Server zugreifen kann, muss eine IP-<br />
Verbindung zum X-WiN bestehen. Nun ist<br />
die Idee naheliegend, sich die Routingfunktionalität<br />
der Apollos zunutze zu machen<br />
und sie über IP-Infrastruktur des X-WiNs<br />
miteinander zu verbinden und so den Betriebsgruppen<br />
einen direkten Zugang zu<br />
den Geräten zu schaffen. Um den Zugriff<br />
auf die Apollo-Systeme und die NMS-Server<br />
von außen zu unterbinden, erfolgt das<br />
Routing im IP-Netz über ein Virtual Private<br />
Network (VPN). Damit wird zwar die X-WiN-<br />
Infrastruktur als Transportnetz genutzt,<br />
aber die Routinginformationen des VPNs<br />
tauchen nicht in der allgemeinen Routingtable<br />
auf. Apollos an den Routerstandorten<br />
(Abbildung 1) propagieren die OSPF-<br />
Topologie ins Management-VPN. Somit können<br />
über das VPN auch Apollos erreicht<br />
werden, die nicht an Routerstandorten<br />
installiert sind.<br />
Während der Aufbauphase konnte durch<br />
das VPN die Konnektivität zwischen den<br />
NMS-Servern und den Apollos, bei einer<br />
in der Migration befindlichen unterliegenden<br />
Netztopologie gewährleistet werden.<br />
Auch die optische Plattform ist in die 24x7-<br />
Überwachung des X-WiNs eingebunden.<br />
Der <strong>DFN</strong>-1stLevel erhält über den NMS-Server<br />
Alarme, die es ihm ermöglichen, Ausfälle<br />
in der optischen Plattform zu erkennen<br />
und Entstörungsmaßnahmen einzuleiten.<br />
Dabei meldet er Probleme an die <strong>DFN</strong>-Betriebsgruppe<br />
oder an den ECI-Support, der<br />
derzeit den DWDM-Service erbringt.<br />
Apollo<br />
Apollo<br />
<strong>DFN</strong> Stuttgart<br />
Apollo<br />
NMS-Server<br />
Management-VPN<br />
Apollo<br />
Apollo<br />
Apollo<br />
Apollo<br />
Apollo<br />
NMS-Server<br />
Abb. 2: Overlay-Network für das X-WiN-Management: Innerhalb des Wissenschaftsnetzes ist auf<br />
Basis der IP-Infrastruktur eine eigene Management-Wolke definiert, die den Zugang zu Routern und<br />
optischer Vermittlungstechnik ermöglicht.<br />
Die <strong>DFN</strong>-Netzbetriebsgruppe und die Kollegen<br />
von ECI stehen in engem Kontakt. In<br />
wöchentlichen Besprechungen tauschen<br />
sich beide Gruppen über den Zustand des<br />
Netzes und anstehende Änderungen aus.<br />
Neben tagesaktuellen Aufgaben werden<br />
Projekte zur Weiterentwicklung des Netz-<br />
Managements diskutiert. Derzeit wird z.B.<br />
daran gearbeitet, Performance-Daten wie<br />
die Auslastung von Strecken oder optische<br />
Pegel per SNMP auszulesen und im Performance-Monitoring-System<br />
des <strong>DFN</strong> darzustellen.<br />
ECI zeigt sich gegenüber solchen<br />
spezifischen Anforderungen des <strong>DFN</strong> offen.<br />
Es liegt in der Natur der Sache, dass sich die<br />
Ansprüche an das optische Netz stetig weiterentwickeln<br />
und sich damit auch neue<br />
Herausforderungen und Fragestellungen<br />
für die Betriebsgruppen stellen. Die konstruktive<br />
Zusammenarbeit zwischen ECI<br />
und <strong>DFN</strong>-Netzbetrieb stimmt zuversichtlich,<br />
dass auch in Zukunft gute Lösungen<br />
gefunden werden. M
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
17<br />
Plakette drauf!<br />
<strong>DFN</strong>-MailSupport besteht Audit zur IT-Sicherheit<br />
Im kommenden Jahr wird <strong>DFN</strong>-MailSupport den Anwendern im Wissenschaftsnetz nach<br />
breit angelegter Pilotierung als regulärer Dienst zur Verfügung stehen. Im Oktober wurde<br />
ein Sicherheits-Audit erfolgreich abgeschlossen, das Voraussetzung dafür ist, den Dienst<br />
künftig offiziell als Auftragsdatenverarbeitung für die Hochschulen und Forschungseinrichtungen<br />
durchzuführen. Während des letzten Jahres wurden hierfür alle Prozesse<br />
und Verfahren analysiert und in Dokumenten festgehalten. Doch bevor <strong>DFN</strong>-MailSupport<br />
in den Regelbetrieb geht, wird der Dienst noch im Hinblick auf Datenschutz auditiert.<br />
Text: Ulrich Kähler (<strong>DFN</strong>-<strong>Verein</strong>)<br />
Foto: © Rainer Sturm – Pixelio
18 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | WISSENSCHAFTSNETZ<br />
Neu in der <strong>DFN</strong>-Dienstfamilie<br />
Das Portfolio des <strong>DFN</strong>-<strong>Verein</strong>s wird um einen weiteren Dienst erweitert.<br />
<strong>DFN</strong>-MailSupport bietet Anwendern im <strong>DFN</strong> eine zentrale<br />
Malware-Erkennung und Bewertungsfunktionen im Hinblick<br />
auf mögliche Spam-E-Mails. Eingehende E-Mails werden nicht<br />
mehr wie bislang direkt an die Hochschulen übertragen, sondern<br />
werden zuvor von <strong>DFN</strong>-MailSupport geprüft und gegebenenfalls<br />
als Spam oder Malware markiert.<br />
Nach einer breit angelegten Pilotphase geht <strong>DFN</strong>-MailSupport im<br />
kommenden Jahr in den Regelbetrieb und wird vollwertiges Mitglied<br />
in der Dienste-Familie des <strong>DFN</strong>-<strong>Verein</strong>s. Etwa 30 Einrichtungen<br />
haben während der Pilotierung mitgewirkt, die technische<br />
Ausgestaltung des Dienstes den Bedürfnissen der Forschungseinrichtungen<br />
anzupassen. Während einige Anwender <strong>DFN</strong>-Mail-<br />
Support zunächst noch in Test-Domains betreiben, wickeln andere<br />
bereits ihren gesamten E-Mail-Verkehr über den Dienst ab.<br />
So nutzen die TU Clausthal, die Universität Hannover, die Max-<br />
Planck-Gesellschaft oder die Gesellschaft zur Wissenschaftlichen<br />
Datenverarbeitung in Göttingen <strong>DFN</strong>-MailSupport für sämtliche<br />
Domains in ihrem Bereich. Zurzeit werden durch das System ca.<br />
200.000 Postfächer versorgt, die für ein Mail-Aufkommen von mehr<br />
als 20 Millionen Mails pro Monat sorgen.<br />
Während es für die Pilot-Anwender galt, den Dienst in die internen<br />
Prozesse ihrer Einrichtungen zu integrieren, ging es aus<br />
Sicht des <strong>DFN</strong>-<strong>Verein</strong>s nicht nur um das Testen von Technik, sondern<br />
auch darum, den Dienst im Hinblick auf eine anschließende<br />
Sicherheits- und Datenschutz-Zertifizierung durchgreifend<br />
zu analysieren und zu dokumentieren.<br />
Hohe Anforderungen an Sicherheit und<br />
Datenschutz<br />
Aus datenschutzrechtlicher Perspektive stellt <strong>DFN</strong>-MailSupport<br />
eine klassische Auftragsdatenverarbeitung dar, bei der der <strong>DFN</strong>-<br />
<strong>Verein</strong> als Auftragnehmer für die Wissenschaftseinrichtungen in<br />
ihrer Rolle als Auftraggeber fungiert. Dies stellt im Regelbetrieb<br />
hohe Ansprüche an Sicherheit und Datenschutz.<br />
Um den Sicherheitsanforderungen seitens der Wissenschaft zu<br />
begegnen, wurden zahlreiche technische und organisatorische<br />
Maßnahmen (TOMs) ergriffen, mit denen den gesetzlichen Anforderungen<br />
bezüglich Datensicherheit und -schutz Genüge getan<br />
wurde. Diese besonderen Maßnahmen galt es, im zurückliegenden<br />
Jahr per Sicherheits-Audit überprüfen und testieren zu<br />
lassen. Als Ergebnis hat <strong>DFN</strong>-MailSupport vom BSI-lizenzierten<br />
Auditor ein Testat des Typs „IT-Grundschutz Einstiegsstufe“<br />
erhalten.<br />
Die formalen Grundlagen der Auditierung waren die Zertifizierung<br />
nach ISO 27001, die BSI-Standards 100-1, 100-2 und 100-3 sowie<br />
die IT-Grundschutzkataloge des Bundesamtes für Sicherheit<br />
in der Informationstechnik. Die drei BSI-Standards beziehen sich<br />
auf die Bereiche „Managementsysteme für Informationssicherheit“<br />
(ISMS), die IT-Grundschutz-Vorgehensweise sowie die Risikoanalyse<br />
auf der Basis von IT-Grundschutz.<br />
Sicherheit muss nachhaltig sein<br />
Auf eine sehr einfache Formel gebracht dient dieses Sicherheits-<br />
Audit nicht allein der Beantwortung der Frage, ob ein Dienst wie<br />
im vorliegenden Fall <strong>DFN</strong>-MailSupport gängigen Anforderungen<br />
der IT-Sicherheit entspricht. Die übergeordnete Leitfrage lautet<br />
vielmehr, ob im Zusammenhang mit dem Dienst Prozesse<br />
und Strukturen etabliert wurden, die Datenschutz und Sicherheit<br />
dauerhaft ermöglichen. Es muss sichergestellt sein, dass bei<br />
Veränderung der aktuellen Situation, etwa beim Wechsel von<br />
Mitarbeitern, bei technischen Weiterentwicklungen, aber auch<br />
bei veränderten Anforderungen an den Dienst auch künftig ein<br />
ausreichendes Sicherheitsniveau garantiert sein wird. Insbesondere<br />
die Pflicht zur Dokumentation aller Aspekte eines solchen<br />
Dienstes stellt eine der großen Aufgaben dar. Bevor ein Testat<br />
erstellt werden kann, müssen erst sämtliche im Zusammenhang<br />
mit dem Dienst etablierten Strukturen und Verfahren nachvollziehbar<br />
und wirklichkeitskongruent dokumentiert werden.<br />
In der Praxis bedeutet die Auditierung eines Dienstes weniger<br />
eine Prüfung als vielmehr eine vorgängige Reflexion und Anpassung<br />
der Geschäftsprozesse an einen festgelegten Standard. Hierbei<br />
werden in der Regel eine Fülle von historisch gewachsenen<br />
Aufgaben- und Rollenverteilungen, mit denen man unter rein<br />
technischen Gesichtspunkten über viele Jahre gut zurechtgekommen<br />
ist, vollkommen neu definiert.<br />
Das Audit<br />
Das eigentliche Audit wurde in gesamten Monat September 2013<br />
durchgeführt, wobei die Prüfung schließlich gemäß der ISO-Norm<br />
27001 auf Basis von IT-Grundschutz erfolgte.<br />
Dabei orientiert sich die Auditierung an den vom Bundesamt<br />
für Sicherheit in der Informationstechnik (BSI) im Grundschutz<br />
verankerten ca. 700 Fragen, mit denen sämtliche Stationen einer<br />
Wertschöpfungskette in Unternehmen oder Organisationen<br />
erfasst werden. Das Spektrum der Prüfung reicht von sehr komplexen<br />
organisatorischen Fragen – etwa der Rollenverteilung<br />
bei der Durchführung von Geschäftsprozessen und deren Verankerung<br />
in das allgemeine Management – bis hin zu sehr konkreten<br />
technischen Detail-Fragen. Gegenstand der Betrachtung<br />
sind unter anderem die Themen: Organisation, Personal, Wei-
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
19<br />
terbildung und Schulung, Gebäude, Notfallmanagement, Kryptokonzept,<br />
Hard- und Software-Management, Archivierung und<br />
Änderungsmanagement. Nach Identifizierung aller relevanten<br />
technischen Komponenten der Diensterbringung wird in einem<br />
nächsten Schritt festgestellt, wie hoch der jeweilige Schutzbedarf<br />
dieser Bestandteile ist. Diese Sicherheitsziele werden in Bezug<br />
auf Verfügbarkeit, Daten-Integrität und Vertraulichkeit definiert.<br />
Jede einzelne Komponente kann in Bezug auf diese drei Ziele<br />
ein anderes Anforderungsprofil haben. So kann beispielsweise<br />
ein Backup-Verfahren geringe Anforderungen an Verfügbarkeit<br />
haben, aber hohe Ansprüche an Integrität stellen, während hingegen<br />
die Rechner-Hardware höchste Verfügbarkeit erfordert,<br />
aber nur normale Anforderungen in Bezug auf Integrität stellt.<br />
Das konkrete Vorgehen bei der Auditierung von <strong>DFN</strong>-MailSupport<br />
bestand darin, die Übereinstimmung von Dokumentation<br />
und tatsächlicher Realisierung einzelner, sicherheitsrelevanter<br />
Maßnahmen zu überprüfen. Darüber hinaus galt es festzustellen,<br />
ob die realisierten und dokumentierten Maßnahmen tauglich<br />
sind, den angestrebten Schutzbedarf bzw. die Sicherheitsziele<br />
zu erreichen. Im Ergebnis stellte die Auditierung des Dienstes<br />
<strong>DFN</strong>-MailSupport fest, dass die Anforderungen für das angestrebte<br />
Auditor-Testat ‚Einstiegsstufe‘ durch den <strong>DFN</strong>-<strong>Verein</strong><br />
erfüllt wurden. Obwohl für das Testats-Niveau nicht erforderlich,<br />
sind bereits fast alle Maßnahmen für die nächsthöhere Qualifizierungsstufe<br />
‚Zertifizierung‘ getroffen. Dadurch werden künftige<br />
Auditierungen wesentlich erleichtert. M<br />
2014 im Regelbetrieb<br />
Nach erfolgreicher Testierung der Datensicherheit<br />
des Dienstes wird <strong>DFN</strong>-MailSupport derzeit einer<br />
Datenschutzauditierung unterzogen, die bis Ende<br />
des Jahres abgeschlossen sein soll. Gegenstand<br />
dieses Audits ist die Prüfung der sauberen Definition,<br />
Durchführung und Dokumentation sämtlicher<br />
Verfahren beim Bearbeiten von personenbezogenen<br />
Daten. <strong>DFN</strong>-MailSupport kommt in besonderer Weise<br />
mit Datenschutzproblematiken in Berührung, da jede<br />
einzelne Mail bereits dem Datenschutz unterliegt<br />
und also weder an Dritte weitergegeben werden darf,<br />
noch im Fall von Virenverseuchung gelöscht werden<br />
darf.<br />
Nach Abschluss des Datenschutzaudits wird <strong>DFN</strong>-<br />
MailSupport ab 2014 als regulärer Dienst des <strong>DFN</strong>-<br />
<strong>Verein</strong>s in den Regelbetrieb gehen. Zusätzliche<br />
Kosten für die Anwender entstehen allerdings auch<br />
in zertifizierter Form keine. Obwohl es sich um eine<br />
‚Auftragsdatenverarbeitung‘ handelt, wird der<br />
Dienst mit dem Entgelt für den <strong>DFN</strong>Internet-Dienst<br />
abgegolten.
20 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | WISSENSCHAFTSNETZ<br />
Kurzmeldungen<br />
100G im Haus!<br />
Im November sind die ersten 100Gigabit/s-<br />
Wellenlängen für Anwender im Wissenschaftsnetz<br />
geschaltet worden. Nach der<br />
Migration des Supercore des X-WiN auf<br />
100-Gigabit-Technologie stehen damit erste<br />
Strecken zur Verfügung, die bis in die Einrichtungen<br />
einzelner Anwender reichen.<br />
Künftig werden die Rheinisch-Westfälische<br />
Technische Hochschule Aachen (RWTH), die<br />
Technische Universität Dresden und das<br />
Karlsruher Institut für Technologie (KIT)<br />
dedizierte Wellenlängen mit 100 Gigabit/s<br />
über das X-WiN nutzen können. Damit soll<br />
vor allem den Bedarfen spezialisierter Wissenschaftscommunities<br />
in nationalen und<br />
internationalen Forschungsprojekten entgegengekommen<br />
werden.<br />
Derzeit laufen an allen drei Einrichtungen<br />
Test-Übertragungen auf den Wellenlängen.<br />
Das KIT plant, diese innerdeutsche Struktur<br />
dedizierter Wellenlängen unter Einbindung<br />
des GÉANT bis zum CERN nach Genf auszuweiten.<br />
Das KIT fungiert bei den LHC-Experimenten<br />
als Tier1-Zentrum und zeichnet<br />
hier für die Verarbeitung und Verteilung<br />
von Experimentaldaten des Large Hadron<br />
Colliders in Deutschland verantwortlich.<br />
Nach Abschluss der Tests im X-WiN werden<br />
Aachen, Karlsruhe wie auch Dresden ihre<br />
‚100G-Trials’ unter Einbindung der bestehenden<br />
100G-Verbindung zwischen GÉANT<br />
und den nordamerikanischen Forschungsnetzen<br />
bis in die USA ausweiten (siehe hierzu<br />
auch S. 11 in diesem Heft).<br />
Für Aachen und Dresden sind die Wellenlängen<br />
nicht die ersten 100G-Anschlüsse<br />
ihrer Einrichtungen. Beide Hochschulen<br />
verfügen bereits über 100G-Anbindungen<br />
der Kategorie I14 bzw. CI14 im <strong>DFN</strong>Internet-Dienst.<br />
Derzeit werden die Hunderter-<br />
Zuleitungen in Aachen und Dresden noch<br />
mit Bündelungen mehrerer 10-Gigabit-Anschlüsse<br />
betrieben. Mittelfristig ist an beiden<br />
Standorten mit dem Einsatz von nativen<br />
100G-Transceivern zu rechnen.<br />
Das Interesse der Einrichtungen an Anschlüssen<br />
der höchsten Kategorie in <strong>DFN</strong>Internet<br />
und an dedizierten 100G-Wellenlängen<br />
für einzelne Projekte und Communities<br />
belegt die enorm gestiegene Bedeutung,<br />
die Datenübertragungen der obersten<br />
Leistungsklasse für die Wissenschaft inzwischen<br />
haben. Dabei stellen Anschlüsse<br />
dieser Leistungsklasse im allgemeinen Internet<br />
wie in den Forschungsnetzen derzeit<br />
noch eine Ausnahme dar. Europaweit verfügt<br />
Deutschland inzwischen über die am<br />
modernsten ausgebaute Netzinfrastruktur<br />
für die Wissenschaft und liegt damit<br />
gleichauf mit den nordamerikanischen Forschungsnetzen.<br />
Die Erkenntnis, die aus den derzeitigen<br />
Tests der 100G-Wellenlängen bereits heute<br />
gewonnen wurde, lautet, dass 100-Gigabit-Technologie<br />
nicht nur im Supercore<br />
des X-WiN, sondern auch in den Einrichtungen,<br />
die an das Wissenschaftsnetz angeschlossen<br />
sind, prinzipiell beherrschbar ist.<br />
Hervorgehoben werden muss, dass für 100-<br />
Gigabit-Technologie keinerlei Modifikationen<br />
und Nachrüstungen im X-WiN vonnöten<br />
sind, da das Wissenschaftsnetz in<br />
seiner derzeitigen Ausbaustufe bereits voll<br />
in Hinblick auf 100G-Technologie geplant<br />
wurde. M<br />
Campus Fußgängerzone<br />
Mit <strong>DFN</strong>Roaming/eduroam können registrierte<br />
Nutzer einfach, kurzfristig und ohne<br />
zusätzliche Anmeldung einen Zugang<br />
zum Wissenschaftsnetz nicht nur in ihrer<br />
eigenen sondern auch bei anderen wissenschaftlichen<br />
Einrichtungen bekommen.<br />
<strong>DFN</strong>Roaming ist dabei in entsprechende<br />
europäische Vorhaben eingebettet<br />
(s. www.eduroam.org), die auch grenzüberschreitend<br />
eine transparente Nutzung<br />
der Wissenschaftsnetze ermöglichen soll.<br />
Allein in Deutschland stehen Nutzern mehr<br />
als 70.000 Access-Points an derzeit 770<br />
wissenschaftlichen Standorten zur Verfügung.<br />
Einen deutlichen Schritt in die Zukunft<br />
des wissenschaftlichen Roamings unternehmen<br />
nun die in Ingolstadt ansässigen<br />
Hochschulen TH Ingolstadt (THI) und KU<br />
Eichstätt-Ingolstadt: Vor kurzem haben die<br />
Stadt Ingolstadt und die THI ein Projekt namens<br />
„eduroam off campus“ vereinbart,<br />
mit dem die bisherige Beschränkung von<br />
<strong>DFN</strong>Roaming/eduroam auf Campus-Bereiche<br />
der Hochschulen aufgehoben wird. Ein<br />
Roaming-Zugänge mit hinreichender Bandbreite<br />
für Wissenschaftler und Studierende<br />
sollen nun auch außerhalb des Campus<br />
angeboten werden. Geplant ist ein wissenschaftliches<br />
Roaming-Netz auf allen Access-Points<br />
des Ingolstädter ‚IN- City Free<br />
WiFi‘ auszustrahlen. Die Kooperation ermöglicht<br />
allen Nutzern von <strong>DFN</strong>Roaming/<br />
eduroam, sich von einer Vielzahl innerstädtischer<br />
Access-Points aus in das Netz der<br />
Hochschule einzuloggen von dort in das<br />
Wissenschaftsnetz zu roamen. M
<strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
21<br />
2. <strong>DFN</strong>-Workshop Datenschutz<br />
10./11. Dezember 2013 in Hamburg<br />
Im Auftrag des <strong>DFN</strong>-<strong>Verein</strong>s veranstaltet<br />
das <strong>DFN</strong>-CERT am 10. und 11. Dezember<br />
2013 den 2. <strong>DFN</strong>-Workshop Datenschutz<br />
im Grand Elysée Hotel in Hamburg. Nach<br />
dem Erfolg mit mehr als 150 Teilnehmern im<br />
letzten Jahr, möchte der <strong>DFN</strong>-<strong>Verein</strong> auch<br />
in diesem Jahr den Austausch zwischen den<br />
in den Organisationen für die Einhaltung<br />
des Datenschutzes verantwortlichen Personen<br />
(insbesondere Entscheider, Datenschutzbeauftragte,<br />
Justitiare) zu Fragen der<br />
praktischen Umsetzung des Datenschutzes<br />
fördern. Zugleich soll auch wieder die<br />
Möglichkeit zu Erörterung und Diskussion<br />
von Anforderungen mit den geladenen<br />
Experten aus der Praxis gegeben werden.<br />
Folgende Themen werden im Mittelpunkt<br />
des 2. <strong>DFN</strong>-Workshops Datenschutz stehen:<br />
Cloud-Computing und Bring-Your-Own-<br />
Device (BYOD) sind die Stichworte der<br />
Stunde, wenn es um moderne Arbeitsformen<br />
geht. Entsprechend groß ist der Erwartungsdruck<br />
der Nutzerschaft auch in<br />
Hochschulen und Forschungseinrichtungen.<br />
Gerade die Enthüllungen zu PRISM und<br />
TEMPORA haben aber gezeigt, dass in Bereichen<br />
wie Wissenschaft, Forschung und<br />
Lehre Vorsicht geboten ist. Mit seiner Keynote<br />
„Wissenschaft in den Wolken“ wird<br />
Dr. Thilo Weichert (Leiter Unabhängiges<br />
Landeszentrum für Datenschutz Schleswig-Holstein)<br />
insbesondere auf die Probleme<br />
der Nutzung von Cloud-Diensten<br />
eingehen. Im Anschluss werden Professor<br />
Rainer W. Gerling und Ass. iur. Heidi<br />
Schuster (beide Max-Planck-Gesellschaft)<br />
den Fokus auf den Regelungsbedarf bei der<br />
Nutzung von BYOD und Consumer-Cloud<br />
in Forschungseinrichtungen richten. Dr.<br />
Patrick Grete (Bundesamt für Sicherheit<br />
in der Informationstechnik) wird anschließend<br />
auf die Herausforderungen und Lösungsansätze<br />
für die Informationssicherheit<br />
eingehen.<br />
Das weitere Schwerpunktthema des Workshops<br />
ist der Umgang mit rechtlichen Problemen<br />
beim E-Mail-Dienst und bei der Archivierung<br />
von E-Mails. Zu den Anforderungen<br />
einer rechtssicheren Nutzung und Archivierung<br />
wird Rechtsanwalt Joerg Heidrich<br />
(Justiziar des Heise-Verlags) vortragen. Anschließend<br />
werden die Kollegen der ZEN-<br />
DAS den Blick auf die hochschulspezifischen<br />
Aspekte und hierbei insbesondere<br />
auf das rechtliche Dickicht beim Zugriff auf<br />
die E-Mailbox von Nutzern und lebenslange<br />
E-Mail-Adressen richten. Danach wird<br />
Jochem Pattloch (<strong>DFN</strong>-<strong>Verein</strong>) den neuen<br />
Dienst <strong>DFN</strong>-MailSupport vorstellen.<br />
Das vollständige Programm und die Anmeldung<br />
sind auf der folgenden Webseite<br />
des <strong>DFN</strong>-CERT verfügbar: https://www.<br />
dfn-cert.de/veranstaltungen/datenschutzworkshop2013.html<br />
Foto: © Grand Elysée Hamburg
22 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | INTERNATIONAL<br />
GN3plus: GÉANT vernetzt die Welt<br />
Text: Dr. Christian Grimm (<strong>DFN</strong>-<strong>Verein</strong>)<br />
Projekttitel: Multi-Gigabit European Research and<br />
Education Network and Associated Services<br />
Kurzbezeichnung: GN3plus<br />
Förderart:<br />
Kombination aus Collaborative Project (CP)<br />
und Coordination and Support Actions (CSA)<br />
Dauer:<br />
24 Monate<br />
Projektlaufzeit: 1. April 2013 – 31. März 2015<br />
Budget: 84.283.018 €<br />
EU-Förderung: 41.800.000 €<br />
Webseite:<br />
www.geant.net<br />
Nach GN2 und GN3 ist das im April gestartete<br />
GN3plus das dritte Projekt zum Aufbau<br />
und Betrieb des europäischen Wissenschafts-Backbones<br />
GÉANT. Wie auch<br />
die Vorgänger wird GN3plus gemeinsam<br />
von der Europäischen Union und den nationalen<br />
Forschungs- und Entwicklungsnetzen<br />
(National Research and Education<br />
Networks, NRENs) in Europa finanziert. Mit<br />
GN3plus wird die ungehinderte Übertragung<br />
von wissenschaftlichen Daten ermöglicht<br />
und ein freier Wissenstransfer<br />
für Forschung und Lehre gefördert. Auch<br />
wenn aufgrund der Partner und der Förderung<br />
dieser Ansatz zunächst auf die Grenzen<br />
innerhalb Europas zielt, ist die Einbeziehung<br />
internationaler Kommunikationsnetze<br />
und wissenschaftlicher Kooperationen<br />
ausdrücklich erwünscht.<br />
Das strategische Ziel von GN3plus ist ebenso<br />
klar wie überzeugend: Die flächendeckende<br />
Förderung der technischen Kommunikation<br />
und Kollaboration ermöglicht<br />
die Zusammenarbeit innerhalb der verschiedensten<br />
Disziplinen – Europa wird<br />
zu einem weltweiten Begegnungs- und Austauschpunkt<br />
der Wissenschaften und nicht<br />
zuletzt dadurch selbst zu einem Zentrum<br />
des Wissens und der Forschung. Diese Entwicklung<br />
macht sich heute bereits an der<br />
Verwendung des Begriffs GÉANT fest. Bezeichnete<br />
GÉANT ursprünglich das Kommunikationsnetz,<br />
wird unter GÉANT heute<br />
besonders im internationalen Kontext<br />
die gesamte Community der europäischen<br />
NRENs verstanden. So ist aus dem ehemals<br />
technischen Gebilde GÉANT mittlerweile<br />
eine echte Marke von globaler Bedeutung<br />
geworden.<br />
Das Kommunikationsnetz GÉANT ist ein<br />
vitales Element der Europäischen e-Infrastruktur.<br />
Es sorgt zuverlässig für die Hochgeschwindigkeits-Datenkommunikation<br />
zwischen den europäischen NRENs und<br />
ist direkt mit 65 weiteren NRENs weltweit<br />
verbunden. Aus den Service Activities (SA)<br />
in GN3plus wird der Betrieb und Ausbau<br />
dieses Netzes und die Bereitstellung der<br />
Dienste organisiert. Gemeinsam mit NRENs<br />
und ausgewählten Endanwendern werden<br />
neue Dienste erprobt und in den Regelbetrieb<br />
überführt. Hierdurch wird der kooperative<br />
Ansatz von GÉANT wesentlich<br />
befördert, wobei eine Ausdehnung über<br />
die Grenzen von Europa ausdrücklich erwünscht<br />
ist. Bandwidth-on-Demand oder<br />
Multipoint-Virtual-Private-Networks stehen<br />
oben auf der Liste der netznahen<br />
Dienste, die als Prototypen erprobt und<br />
in den Betrieb überführt werden sollen.<br />
Doch nicht allein technische Herausforderungen<br />
kennzeichnen die Service Acti-<br />
vities. Gemeinsam gilt es, die organisatorischen<br />
Aspekte wie Fehlermanagement,<br />
Nutzungsvereinbarungen und Entgeltmodelle<br />
festzulegen. Auch bekannte Dienste<br />
wie eduroam, eduGAIN oder eduPKI werden<br />
bereits traditionell über die Service<br />
Activities koordiniert und befördert. Neu<br />
hinzugekommen sind Cloud-Dienste sowie<br />
die mobile Kommunikation, die beide<br />
längst das Forschungsstadium verlassen<br />
haben und entsprechend auch in GN3plus<br />
betriebsnahe Untersuchungsgegenstände<br />
darstellen.<br />
Eine zweite Säule in GN3plus bilden die<br />
Joint Research Activities (JRA). Zunächst frei<br />
von betrieblichen Zwängen werden hier die<br />
Netze der Zukunft geplant: Welche Technologien<br />
könnten Netze der übernächsten<br />
Generation verwenden? Was wäre die<br />
optimale Plattform zur Erforschung derartiger<br />
Ansätze, selbstverständlich verteilt<br />
durch mehrere NRENs? Was ist die sichere<br />
digitale Identität eines einzelnen Nutzers<br />
und wie kann sie eines Tages in den<br />
Diensten von GÉANT verwendet werden,<br />
um Vertraulichkeit und Authentizität zu<br />
gewährleisten? Die Joint Research Activities<br />
werden in GN3plus erstmals durch sogenannte<br />
Open Calls ergänzt: Aus einem<br />
separaten Budget innerhalb des Projekts<br />
wurden verschiedene Projektthemen ausgeschrieben,<br />
auf die sich auch kleinere Forschergruppen<br />
bewerben konnten. Der erste<br />
Open Call führte bereits zu 70 Anträgen,<br />
von denen 21 bewilligt wurden.<br />
Hervorzuheben ist die Service Activity SA2,<br />
die mit dem Ansatz ‚Testbed-as-a-Service‘<br />
eine Brücke zwischen Service und Joint Research<br />
Activities schlägt. Neben einem permanenten<br />
virtuellen Testbed, das als ‚Dynamic<br />
Packet Network‘ Forschung im Bereich<br />
Software Defined Networking unterstützen<br />
möchte, steht Wissenschaftlern
INTERNATIONAL | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
23<br />
in GN3plus auch ein Dark-Fibre-Testbed zur<br />
Verfügung, mit dem innovative optische bzw.<br />
photonische Technologien auf Langstrecken-<br />
Verbindungen getestet werden können.<br />
In GN3plus steht jedoch nicht allein die Technik<br />
im Vordergrund. Mit der Intensivierung<br />
der Networking Activities (NA) wird verstärkt<br />
auf die Belange der europäischen Communities,<br />
Forschungszentren und Projekte eingegangen.<br />
So umfassen die Networking Activities<br />
neben dem eigentlichen Projekmanagement<br />
verschiedene zielgerichtete Aktivitäten<br />
für die Kommunikation mit den NRENs oder<br />
der EU sowie potentiell mit sämtlichen Anwendern<br />
in GÉANT. Hierzu gehört auch das<br />
Produkt-Marketing in seiner positivsten Bedeutung,<br />
die Pflege internationaler Beziehungen,<br />
die gemeinsame Suche nach neuen Technologie-Trends<br />
sowie Initiativen zur Einbindung<br />
vermeintlich schwächerer Regionen in<br />
Europa und der Welt.<br />
Insgesamt umfasst GN3plus 250 Projektpartner<br />
in Europa. Ohne gemeinsame Regeln für<br />
die Kommunikation und Zusammenarbeit, einhergehend<br />
mit einer starken und effizient organisierten<br />
Projektsteuerung ist die Durchführung<br />
solcher Vorhaben nicht möglich. Die<br />
Partner treffen sich regelmäßig in der sogenannten<br />
GN3plus Partners' Assembly. Zu Beginn<br />
des Projekts wurde von diesem Gremium<br />
das GN3plus Executive Board gewählt, in dem<br />
Vertreter aus neun nationalen Forschungsnetzorganisationen<br />
stimmberechtigt vertreten<br />
sind, unter anderem auch des <strong>DFN</strong>-<strong>Verein</strong>s.<br />
In monatlichen Treffen entscheidet das Executive<br />
Board über den Fortschritt dieses großen<br />
europäischen Vorhabens und sorgt bereits<br />
heute für die Planung zukünftiger Projekte<br />
aus dem 8. Rahmenprogramm der EU.<br />
Bei Projekten der Größe und Bedeutung von<br />
GN3plus ist es geboten, regelmäßig externen<br />
Rat einzuholen. So wird GN3plus gegenwärtig<br />
von zwei externen Beiräten unterstützt:<br />
einem External Advisory Committee aus fünf<br />
international renommierten Experten sowie<br />
einem International User Advisory Committee,<br />
in dem zwölf Repräsentanten von europäischen<br />
Forschungszentren und aktuellen<br />
Großforschungsprojekten vertreten sind. M<br />
Der <strong>DFN</strong>-<strong>Verein</strong> ist mit seinen Partnern <strong>DFN</strong>-CERT Services GmbH, Leibniz Rechenzentrum (LRZ) der Bayerischen<br />
Akademie der Wissenschaften, Friedrich-Alexander-Universität Erlangen-Nürnberg und Institut für Rundfunktechnik<br />
GmbH, München, in 17 Tasks über neun verschiedene Activities von GN3plus eingebunden:<br />
NA1 Management<br />
SA1 Core Backbone Services<br />
SA2 Testbeds as a Service<br />
SA3 Network Service Delivery<br />
SA4 Network Support Services<br />
SA5 Application Services<br />
JRA1 Network Architectures for Horizon 2020<br />
JRA2 Technology Testing for Specific Service Applications<br />
JRA3 Identity and Trust Technologies for GÉANT<br />
Services<br />
T1 Governance<br />
T1 Backbone Architectural Development<br />
T3 GÉANT – Advanced Network and Application Service<br />
T1 TaaS Architecture and Engineering<br />
T2 Software Tools, Protocols, and Specifications<br />
T3 TaaS Service Management<br />
T1 Bandwidth on Demand (BoD) Multi-Domain Service<br />
T2 Wavelength Multi-Domain Service<br />
T1 Multi-Domain Monitoring (MDM)<br />
T3 End-to-End Management – NMA Approach<br />
T1 eduPKI<br />
T5 Enabling Users (eduGAIN)<br />
T1 Future Network Architectures<br />
T1 OpenFlow/SDN for Specialised Applications<br />
T2 NaaS, Virtualization and NSI Developments<br />
T1 Attributes and Groups<br />
T2 Identity & Trust Technologies<br />
Koordinator<br />
Delivery of Advanced Network<br />
Technology to Europe – DANTE<br />
(Cambridge)<br />
Partner<br />
Trans-European Research and<br />
Education Networking Association<br />
– TERENA (Amsterdam)<br />
Armenien: ASNET-AM<br />
Aserbaidschan: AzRENA<br />
Belgien: Belnet<br />
Bulgarien: BREN<br />
Deutschland: <strong>DFN</strong><br />
Estland: EENet<br />
NORDUnet (Dänemark,<br />
Finnland, Norwegen, Island,<br />
Schweden)<br />
Frankreich: RENATER<br />
Georgien: GRENA<br />
Griechenland: GRNET<br />
Großbritannien und Nordirland:<br />
Janet<br />
Irland: HEAnet<br />
Israel: IUCC<br />
Italien: GARR<br />
Kroatien: CARNet<br />
Lettland: SigmaNet<br />
Litauen: LITNET<br />
Luxemburg: RESTENA<br />
Malta: UoM<br />
Mazedonien: MARnet<br />
Moldawien: RENAM<br />
Montenegro: MREN<br />
Niederlande: SURFnet<br />
Österreich: ACOnet<br />
Polen: PSNC<br />
Portugal: FCCN<br />
Rumänien: RoEduNet<br />
Schweiz: SWITCH<br />
Serbien: AMRES<br />
Slowakei: SANET<br />
Slowenien: ARNES<br />
Spanien: RedIRIS<br />
Tschechische Republik:<br />
CESNET<br />
Türkei: ULAKBIM<br />
Ungarn: NIIFI<br />
Ukraine: URAN<br />
Weißrussland: BASNET<br />
Zypern: CyNet
24 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | INTERNATIONAL<br />
GÉANT erhält eingebauten<br />
Innovationsmotor<br />
Die Erprobung neuer Technologien und Betriebsszenarien in Netzen hat sich von einer für<br />
die Vorbereitung künftiger Netzgenerationen notwendigen Spezialdisziplin zu einer Kern-<br />
Aufgabe des Netzbetriebs entwickelt. Immer dichtere Innovationszyklen erfordern heute den<br />
permanenten Betrieb von Testbeds. An Stelle der physischen Testbeds vergangener Jahrzehnte<br />
treten heute virtuelle Umgebungen, die fest in die aktuelle Generation des Netzes implementiert<br />
sind. Als ein solcher Fortschrittsmotor bietet das GN3-Projekt der europäischen<br />
Netzwerkorganisation DANTE Ltd. den europäischen Wissenschaftsnetzorganisationen<br />
künftig „Testbeds-as-a-Service (TaaS)“ eine Testbed-Umgebung als permanenten Service zur<br />
Erprobung neuer Technologien und Verfahren netzgestützter Kommunikation.<br />
Text: Dr. Peter Kaufmann (<strong>DFN</strong>-<strong>Verein</strong>), Dr.-Ing. Susanne Naegele-Jackson (RRZE)<br />
Überblick (Einführung)<br />
Künftige Netzwerk-Generationen werden<br />
nicht nur durch eine weit höhere Leistungsfähigkeit<br />
gekennzeichnet sein, sondern<br />
auch durch ein Aufbrechen monolithischer<br />
Strukturen und ein Mehr an Flexiblität<br />
im Netz. Die dafür notwendigen Weiterentwicklungen<br />
müssen üblicherweise<br />
vor einem Betriebseinsatz gut ausgetestet<br />
werden. Vor allem, wenn neue Netzprotokolle,<br />
Controller Software oder Experimente<br />
zu neuen Netzwerktechnologien<br />
erforscht werden sollen, wird eine realistische<br />
Netzumgebung benötigt, die dem<br />
normalen Netzbetrieb zwar genau entspricht,<br />
den Betrieb aber doch in keinster<br />
Weise beeinflusst.<br />
Die seit einigen Jahren einsetzbaren virtuellen<br />
Netzumgebungen, die – im Gegensatz<br />
zu einem Testbed mit einer physikalischen<br />
Infrastruktur – schnell eingerichtet<br />
und am Ende des Experiments wieder abgeschaltet<br />
werden können, eignen sich für<br />
diese Zwecke besonders gut. Testen in virtuellen<br />
Umgebungen hat den Vorteil, dass<br />
man auch komplexe Situationen mit limitierten<br />
Hardware-Ressourcen nachstellen<br />
und simulieren kann und unabhängig von<br />
der zugrunde liegenden physikalischen Infrastruktur<br />
schnell Änderungen nach neuen<br />
Erkenntnissen oder Rückschlüssen aus<br />
vorhergegangenen Experimenten im Testbed-Aufbau<br />
vornehmen kann. Allerdings<br />
sind die betrieblich einsetzbaren technischen<br />
Lösungen oft auf „homogene“ Umgebungen<br />
beschränkt: Technisch und administrativ<br />
arbeiten sie im Rahmen einer<br />
Single-Domain-Welt.<br />
Soll ein „virtuelles Testbed“ im internationalen<br />
Zusammenhang durch viele beteiligte<br />
Anbieter bereitgestellt werden, so hat<br />
man nach wie vor mit vielen Problemen<br />
zu kämpfen; insbesondere, wenn solche<br />
Testbeds in standardisierter Form als Testbeds-as-a-Service<br />
(TaaS) angeboten werden<br />
sollen. Gerade im Multi-Domain-Bereich<br />
ergeben sich zunehmend neue Anforderungsprofile<br />
und sich schnell verändernde<br />
Aufgabenstellungen z.B. im Hinblick auf<br />
Software Defined Networking (SDN) Strukturen,<br />
wo sich Benutzer eine experimentelle<br />
Plattform wünschen, die es ihnen erlaubt,<br />
nach Baukastenprinzip individuelle<br />
Testumgebungen für ihre Netzinnovatio-
INTERNATIONAL | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
25<br />
Das Konzept des Testbed-as-a-Service blickt<br />
zurück auf eine Reihe europäischer Netzwerk-Projekte,<br />
in denen das Konzept virtueller<br />
Netze als Testumgebungen für innovative<br />
Formen der Datenkommunikation<br />
entwickelt und vorangetrieben wurde.<br />
Namentlich gehören dazu FEDERICA<br />
[1], NOVI [2], PlanetLab [3], GENI [4] oder<br />
OFELIA [5]. In FEDERICA wurde z.B. untersucht,<br />
wie Nutzergruppen virtuelle Testumgebungen,<br />
sogenannte ‚Slices‘, über das<br />
FEDERICA Testbed zur Verfügung gestellt<br />
werden können. In NOVI wurde dieser Ansatz<br />
dahingehend ausgedehnt, dass solche<br />
virtuellen Slices nun mit Gatewayfunktionalität<br />
über zwei bereits existierende<br />
Testbedumgebungen (im NOVI Prototyp<br />
waren dies PlanetLab und FEDERICA) aufnen<br />
zusammenstellen zu können. Ein Nutzer<br />
des TaaS-Dienstes soll sich daher über<br />
eine Webschnittstelle schnell durch Anklicken<br />
von den gewünschten Ressourcen eine<br />
eigene Netz-Experimentierumgebung<br />
konfigurieren können, die dann vom TaaS-<br />
Dienst automatisch implementiert und isoliert<br />
von anderen Netzumgebungen dem<br />
Benutzer zur Verfügung gestellt wird.<br />
Die von den nationalen Forschungsnetzen<br />
getragene europäische Netzgesellschaft<br />
DANTE betreibt seit vielen Jahren<br />
den europäischen Forschungsnetz-Backbone<br />
GÉANT. Der <strong>DFN</strong>-<strong>Verein</strong> ist zur Zeit an<br />
GÉANT mit 2*100 Gb/s (jeweils Frankfurt,<br />
Hamburg) angeschlossen. Neben dem betriebsorientierten<br />
GÉANT-Netz wird auf den<br />
vorhandenen Glasfaserverbindungen stets<br />
auch eine (von der EU geförderte) Plattform<br />
für netztechnische Weiterentwicklungen<br />
angeboten.<br />
Im Frühjahr 2013 hat die gegenwärtige<br />
Projektphase GN3plus für Weiterentwicklungen<br />
begonnen. Im Zentrum dieser<br />
GN3plus-Aktivitäten steht (neben einer<br />
photonischen Testumgebung) die Bereitstellung<br />
und Weiterentwicklung eines<br />
permanenten Testbeds-as-a-Service auf der<br />
Grundlage von paketorientierten Netztechniken<br />
(IP, Ethernet). Die Idee solcher virtuellen<br />
Testbeds ist nicht neu – sondern<br />
nur das Konzept eines „Testbed-Dienstes“.<br />
Neben der betrieblichen Stabilität, enthält<br />
der TaaS-Ansatz auch, dass interessierten<br />
Nutzergruppen an Universitäten,<br />
wissenschaftlichen Einrichtungen und Projekten<br />
für ihre F&E-Arbeiten eine Testbed-<br />
Umgebung bereitgestellt wird, deren technische<br />
Eigenschaften (Routing, QoS, Topologie,<br />
Bandbreite und weitere Funktionalitäten)<br />
in einem vorgegebenen Rahmen<br />
von den Nutzern selber festgelegt werden<br />
können. Der Zugang, das Manage-<br />
ment und die Nutzung des Testbeds sollen<br />
einfach, variabel und unkompliziert<br />
sein – daher der Dienstanspruch im Begriff<br />
„Testbeds-as-a-Service“.<br />
Foto: © ktsimage - iStockphoto
26 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | INTERNATIONAL<br />
gespannt werden konnten. Dem Benutzer<br />
konnten dadurch weitere Ressourcen zur<br />
Verfügung gestellt werden und es konnten<br />
auch sich daraus ergebende neuartige Probleme<br />
bzgl. Authentifizierung und Autorisierung<br />
oder Darstellungsweisen und Einbindung<br />
von unterschiedlichen Ressourcen<br />
untersucht werden. Erfahrungen aus<br />
OFELIA und GENI beziehen sich v.a. auf die<br />
Integration von OpenFlow Testbeds in einen<br />
solchen TaaS-Dienst.<br />
Physikalische Netze<br />
Virtuelle Netze<br />
(z.B. VLAN)<br />
Software-<br />
Defined-Networks (SDN)<br />
Open Flow (OF)<br />
Beim an der Universität Stanford entwickelten<br />
OpenFlow-Ansatz (OF) können<br />
Control Plane und Data Plane voneinander<br />
getrennt werden: Kontrollfunktionen,<br />
die bisher herstellerabhängig im Switch<br />
verankert waren und Einfluss auf die Forwarding-Tabellen<br />
der Switch Hardware zur<br />
Steuerung der Flows im Netz nahmen, können<br />
nun auf einem eigenen Server (Controller)<br />
außerhalb des Switches implementiert<br />
werden. Durch eine herstellerunabhängige<br />
OpenFlow-Schnittstelle übernehmen<br />
die externen Kontrollfunktionen die<br />
Steuerung der Flows über die Forwarding-<br />
Tabellen der Switches. OpenFlow hat in<br />
den vergangenen Jahren zunehmend an<br />
Bedeutung gewonnen, insbesondere auch<br />
Abb. 1: Umfassende<br />
Grundlage sind die<br />
physikalischen Netze. Darin<br />
eingebettet sind die<br />
schon lange verwendeten<br />
Netze mit virtuellen<br />
Verbindungen (z.B.<br />
VLANs). Eine weitergehende<br />
Virtualisierung der<br />
Geräte (Router, Switche,<br />
PCs, etc.) ermöglicht<br />
vollständige<br />
Virtuelle Netze, für die<br />
zunehmend der Begriff<br />
der Software-Defined-<br />
Networks (SDN) verwendet<br />
wird. Sie bilden die<br />
Grundlage für den Dienst<br />
Networks-as-a-Service.<br />
OpenFlow ist ein Beispiel<br />
für ein SDN.<br />
die Unterstützung von Geräteherstellern,<br />
und ist inzwischen mit Entwicklungsversionen<br />
auf einigen Geräten verfügbar. Forschung<br />
und Industrie arbeiten gemeinsam<br />
an der weiteren Spezifikation des Open-<br />
Flow-Konzeptes in der Open Networking<br />
Foundation [7].<br />
London<br />
GEANT-Domain<br />
Amsterdam<br />
Frankfurt/Main<br />
NREN-Domain<br />
(<strong>DFN</strong>)<br />
Erlangen<br />
Für all diese im Wesentlichen durch Systemsoftware<br />
steuerbaren virtuellen Netze<br />
hat sich der übergreifende Begriff der<br />
Software Defined Networks (SDN) eingebürgert;<br />
OpenFlow ist eine mögliche Umsetzung<br />
von SDN, d.h. ein Beispiel dafür,<br />
wie mit Hilfe von Controller Software die<br />
Kontrollfunktionen im Netz verwirklicht<br />
und zur Steuerung von Switch-Hardware<br />
umgesetzt werden können.<br />
Eine Relation der verschiedenen Typisierungen<br />
ist in Abbildung 1 dargestellt.<br />
Wien<br />
Zagreb<br />
Die hier beschriebenen GN3plus-Aktivitäten<br />
zur Implementierung eines TaaS unterteilen<br />
sich in zwei Segmente, nämlich in<br />
betriebliche Aufbereitungen (Service-Activities<br />
(SA)) und in Entwicklungsarbeiten<br />
(Joint-Research-Activities (JRA)).<br />
Abb. 2: Starttopologie des OpenFlow-basierten Testbeds-as-a-Service: GEANT-Domain. Und<br />
spätere Erweiterungen (z.B. <strong>DFN</strong>-Domain)
INTERNATIONAL | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
27<br />
Testbed-Netzdienst<br />
(Service-Activities)<br />
Die Service-Activities konzentrieren sich<br />
auf die Implementierung und das Management<br />
eines zuverlässigen Testbed-Services<br />
mit nutzerdefinierten Konfigurationsmöglichkeiten<br />
(z.B. über ein Nutzerinterface).<br />
Dazu wird anfangs die teilweise bereits<br />
aus den vergangenen GN3-Aktivitäten vorhandene<br />
OpenFlow-Grundstruktur verwendet,<br />
betriebsfertig eingerichtet und Nutzern<br />
angeboten.<br />
In Abb. 2 ist die vorgesehene Anfangstopologie<br />
mit fünf PoP-Standorten dargestellt.<br />
Alle OpenFlow-PoPs befinden sich<br />
technisch und administrativ innerhalb<br />
des GEANT-Netzes, gehören also zu einer<br />
Single-Domain.<br />
Im Projektfortgang soll die skalierbare<br />
TaaS-Architektur mit der Fähigkeit zur<br />
Kooperation mit anderen TaaS-Konzepten<br />
(als Federation) erweitert und dann<br />
schrittweise mit wachsender geographischer<br />
Ausdehnung und zunehmenden technischen<br />
Fähigkeiten eingerichtet werden.<br />
In dieser Phase wird der anfangs nur im<br />
GÉANT-Netz implementierte Dienst auch<br />
auf die beteiligten NRENs ausgedehnt (im<br />
<strong>DFN</strong> beispielsweise nach Erlangen, siehe<br />
Abbildung 2) und das TaaS-Angebot damit<br />
Multi-Domain-fähig.<br />
Die seit Frühsommer 2013 angelaufenen<br />
Arbeiten betreffen u.a. die Dienstspezifikation<br />
für Phase-1, die Beschaffung und<br />
Implementierung der notwendigen Software<br />
und Hardware, sowie den Entwurf<br />
für ein Betriebshandbuch der TaaS-Facility.<br />
Abgerundet werden die Aufgaben mit<br />
der Bereitstellung von Mechanismen zur<br />
Konfiguration und Kontrolle der Testbeds.<br />
Die Universität Erlangen ist u.a. mit der<br />
Anpassung und Bereitstellung von Monitoring-Werkzeugen<br />
und mit der Spezifikation<br />
zur Hardware beteiligt.<br />
Weiterentwicklungen (Joint<br />
Research)<br />
SDN (und speziell OpenFlow) bieten bei der<br />
Bereitstellung von Testbeds eine große Flexibilität<br />
an, da Controller Software (also<br />
das ‚Netz-Gehirn‘) beliebig an den jeweiligen<br />
Bedarf und zugeschnitten auf spezielle<br />
Test-Szenarien angepasst werden kann.<br />
Ein wichtiges Ziel ist daher die Analyse und<br />
Bewertung der OpenFlow-basierten Techniken.<br />
Dazu gehören die Untersuchung von<br />
Nutzungsszenarien, Betriebsaspekte, Sicherheitsaspekte,<br />
Funktionsmächtigkeit,<br />
Performance, Monitoring, Multi-Domain-<br />
Fähigkeit und die Begleitung der internationalen<br />
OpenFlow-Entwicklungen, namentlich<br />
in der Open Networking Foundation<br />
[7]. Mit Hilfe des TaaS-Dienstes können Nutzer<br />
diese OpenFlow-basierten Techniken<br />
und beliebige Controller Software unabhängig<br />
von anderen Experimenten in ihrer<br />
eigenen Netzumgebung testen.<br />
…<br />
London<br />
…<br />
…<br />
Copenhagen<br />
Virtual<br />
Machine<br />
Virtual<br />
Machine<br />
Frankfurt/M.<br />
Virtual<br />
Machine<br />
…<br />
Milano<br />
Amsterdam<br />
Virtual<br />
Machine<br />
SA2<br />
intra-service<br />
Layer2<br />
bridging/switching<br />
Virtual<br />
Machine<br />
…<br />
Virtual<br />
Machine<br />
Virtual<br />
Machine<br />
…<br />
Virtual<br />
Machine<br />
Other<br />
TaaS Service<br />
domains<br />
GEANT SA3 BoD<br />
(inter-domain reach<br />
using NSI provisioning for<br />
data transport resources)<br />
Virtual<br />
Machine<br />
…<br />
Other<br />
TaaS Service<br />
domains<br />
Virtual<br />
Machine<br />
…<br />
Virtual<br />
Machine<br />
…<br />
Virtual<br />
Mschine<br />
…<br />
Virtual<br />
Machine<br />
Virtual<br />
Machine<br />
…<br />
Virtual<br />
Machine<br />
…<br />
Abb. 3: Verbindungsarchitektur multipler Domains mit Ende-zu-Ende-Pfaden unter Verwendung von Bandwidth-on-Demand (BoD).
28 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | INTERNATIONAL<br />
Neben den Untersuchungen zum erreichten<br />
Stand sollen aber auch ganz handfeste<br />
Implementierungen durchgeführt werden.<br />
Bisher ist üblicherweise OF v1.0 im Entwicklungseinsatz.<br />
Zurzeit befindet sich die<br />
„Community“ aber im Übergang zu Open-<br />
Flow v1.3. Hierbei konnte die Universität<br />
Erlangen den bereits länger existierenden<br />
Kontakt mit Hewlett Packard für ihre Aufnahme<br />
in das laufende HP-Beta-Test-Programm<br />
für die Version OpenFlow 1.3 nutzen.<br />
Somit kann auch in GN3plus bald mit<br />
der Implementierung von OF v1.3 gerechnet<br />
werden. Aufbauend auf OpenNaaS-Konzepten<br />
(NaaS: Network-as-a-Service) zur Bereitstellung<br />
eines virtuellen Netzdienstes<br />
sollen damit Erweiterungen der vorhandenen<br />
Betriebsumgebung prototypisch<br />
implementiert werden.<br />
Die jetzigen SDN-Angebote arbeiten i.d.R.<br />
als Single Domain. Ein Entwicklungsgebiet<br />
umfasst deshalb die seamless Ende-zu-Ende-Verbindung<br />
über mehrere Domains<br />
hinweg. In JRA werden dazu zwei Ansätze<br />
analysiert:<br />
• Die Verbindung multipler Domains<br />
mit Ende-zu-Ende-Pfaden. Dabei<br />
wird Bandwidth-on-Demand (BoD)<br />
als Verbindungswerkzeug zwischen<br />
den Domains verwendet.<br />
• Die Konfiguration von Multi-Domain-Slices.<br />
In Abbildung 3 ist die Architektur eines Ansatzes<br />
mit Ende-zu-Ende-Pfaden skizziert.<br />
Der zweite Ansatz mit Multi-Domain-Slices<br />
ist im NOVI-Projekt umgesetzt worden<br />
(siehe <strong>DFN</strong>-Mitteilungen Mai 2012 <strong>Ausgabe</strong><br />
82 [8].).<br />
Verwendung von Bandwidthon-Demand<br />
(BoD)<br />
Andere Ziele in den Joint-Research-Activities<br />
umfassen die Diskussion einer zukünftigen<br />
Netzwerkarchitektur für GÉANT, insbesondere<br />
unter den Gesichtspunkten von<br />
Cloud-Computing, des Nutzer-Zugangs, der<br />
Hochgeschwindigkeits-Server-Kommunikation<br />
und dem Zugang zu Speichersystemen.<br />
Weitere Aufgabenfelder für ein zukünftiges<br />
Netzwerk sind die Integration<br />
von Hochgeschwindigkeits-Mobilnetzen,<br />
hochwertige Videoübertragungen, Bandbreiten<br />
jenseits von 100 Gbit/s und QoS-<br />
Aspekte (low latency, low jitter).<br />
Von deutscher Seite beteiligen sich die<br />
Friedrich-Alexander Universität Erlangen-<br />
Nürnberg und das Leibniz Rechenzentrum<br />
München an Untersuchungen bezüglich<br />
der OpenFlow Spezifikation v1.3 und zukünftigen<br />
Netzarchitekturen. Auch das Institut<br />
für Rundfunktechnik (IRT) ist involviert<br />
und befasst sich mit den besonderen<br />
Anforderungen im Hinblick auf Audio- und<br />
Videoverarbeitung in solchen Testbeds. M<br />
References<br />
1] P. Szegedi, S. Figuerola, M. Campanella, V. Maglaris and<br />
C. Cervelló-Pastor, „With Evolution for Revolution: Managing<br />
FEDERICA for Future Internet Research“, IEEE Communications<br />
Magazine, Vol. 47, No. 7, pp. 34-39, July 2009<br />
[2] NOVI FP7 STREP Project. http://www.fp7-novi.eu <br />
[3] PlanetLab, http://www.planet-lab.org<br />
[4] Global Environment for Network Innovations (GENI),<br />
http://www.geni.net/<br />
[5] OFELIA, siehe: http://www.fp7-ofelia.eu/<br />
[6] Virtual Network Infrastructure (VINI),<br />
http://www.vini-veritas.net/<br />
[7] OpenFlow, siehe: https://www.opennetworking.org/<br />
[8] S. Naegele-Jackson, P. Kaufmann, NOVI: Virtuelle Netze koppeln,<br />
<strong>DFN</strong>-Mitteilungen, <strong>Ausgabe</strong> 82, Mai 2012, S. 28-31,<br />
https://www.dfn.de/fileadmin/5Presse/<strong>DFN</strong>Mitteilungen/<br />
<strong>DFN</strong>-Mitteilungen-82.pdf
INTERNATIONAL | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
29<br />
20 Years of Networking<br />
Excellence<br />
Earlier this year, DANTE celebrated its 20th Anniversary, marking more than two<br />
decades of delivering networking excellence. By collaborating and listening to its<br />
users and stakeholders, scientific research partners and other e-infrastructures,<br />
DANTE has been at the forefront of network and service development, to keep ahead<br />
of the fast-changing demands of the world‘s research and education requirements.<br />
Founded in 1993 as a not-for-profit organisation to provide a<br />
high-speed internet network for the European research community,<br />
DANTE has since created four consecutive generations<br />
of this network, which we all know and love today as GÉANT! In<br />
2000, the European Commission used GÉANT as an exemplar for<br />
networking excellence and began funding similar networks all<br />
over the world. Suddenly DANTE became not just a networking<br />
and service innovator, but the project manager and coordinator<br />
of these very large-scale projects, connecting different world regions<br />
to Europe via GÉANT.<br />
DANTE plans, builds and manages these projects on behalf of the<br />
European Commission and Europe’s National Research and Education<br />
Networks (NRENs), serving Europe (GÉANT), the Mediterranean<br />
(EUMEDCONNECT), Sub- Saharan Africa (AfricaConnect),<br />
Central Asia (CAREN) and Europe-China collaboration (ORIENTplus).<br />
DANTE also supports R&E networking organisations in Latin<br />
America (RedCLARA), Caribbean (CKLN) and Asia-Pacific (TEIN*CC).<br />
1993 DANTE, a non-profit, limited liability organisation is created.<br />
1995 Operating in Cambridge, UK, with 8 staff & €3 million annual turnover, DANTE takes over<br />
principal international backbone for European research community.<br />
1996 Connecting 10 countries, EuropaNet2 is first network provided by DANTE.<br />
1997 In its lifetime EuropaNet2 grows transatlantic connectivity from 3.5Mbps to 26Mbps.<br />
1998 TEN34 is the next generation pan-European network offering 13 countries speeds of<br />
34Mbps.<br />
TEN-155 has access capacities of 155Mbps across 15 European countries. Many upgrades<br />
follow.<br />
Network uses IP over ATM – a popular approach at the time. ATM provides efficient management<br />
of underlying capacity provided by the SDH & PDH circuits provided by the operators.<br />
It provides a “Managed Bandwidth Service” (an ATM-based circuit service analogous<br />
to today’s GÉANT Plus service).<br />
1999 EU-led liberalisation of European telecoms market opens previously closed markets to<br />
competition. Prices drop as monopolies fall.
30 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | INTERNATIONAL<br />
2000 The GÉANT network is built in less than a year.<br />
Network services provided to 31 countries, 3,000 organisations & 27 European NRENs.<br />
Over the next decade, the available capacity on the network for researchers increases by a<br />
factor of 60 from 155Mbps to 10Gbps.<br />
EC uses GÉANT as blueprint for future networks across the world– DANTE’s role grows to<br />
become the global coordinator of these very large-scale projects.<br />
2001 DANTE re-tenders US contracts for commodity IP service & contracts ISPs in Europe for the<br />
first time. It commits with 2 ISPs to provide a total of 2 Gbps of traffic for its European<br />
NREN subscribers.<br />
Mediterranean – EC signs €12.25 million contract for EUMEDCONNECT to connect southern<br />
Mediterranean region.<br />
2002 Full native (so-called “dual stack”) support for IPv6 is enabled in the GÉANT backbone.<br />
DANTE & partners write internet history transferring 1215 terabit metres per second using<br />
standard TCP transfer over IPv6.<br />
2003 Latin America - EC signs €12.5 million contract with DANTE to connect 18 countries to<br />
GÉANT via ALICE research network.<br />
2004 Scientists across Europe benefit from €93 million EC grant to upgrade GÉANT for faster,<br />
more powerful services.<br />
Mediterranean - After 3 years of planning EUMEDCONNECT network is live and by 2005 connects<br />
7 North African & Middle Eastern countries and 2 million users.<br />
GÉANT enables sharpest view in Universe. Europe’s radio-astronomers can observe transient<br />
objects at edge of Universe.<br />
South-Eastern European region – The SEEREN network connects 4 additional NRENs to<br />
GÉANT.<br />
First phase of a feasibility study for an R&E network for the Asia Pacific region (TEIN2).<br />
2005 Next generation of GÉANT uses dark fibre network offering switched point-to-point connections<br />
‘light paths’ in addition to normal IP traffic.<br />
GÉANT now serves 3 million researchers in 34 countries – world’s largest interconnected<br />
community of its kind.<br />
GÉANT receives resounding vote of approval from European Commission reviewers.<br />
2006 Asia Pacific – After 2004 feasibility study, first large-scale R&E network for the region, TEIN2<br />
links 10 countries at speeds up to 622Mbps.<br />
China - DANTE coordinates ORIENT - new collaborative Sino-European project to connect<br />
R&E networks of China & Europe.<br />
2007 DANTE drives supercomputing as DEISA increases connectivity ten-fold to 10Gbps, through<br />
links designed & deployed by GÉANT.<br />
GÉANT reaches 37 countries outside of Europe.<br />
2008 GÉANT provides connectivity to CERN’s new Large Hadron Collider (LHC) Computing Grid<br />
infrastructure.<br />
DANTE announces ORIENT network use in Sichuan earthquake recovery project.<br />
TEIN3 builds on success of TEIN2 and extends footprint across South Asia.<br />
2009 DANTE creates Network Operations Centre (NOC) in Cambridge providing effective 24-hour<br />
support service. (Previously outsourced).<br />
Next generation GÉANT backbone announced connecting 40 million users through 50,000<br />
kms of optical fibre.<br />
Project receives €93 million funding to run the network and manage research programmes<br />
to develop innovative network architecture, technologies and services.<br />
Black sea region – EC announces South Caucasus countries connected to GÉANT, enabling<br />
Armenia, Azerbaijan and Georgia to collaborate with European peers.
INTERNATIONAL | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
31<br />
Central Asia – € 5 million EU contract funds CAREN network interconnecting 500 institutions<br />
across 5 countries, and rest of Europe via GÉANT.<br />
2011 European Bioinformatics Institute drives genomics research with GÉANT to help biologists<br />
share vital data across globe.<br />
Sub-Saharan Africa - DANTE announces first point-to-point circuit between GÉANT & UbuntuNet<br />
Alliance - first step in connecting the region.<br />
ELCIRA – DANTE and partners coordinate tools and services to support collaborative work<br />
between Europe and Latin America.<br />
Via GÉANT’s connections to networks in other world regions, EUMEDCONNECT3 is the nextgen<br />
gateway for researchers in seven Mediterranean countries to be truly global players.<br />
DANTE and TEIN* Co-operation Center (TEIN*CC) sign Memorandum of Understanding to<br />
collaborate on projects to benefit research and education community in Asia-Pacific region.<br />
ORIENTplus further develops infrastructure between GÉANT and China, enabling innovative<br />
EU-China research and applications to flourish.<br />
DICE is an operational collaboration between European and North American R&E partners<br />
focusing on optimising transatlantic networking operations. Europe is represented<br />
through GÉANT. In 2011, service pilots worked to ensure that diagnostic & dynamic circuitprovisioning<br />
tools used by the DICE partners and participating NRENs in Europe, and regional<br />
networks in the US can interoperate, providing seamless end-to-end services.<br />
Arab States – ASREN network partners with EUMEDCONNECT3 as first stage in creating<br />
pan-Arab R&E network - potentially serves 250 million people.<br />
Ground -breaking international research project (DECIDE) uses GÉANT to help doctors<br />
make earlier, more informed diagnoses of Alzheimer's Disease.<br />
2012 Trans-Eurasia Information Network (TEIN3) connects over 50 million researchers & scientists<br />
across 16 Asian countries.<br />
DANTE announces Caribbean's first dedicated R&E network as C@ribnet connects to GÉANT.<br />
DANTE hands over project responsibilities to TEIN*CC as part of long-term sustainability<br />
plan for research and education networking in Asia Pacific and Europe.<br />
GÉANT helps LHC unlock mysteries of the universe with discovery of Higgs Boson particle.<br />
DANTE and partners receive “Excellent” by the EC in the annual GÉANT project review.<br />
2013 GÉANT connects 43 European NRENs and over 50 million users at 10,000 institutions.<br />
GÉANT reaches 66 countries outside Europe.<br />
DANTE wins European Commission ‘Excellent Science’ & Computer Weekly ‘Best Technology’<br />
awards.<br />
DANTE & partners announce world’s first 100G transatlantic R&E network.<br />
DANTE & Infinera announce fastest known provisioning of multi-Terabit capacity across a<br />
live network - 2 Terabits in less than 12 minutes.<br />
DANTE announces Terabit upgrade across the entire European backbone.<br />
Today DANTE has 70 staff and a €50 million annual turnover.<br />
Researchers, academics and students across Europe and China benefit from 10Gbps ORI-<br />
ENTplus upgrade.<br />
DANTE World Service still provides commodity IP for most European NRENs. Total capacity<br />
has increased 25 times and prices have reduced over 100 times since 2001.
32 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | SICHERHEIT
SICHERHEIT | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
33<br />
Sicherheit<br />
Konzept und Nutzen von<br />
Certificate Policy und Certification<br />
Practice Statement<br />
von Jürgen Brauckmann, Dr. Ralf Gröper<br />
Sicherheit aktuell<br />
von Heike Ausserfeld, Dr. Ralf Gröper,<br />
Dr. Klaus-Peter Kossakowski
34 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | SICHERHEIT<br />
Konzept und Nutzen von<br />
Certificate Policy und Certification<br />
Practice Statement<br />
Zertifizierungsstellen, die Zertifikate für E-Mail-Signatur oder -Verschlüsselung oder für die Authentifizierung<br />
von Web-Servern oder Nutzern ausgeben, werden als Trusted Third Party bezeichnet.<br />
Dieser Begriff kann auf mehrere Arten interpretiert werden: Entweder als eine Stelle, deren<br />
Vertrauenswürdigkeit bewiesen ist. Oder aber als eine Stelle, die durch ein formales Axiom für<br />
bedingungslos vertrauenswürdig erklärt werden muss, damit das Sicherheitssystem funktioniert.<br />
Insbesondere mit der letzten Interpretation haben es Zertifizierungsstellen durch schwerwiegende<br />
Sicherheitsvorfälle in den Jahren 2011 und 2012 sogar bis in die Mainstream-Presse gebracht:<br />
„Schludrige Schlüsselmeister gefährden das Web“ [1]. In diesem Beitrag wird dargestellt, welche<br />
Rolle Certificate Policy (CP) und Certification Practice Statement (CPS) bei der Bewertung der Vertrauenswürdigkeit<br />
von Zertifizierungsstellen haben.<br />
Text: Jürgen Brauckmann (<strong>DFN</strong>-CERT GmbH), Dr. Ralf Gröper (<strong>DFN</strong>-<strong>Verein</strong>)<br />
Dieser Artikel ist bereits erschienen in „Datenschutz und Datensicherheit“, <strong>Ausgabe</strong> 08/2013.<br />
Foto: © Francesca Schellhaas - Photocase
SICHERHEIT | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
35<br />
1 Einleitung<br />
X.509-Zertifikate binden Namen an kryptographische Schlüssel<br />
und diese Bindung wird dabei durch den Zertifikatherausgeber,<br />
die Zertifizierungsstelle (Certificate Authority, CA), mit einer eigenen<br />
Signatur bestätigt. Die Kombination aus Namen, kryptographischem<br />
Schlüssel und Signatur bildet schließlich das Zertifikat.<br />
Bevor der technische Vorgang der Zertifikaterstellung stattfindet,<br />
muss eine Zertifizierungsstelle organisatorische und technische<br />
Prozesse durchlaufen, um die Gültigkeit und Korrektheit<br />
von Namen und die Bindung an die kryptographischen Schlüssel<br />
zu verifizieren. Die Komplexität dieser organisatorischen<br />
Prozesse ist der Grund, warum so manches internes Zertifizierungsstellenprojekt<br />
zwar bis zu einer passenden OpenSSL-Installation<br />
und -Konfiguration kommt, aber dann an den weiteren<br />
Schritten scheitert.<br />
Ob einer Zertifizierungsstelle vertraut werden kann, hängt aber<br />
entscheidend von diesen organisatorischen und technischen Prozessen<br />
ab. Daraus ergibt sich die Fragestellung: Wie kann eine<br />
Zertifizierungsstelle genügend Informationen über ihre Prozesse<br />
an die Öffentlichkeit transportieren, um das entsprechende<br />
Vertrauen herzustellen?<br />
2 Zweck<br />
Eine Antwort auf diese Frage ist: Durch die Veröffentlichung einer<br />
Zertifizierungsrichtlinie und/oder einer Erklärung zum Zertifizierungsbetrieb,<br />
in denen sich jedermann über die Prozesse<br />
und Sicherheitsmaßnahmen einer Zertifizierungsstelle informieren<br />
kann.<br />
Eine Zertifizierungsrichtlinie (Certificate Policy, CP) beschreibt<br />
das Sicherheitsniveau der in einer Zertifizierungshierarchie ausgegebenen<br />
Zertifikate in einem öffentlichen Dokument. Eine CP<br />
soll die Frage beantworten, ob ein vorliegendes Zertifikat für einen<br />
bestimmten Einsatzzweck geeignet ist. Hierzu werden Anforderungen<br />
dokumentiert, die für alle ausgestellten Zertifikate<br />
eingehalten werden. Eine CP kann unabhängig von einer konkreten<br />
CA erstellt werden und somit beispielsweise die Anforderungen<br />
einer speziellen Nutzergruppe festhalten. Eine CA, die<br />
Zertifikate für diese Nutzergruppe erstellen will, muss dann deren<br />
CP einhalten.<br />
Im Unterschied dazu enthält die Erklärung zum Zertifizierungsbetrieb<br />
(Certification Practice Statement, CPS) konkrete Aussagen<br />
über den Betrieb einer bestimmten Zertifizierungsstelle. Es<br />
werden alle Aspekte des Lebenszyklus eines Zertifikats inklusive<br />
Erneuerung und Sperrung beschrieben, und die Maßnahmen<br />
der CA im Bereich Infrastruktur, Organisation und personelle Sicherheitsmaßnahmen<br />
offengelegt.<br />
In der Praxis ist es schwierig, CP und CPS klar voneinander abzugrenzen,<br />
da die meisten Aspekte aus dem CPS gleichzeitig für<br />
die CP relevant sind. Daher veröffentlichen viele Zertifizierungsstellen<br />
kombinierte Dokumente, die beide Aspekte enthalten.<br />
CP und CPS beschreiben zudem immer nur den Soll-Zustand der<br />
Zertifizierungshierarchie. Ob dieser Soll-Zustand auch wirklich<br />
erreicht wird, muss durch ein internes oder besser noch externes<br />
Audit nachgewiesen werden.<br />
3 Entwicklung des Konzepts<br />
Die Konzepte zu CP/CPS sind im Kern in den Jahren 1993 bis 2003<br />
entstanden und gewachsen. Hierfür findet man auch in der DuD<br />
Belege, siehe z.B. den Beitrag „Eine ‚PGP-Policy‘ für Unternehmen“<br />
von Dirk Fox aus dem Jahre 1998 [2], in dem auf zwei Seiten die<br />
Grundzüge von technischen und organisatorischen Maßnahmen<br />
für den Einsatz von PGP zum Schutz der E-Mail-Kommunikation<br />
in kleineren Unternehmen dargelegt werden.<br />
3.1 X.509<br />
Der „Urstandard“ für Zertifikate, X.509v1 von 1987 [3] enthält<br />
noch keine konkreten Aussagen zur Vertrauenswürdigkeit der<br />
Zertifizierungsstelle. Es wird lediglich eine „security policy“ erwähnt,<br />
die vom Nutzer eines Security Service vorab selbst definiert<br />
werden muss und die keinen konkreten Bezug zu Zertifizierungsstellen<br />
hat.<br />
X.509v2 von 1993 [4] kennt ebenfalls nur die allgemeine „security<br />
policy“. Erst in X.509v3 von 1997 [5] wird dann die „certificate<br />
policy“ definiert:<br />
„A named set of rules that indicates the applicability of a certificate<br />
to a particular community and/or class of application with<br />
common security requirements“<br />
Konkrete Vorgaben über die Gestaltung einer Certificate Policy<br />
werden aber nicht gemacht.<br />
3.2 PEM<br />
In RFC 1422 zu „Privacy Enhancement for Internet Electronic Mail“<br />
[6] aus dem Jahre 1993 gibt es bereits das Konzept einer CP. Allerdings<br />
wird noch von einem weltweiten Netzwerk verbundener<br />
CAs unter einer oberen Aufsicht durch eine Internet Policy<br />
Registration Authority (IPRA) mit einer Zwischenschicht aus Policy<br />
Certificate Authorities (PCA) ausgegangen. Eine PCA hätte<br />
danach eine Rahmenrichtlinie als RFC veröffentlichen und sich<br />
durch die IPRA selbst zertifizieren lassen sollen. Dieses Konzept<br />
hat sich bekanntermaßen nicht durchgesetzt.<br />
3.3 American Bar Association<br />
1996 veröffentlichte die American Bar Association, eine <strong>Verein</strong>igung<br />
von Rechtsanwälten und Jurastudenten, die „Digital Signature<br />
Guidelines“ [7]. Als Teil der Erläuterungen zu allgemeinen
36 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | SICHERHEIT<br />
rechtlichen und technischen Prinzipien von digitalen Signaturen<br />
werden allgemeine Richtlinien für den Betrieb von Zertifizierungsstellen<br />
aufgestellt und der Begriff der „Erklärung zum<br />
Zertifizierungsbetrieb“ definiert. Dabei wird festgelegt, welche<br />
Informationen eine Zertifizierungsstelle veröffentlichen muss.<br />
3.4 PKIX<br />
Die IETF Working Group PKIX arbeitete ab dem Frühjahr 1997<br />
an einer Standardgliederung für eine CP/CPS. Zielgruppe von<br />
PKIX sind Zertifizierungsstellen, die in der offenen Nutzergruppe<br />
des öffentlichen Internet agieren und anerkannt werden wollen.<br />
Die Standardgliederung soll ermöglichen, dass das Sicherheitsniveau<br />
von Zertifizierungsstellen leichter verglichen werden<br />
kann. Das Ergebnis wurde 1999 als RFC 2527 veröffentlicht<br />
[8]. Santosh Chokhani (CygnaCom) und Warwick Ford (Verisign)<br />
sind die Hauptautoren, die Inhalte wurden also maßgeblich von<br />
Mitarbeitern von CAs geprägt.<br />
Ab 2001 wurde die Weiterentwicklung in Angriff genommen. Das<br />
Ergebnis der Überarbeitung kam 2003 als RFC 3647 [9] mit einem<br />
mehr als doppelt so großen Umfang wie sein Vorgänger heraus.<br />
3.5 ANSI, Webtrust, ESI<br />
In den Jahren 2000 bis 2002 wurden vier Standards zur Evaluation<br />
von Zertifizierungsstellen verabschiedet:<br />
• ANSI X9.79 „PKI Practices and Policy Framework“ [10]<br />
• AICPA/CICA „WebTrust Program for Certification Authorities”<br />
[11]<br />
• ETSI ESI TS 101 456 v1.1.1 [12]<br />
• ETSI ESI TS 102 042 v1.1.1 [13]<br />
Diesen Evaluierungsstandards ist gemeinsam, dass sie die Offenlegung<br />
von Informationen über die Prozesse und Verfahrensweise<br />
einer Zertifizierungsstelle verlangen, dabei aber keine<br />
konkrete Form vorschreiben. Als Hilfsmittel wird aber z.B. in<br />
den ETSI-Standards die Kapitelstruktur von RFC 2527 und später<br />
RFC 3647 referenziert.<br />
Als Ergänzung zu CP/CPS beschreiben die ETSI Standards ein „PKI<br />
Disclosure Statement“ (PDS). Das PDS soll dem Nutzer die wichtigsten<br />
Eigenschaften der Zertifizierungsstelle kurz und knapp<br />
erläutern. Leider hat sich dieses Format nicht etabliert. Nur sehr<br />
wenige Zertifizierungsstellen bieten ein PDS an.<br />
4 Gliederung nach RFC 3647<br />
Inzwischen verwenden die meisten Zertifizierungsstellen die in<br />
RFC 3647 definierte Standardgliederung für ihre CP/CPS, auch<br />
wenn man ab und zu noch Dokumente nach RFC 2527 oder sogar<br />
mit ganz anderen Strukturen findet. Der vielleicht wichtigste Aspekt<br />
dabei: Es darf kein Kapitel oder Unterkapitel der Standardgliederung<br />
ausgelassen werden, selbst wenn die Zertifizierungsstelle<br />
über die betreffenden Punkte keine Informationen geben<br />
möchte. Solche nicht ausgefüllten Kapitel müssen mit dem expliziten<br />
Hinweis „Keine Angaben.“ gefüllt werden, da nur so die Vergleichbarkeit<br />
von verschiedenen CP/CPS erreicht werden kann.<br />
Die von RFC 3647 definierte Gliederung unterscheidet nicht zwischen<br />
CP und CPS. Für beide Dokumenttypen soll dieselbe Struktur<br />
verwendet werden, wobei der Inhalt jeweils an die unterschiedliche<br />
Zielsetzung angepasst sein soll: <strong>Verein</strong>facht kann gesagt<br />
werden, dass in der CP das „Was“ und in der CPS das „Wie“<br />
stehen soll.<br />
Kapitel 1 eines zu RFC 3647 kompatiblen Dokuments enthält eine<br />
Identifikation des Dokuments (möglichst in Form eines Object<br />
Identifiers, die auch in den ausgestellten Zertifikaten enthalten<br />
sein kann), die Definition der Teilnehmer der PKI, mögliche<br />
Verwendungsarten der ausgestellten Zertifikate und Informationen<br />
über die Verwaltung des Dokumentes.<br />
Kapitel 2 enthält Aussagen zu öffentlich zugänglichen Informationen<br />
über die PKI, wie z.B. die Adressen von Sperrlisten, OCSP-<br />
Server oder Verzeichnisdiensten.<br />
In Kapitel 3 findet sich der interessanteste Teil des Dokumentes.<br />
Es trägt den Titel „Identification and Authentication“, und<br />
beantwortet die folgenden Fragen:<br />
• Wie werden die Daten, die in das Zertifikat aufgenommen<br />
werden, verifiziert?<br />
• Welche Namen werden überhaupt in ein Zertifikat auf -<br />
genommen?<br />
• Wie werden Zertifikat- und Sperranträge authentifiziert?<br />
Kapitel 4 befasst sich mit allen Aspekten des Lebenszyklus der<br />
Zertifikate in der PKI:<br />
• Wie werden Anträge gestellt?<br />
• Wie werden die Anträge dann weiterbearbeitet?<br />
• Wie werden Zertifikaterneuerungen und Sperrungen<br />
durchgeführt?<br />
• Was für einen Zertifikat-Status-Service gibt es?<br />
• Gibt es in der PKI Schlüsselhinterlegung und<br />
-wiederherstellung?<br />
• Welche Verantwortlichkeiten haben Zertifikatinhaber<br />
und weitere Parteien im Umgang mit den Schlüsseln und<br />
Zertifikaten?<br />
Dieser letzte Punkt erlegt dem Zertifikatinhaber und weiteren<br />
Parteien Verpflichtungen auf. Alle anderen Aussagen eines RFC
SICHERHEIT | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
37<br />
3647-konformen Dokumentes betreffen üblicherweise die Zertifizierungs-<br />
oder Registrierungsstelle. Wussten Sie, dass Sie vor dem<br />
Bezug eines Zertifikats tunlichst in Kapitel 4.5 der zugehörigen<br />
CP/CPS nachschauen sollten, wie Sie mit dem Zertifikat und dem<br />
dazugehörigen privaten Schlüssel umgehen dürfen? Aber nicht<br />
nur dem Zertifikatinhaber werden an dieser Stelle Verpflichtungen<br />
auferlegt: Auch Zertifikatprüfer, also Personen, die ein Zertifikat<br />
im Rahmen von z.B. S/MIME oder SSL präsentiert bekommen,<br />
können in diesem Kapitel dazu verpflichtet werden, eine<br />
Gültigkeitsprüfung mittels Sperrlisten oder OCSP vorzunehmen.<br />
Kapitel 5, „Management, Operational and Physical Controls“, beschreibt<br />
die nicht technischen Sicherheitsmaßnahmen der Zertifizierungsstelle:<br />
Rollenmodelle, physische Rechenzentrumssicherheit,<br />
Audit- und Logprozeduren, Trainingsanforderungen usw.<br />
Kapitel 6 widmet sich den technischen Sicherheitsmaßnahmen:<br />
• Erzeugung und Installation der CA-Schlüssel<br />
• Schutz des privaten Schlüssels der CA durch Hardware<br />
Security Module<br />
• Gibt es Schlüssel-Backups, z.B. von Nutzerschlüsseln, oder<br />
werden Schlüssel an weitere Parteien offengelegt?<br />
• Vorgaben für Passwortlängen, Schlüsselgrößen,<br />
Krypto-Algorithmen<br />
• Netzwerk- und Systemsicherheitsmaßnahmen<br />
Kapitel 7 beschreibt die konkrete Ausgestaltung von Zertifikaten,<br />
Sperrlisten und evtl. der OCSP-Dienste: Welche Felder werden belegt,<br />
welche Zertifikaterweiterungen werden unterstützt, werden<br />
Object Identifier zur Markierung von Zertifikaten verwendet?<br />
Kapitel 8 legt dar, wie die Zertifizierungsstelle die Konformität<br />
ihres Betriebs zu ihren eigenen Richtlinien sicherstellt.<br />
Kapitel 9 enthält schließlich Aussagen über die rechtlichen Rahmenbedingungen<br />
des Betriebs, Regelungen zum Datenschutz<br />
und Haftungserklärungen.<br />
5 Dokumente in der Praxis<br />
RFC 3647 ist ein langes und sperriges Dokument, und so verwundert<br />
es nicht, dass einige Zertifizierungsstellen eine individuelle<br />
Umsetzung gewählt haben. Im Folgenden werden Beispiele aus<br />
der Praxis vorgestellt, wobei der Fokus auf Zertifizierungsstellen<br />
liegt, deren CA-Zertifikate im Webbrowser verankert sind.<br />
5.1 Comodo<br />
Comodo veröffentlicht ein CPS [14]. Die älteste abrufbare Version<br />
ist von 2005, und umfasst knapp 50 Seiten. Das aktuelle Dokument<br />
hat mehr als 90 Seiten und ist in einer eigenen, nicht<br />
RFC 3647-konformen Struktur verfasst. Besonders auffällig ist,<br />
dass zur CPS noch mehr als 20 weitere Anhang-Dokumente gehören,<br />
die in unterschiedlichen Situationen Geltung haben. Im Dokument<br />
werden Sicherheitsanforderungen für 42 verschiedene<br />
Zertifikattypen und -produkte (z.B. Essential SSL, Elite SSL, PlatinumSSL,<br />
Comodo Premium SSL usw.) beschrieben.<br />
5.2 <strong>DFN</strong><br />
Der <strong>DFN</strong>-<strong>Verein</strong> stellt seit 1996 für seine Anwender PKI-Dienstleistungen<br />
zur Verfügung. 1997 wurde ein Satz von Richtlinien<br />
unter dem Namen Low-Level Policy und Medium-Level Policy<br />
veröffentlicht, die mit jeweils ca. 20 Seiten die <strong>Ausgabe</strong> von<br />
X.509- und PGP-Zertifikaten an Personen regelten [15, 16]. 1999<br />
kam dann die „World Wide Web Policy“ für die Zertifizierung<br />
von Servern hinzu [17].<br />
Die Richtlinien folgen einer eigenen Struktur und befassen sich<br />
ausführlich mit den organisatorischen Aspekten der Zertifizierung<br />
von Zertifizierungsstellen. Es handelt sich also eher um<br />
Dokumente einer „Policy Certification Authority“ im Geiste von<br />
RFC 1422 aus dem PEM-Umfeld.<br />
Ab 2005 erfolgte dann eine Umstellung der Zertifizierungs- wie<br />
auch der Dokumentenstruktur. Die aktuelle <strong>DFN</strong>-PKI (unter Verantwortung<br />
der Autoren dieses Artikels) umfasst fünf verschiedene<br />
Sicherheitsniveaus (darunter z.B. Spezial-Zertifikate für das<br />
Grid-Computing), die in vier verschiedenen CPs von jeweils 40 bis<br />
50 Seiten beschrieben werden [18]. Zu drei der vier CPs gibt es<br />
eine ergänzende CPS von 10 bis 25 Seiten, ein Sicherheitsniveau<br />
wird in einem kombinierten CP/CPS beschrieben. Die Dokumente<br />
sind nach RFC 3647 strukturiert.<br />
5.3 Symantec<br />
Symantec (früher Verisign) veröffentlicht für seine Zertifikat-Produkte<br />
eine CP von fast 90 Seiten und eine CPS von mehr als 150<br />
Seiten [19, 20]. Ältere Versionen sind nicht direkt abrufbar, können<br />
aber per E-Mail angefordert werden.<br />
Es fällt auf, dass beide Dokumente sehr große Überschneidungen<br />
aufweisen und beispielsweise das Kapitel 3 „Identification<br />
and Authentication“ fast identisch ist. Ein weiteres sehr interessantes<br />
Merkmal findet sich in den Anhängen zur CPS: Hier wurden<br />
relevante externe Standards wie die „Baseline Requirements<br />
for the Issuance and Management of Publicly-Trusted Certificates“<br />
des CA Browser Forums [21] oder aber die „Guidelines for<br />
the Issuance and Management of Extended Validation (EV) Certificates“<br />
[22] direkt wörtlich in das Dokument eingebunden.<br />
5.4 TC TrustCenter<br />
TC TrustCenter veröffentlicht eine CP und eine CPS inklusive aller<br />
historischen Versionen [23, 24]. Im Jahr 1999 wurde die erste,<br />
nach einer eigenen Struktur aufgebaute CP mit ca. 20 Seiten Um-
38 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | SICHERHEIT<br />
fang veröffentlicht. Das Dokument beschreibt ausschließlich die<br />
Abläufe der Identifizierung und Authentifizierung, was Kapitel<br />
3 in einem RFC 3657-Dokument entspricht. Dieses Dokument ist<br />
in überarbeiteter Form auch heute noch in Gebrauch. Es wird in<br />
der englischen Version „Certificate Policy Definitions“ genannt.<br />
Ab 2001 veröffentlichte TC TrustCenter zusätzlich ein nach RFC<br />
2527 und später RFC 3647 gegliedertes CPS, das im Laufe der Jahre<br />
von ca. 40 auf aktuell über 70 Seiten gewachsen ist. Das Kapitel<br />
3 dieses Dokuments ist recht ausführlich gehalten, verweist<br />
aber zusätzlich weiterhin auf die CP.<br />
Beide Dokumente definieren fünf Zertifikatklassen mit unterschiedlichen<br />
Anforderungen an die Verifikation von Daten in den<br />
ausgestellten Zertifikaten.<br />
6 Nützlichkeit<br />
Nach diesen Beispielen aus der Praxis stellt sich jetzt die Frage,<br />
welchen Nutzen die Veröffentlichung von CP oder CPS hat. Dass<br />
eine CA als Trusted Third Party dokumentieren muss, wie sie das<br />
in sie gesetzte Vertrauen rechtfertigt, liegt auf der Hand. Aber<br />
welchen Beitrag leisten hierzu CP und CPS?<br />
Im Prinzip ist alles ganz einfach: Der Nutzer eines Zertifikats liest<br />
die dazugehörigen Dokumente und weiß sofort, wie es um die<br />
Vertrauenswürdigkeit einer CA und deren Zertifikate bestellt ist.<br />
Wie man allerdings an den Praxis-Beispielen erkennen kann, scheitert<br />
dieser Ansatz schon am Umfang einer gewöhnlichen CP oder<br />
CPS. Man muss bei 90 Seiten Dokumentation vorab recht genau<br />
wissen, an welchen Stellen die kritischen Punkte stehen, die zur<br />
Beurteilung der Vertrauenswürdigkeit wichtig sind. Die Verteilung<br />
wichtiger Inhalte auf zig Anhänge erschwert dies zusätzlich.<br />
Und noch ein weiteres Zahlenspiel: In Mozilla-Produkten sind<br />
aktuell 62 verschiedene Organisationen mit 158 Root-CA-Zertifikaten<br />
enthalten [25]. Man müsste sich also durch mindestens<br />
6.000, vermutlich aber eher 10.000 Seiten Dokumentation arbeiten,<br />
um einen vollständigen Überblick über die Arbeitsweise und<br />
Vertrauenswürdigkeit dieser CAs zu bekommen.<br />
Daher muss ein CP/CPS als ein Dokument begriffen werden, das<br />
nicht den Zertifikatnutzern, sondern Fachleuten dient . Die CP/<br />
CPS ist der Mittelpunkt der gesamten Dokumentationslage und<br />
Startpunkt zur Beurteilung einer Zertifizierungsstelle. Es dient als<br />
zentraler Ankerpunkt für Dokumente, die in alle Richtungen zielen:<br />
• Zertifikatinhaber benötigen eine Zusammenfassung ihrer<br />
Rechte und Pflichten, die in „Subscriber Obligations“-<br />
oder „Subject Information“-Papieren beschrieben werden.<br />
• Mitarbeiter der Zertifizierungsstelle benötigen für<br />
interne Zwecke weitere Dokumente wie z.B. ein<br />
Sicherheits konzept, ein Betriebshandbuch und<br />
Administrationsdokumentation.<br />
• Softwarehersteller, die die CA in ihre Produkte vorinstallieren<br />
wollen, verlangen Prüfberichte und weitere Erklärungen<br />
zur Konformität mit eigenen Vorgaben.<br />
• Auditoren sehen CP/CPS ebenfalls nur als erste Ansatzpunkte,<br />
die durch weitere interne und externe Dokumente,<br />
Checklisten und Vorgaben ergänzt werden müssen.<br />
WebTrust<br />
ETSI TS 102 042<br />
RFC3647<br />
CA/Browserforum<br />
Baseline Requirements<br />
CP/CPS<br />
Subject Information<br />
Subscriber Obligations<br />
Sicherheitskonzept<br />
Risikoanalyse<br />
Betriebshandbuch<br />
...........................<br />
Abb. 1: CP/CPS als Ankerpunkt der Dokumentation
SICHERHEIT | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
39<br />
Derjenige, der im Internet auf ein Zertifikat stößt, muss sich normalerweise<br />
ganz darauf verlassen, dass die CA vorab überprüft<br />
wurden, da er nur schwerlich für jedes Zertifikat die dazugehörige<br />
CP oder CPS studieren kann.<br />
Als Zertifikatnutzer vertraut man dabei den Fachleuten der verwendeten<br />
Software, sei es der Webbrowser, das Betriebssystem<br />
oder spezielle Anwendungen für qualifizierte Signaturen nach<br />
dem Signaturgesetz.<br />
Jeder große Betriebssystem- und Browserhersteller hat ein eigenes<br />
„Root-Programm“, in dem eine Root CA zunächst geprüft<br />
wird, bevor sie in der Software vorinstalliert wird. Die CP/CPS<br />
wird dabei immer mit geprüft und ist unabdingbarer Bestandteil<br />
des Prozesses.<br />
Aber auch andere Organisationen setzen einen Mechanismus um,<br />
bei dem die Prüfung von CP/CPS gekapselt wird und an zentraler<br />
Stelle für eine Vielzahl von Nutzern erfolgt. Beispiele sind die<br />
TeleTrusT European Bridge CA [26] oder die European Grid PMA<br />
zusammen mit der International Grid Trust Federation [27]. Die<br />
TeleTrust European Bridge CA nutzt eine eigene CP (konform zu<br />
RFC 3647), die alle teilnehmenden CAs einhalten müssen, während<br />
die European Grid PMA mit sogenannten „Authentication<br />
Profiles“ arbeitet, gegen die die Konformität der CP/CPS von CAs<br />
geprüft werden.<br />
7 Defizite<br />
Wie sich in den Praxisbeispielen schon angedeutet hat, ist der<br />
Nutzen von CP/CPS durchaus kritisch zu bewerten. Die von CAs<br />
veröffentlichten Dokumente sind bisweilen sehr schwer zu lesen,<br />
da entweder irrelevante Allgemeinplätze beschrieben werden<br />
oder aber die Detailtiefe so groß ist, das jeder Überblick verloren<br />
geht. Dies ist aber nicht nur Schuld der CAs, die sich zu wenig<br />
Mühe bei der Gestaltung ihrer Dokumente geben: Gerade an<br />
im Webbrowser vorinstallierte CAs werden (zu Recht) ständig<br />
neue externe Anforderungen gestellt, die umgesetzt und in CP/<br />
CPS dokumentiert werden müssen.<br />
Mozilla, Microsoft und Co. haben in ihren jeweiligen Root-<br />
Programmen unterschiedliche Anforderungen, die sich darüber<br />
hinaus noch mehr oder weniger häufig ändern. Hinzu kommen<br />
weitere Anforderungen aus Standards, die CAs einhalten<br />
müssen oder wollen, beispielsweise Webtrust, ETSI oder die<br />
Baseline Requirements des CA/Browserforums. Die Einhaltung<br />
dieser Standards wird üblicherweise regelmäßig von externen<br />
Auditoren überprüft. Je nach Prüfer kann hierbei durchaus<br />
jedes Jahr eine neue Verfeinerung von CP/CPS notwendig<br />
werden. Das Ergebnis sind die in den Beispielen vorgestellten<br />
komplizierten Strukturen von über die Zeit gewachsenen<br />
Dokumenten, die sich dem normalen Leser komplett ent -<br />
ziehen.<br />
Ein weiteres Problem: Die eigentlich vorgesehene einfache Vergleichbarkeit<br />
zwischen verschiedenen CAs ist kaum gegeben, da<br />
zum einen die Abgrenzung zwischen CP und CPS uneinheitlich<br />
gehandhabt wird und zum anderen die Standardgliederung aus<br />
RFC 3647 nicht immer konsequent übernommen wird.<br />
Des Weiteren ist eine CP oder CPS vollkommen ungeeignet, um<br />
Zertifikatinhaber oder -nutzer verbindlich zu einem bestimmten<br />
Verhalten zu verpflichten (z.B. Sorgsamkeitspflichten im Umgang<br />
mit dem privaten Schlüssel, wie sie oft in Kapitel 4.5 eines RFC<br />
3647-kompatiblen Dokumentes zu finden sind). Hierfür müssen<br />
weitere, kürzere Dokumente wie ein „Subscriber Agreement“ oder<br />
eine „Subject Information“ genutzt werden, die als Ergänzung<br />
zur CP/CPS genau die Aspekte aufgreifen, die für die jeweilige<br />
Zielgruppe wirklich relevant sind. Und wenn es um Verpflichtungen<br />
zur Prüfung der Zertifikat-Gültigkeit per Sperrliste oder OCSP<br />
geht, nützen noch so viele Dokumente nichts: Selbst wenn ein<br />
Nutzer weiß, dass er die Gültigkeit eines Zertifikats prüfen soll,<br />
so ist er doch darauf angewiesen, dass die verwendete Software<br />
diese Aufgabe für ihn erledigt. Hier gibt es viele Probleme: In Mozilla<br />
Firefox/Thunderbird sind die Mechanismen für Sperrlisten<br />
seit Jahren fehlerhaft, und auch wenn seit einiger Zeit OCSP recht<br />
gut unterstützt wird, so wird doch in den Default-Einstellungen<br />
bei Nichterreichbarkeit eines OCSP-Servers kein Fehler erzeugt,<br />
sondern das Zertifikat einfach als gültig akzeptiert.<br />
Noch ärger ist es bei Google Chrome: Anfang 2012 deaktivierte<br />
Google die übliche Unterstützung für Sperrlisten und OCSP in<br />
den Default-Einstellungen von Chrome und nutzt stattdessen<br />
eine stark eingeschränkte Untermenge an Sperrinformationen<br />
(„CRLSet“), die nach Vorauswahl durch Google per Update-Mechanismus<br />
zu den Clients gelangt [28]. Nach etwas mehr als einem<br />
Jahr sind in Chromes CRLSet ca. 24.500 Zertifikate als gesperrt<br />
markiert, was nur ein ganz kleiner Bruchteil der weltweit<br />
von Zertifizierungsstellen gesperrten Zertifikate ist.<br />
Es bleibt noch darauf aufmerksam zu machen, dass es sehr einfach<br />
ist, eine CP/CPS zu verfassen, das zwar einen beträchtlichen<br />
Umfang an Papier oder Festplattenplatz verbraucht, aber<br />
keinerlei verwertbare Aussage enthält. Hierzu ein kleines Suchspiel:<br />
Wo steckt der Fehler in folgender Formulierung? „Zur Speicherung<br />
des privaten Schlüssels der CA kann ein nach FIPS 140-1<br />
Level 3 zertifiziertes Hardware Security Modul verwendet werden.“<br />
Auflösung: Das unscheinbare Wort „kann“ vernichtet jede<br />
Verbindlichkeit der Spezifikation.<br />
Eine solche CP/CPS könnte zwar den stolzen Titel „Entspricht<br />
RFC 3647“ tragen, wäre aber ziemlich nutzlos.
40 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | SICHERHEIT<br />
8 Fazit<br />
Zertifizierungsrichtlinien und Erklärungen zum Zertifizierungsbetrieb<br />
sind wichtige öffentliche Dokumente, die für einen Überblick<br />
über das allgemeine Sicherheitsniveau der beschriebenen<br />
PKI unabdingbar sind und ein gewisses Maß an Transparenz schaffen.<br />
Für Fachleute mit genügend Zeit zum Studium der Dokumente<br />
ergibt sich ein an einer Stelle gebündelter guter Einblick<br />
in die Arbeit einer Zertifizierungsstelle.<br />
Allerdings sind die Dokumente oft sehr unhandlich. Beschreibt<br />
eine Zertifizierungsstelle dann auch noch mehrere Zertifikattypen<br />
in einem Dokument, wird es schnell unlesbar, und man<br />
bekommt den Eindruck, dass es doch nicht so sehr um Transparenz,<br />
sondern mehr um die formale Erfüllung von externen<br />
Vorgaben geht. Es wäre wünschenswert, wenn Zertifizierungsstellen<br />
mehr auf die Lesbarkeit ihrer Dokumente und Beschreibungen<br />
achten würden. Klar verständliche Informationen für<br />
Zertifikatinhaber oder kurze und prägnante Policy Disclosure<br />
Statements wären gut geeignet, um mehr Vertrauen in die Arbeitsweise<br />
aufzubauen.<br />
Allerdings können in CP/CPS nicht alle Aspekte der Sicherheit<br />
von Zertifikaten so geregelt werden, dass sich in der Praxis alle<br />
Beteiligten daran halten (können). Wenn z.B. große Software-<br />
Hersteller keine vollständige Unterstützung von Sperrmechanismen<br />
bieten, lässt sich außerhalb eines gesetzlich reglementierten<br />
Bereichs eine Verpflichtung von Nutzern zur Prüfung der<br />
Gültigkeit von Zertifikaten durch die Zertifizierungsstelle in der<br />
Praxis nicht durchsetzen.<br />
Trotzdem sind CP/CPS als Ausgangspunkt für die Dokumentationslage<br />
einer Zertifizierungsstelle und als zentrale Sammlung<br />
der verbindlichen Verpflichtungen aller beteiligten Rollen unersetzlich.<br />
M<br />
Literatur<br />
[1] Spiegel Online, „Schludrige Schlüsselmeister gefährden das Web“,<br />
http://www.spiegel.de/netzwelt/netzpolitik/internetsicherheitschludrige-schluesselmeister-gefaehrden-das-web-a-786481.html<br />
[2] DuD 22 (1998) 9, Dirk Fox, Eine ‚PGP-Policy‘ für Unternehmen<br />
[3] ITU-T Recommendation X.509 (11/1988) – THE DIRECTORY – AUTHEN-<br />
TICATION FRAMEWORK<br />
[4] ITU-T Recommendation X.509 (11/1993) – THE DIRECTORY – AUTHEN-<br />
TICATION FRAMEWORK<br />
[5] ITU-T Recommendation X.509 (08/1997) – THE DIRECTORY – AUTHEN-<br />
TICATION FRAMEWORK<br />
[6] IETF, RFC1422, S. Kent, Privacy Enhancement for Internet Electronic<br />
Mail: Part II: Certificate-Based Key Management, Februar 1993,<br />
http://www.ietf.org/rfc/rfc1422.txt<br />
[7] American Bar Association, Digital Signature Guidelines, August 1996<br />
[8] IETF, RFC 2527, S. Chokhani, W. Ford, Internet X.509 Public Key Infrastructure,<br />
Certificate Policy and Certification Practices, März 1999,<br />
Framework, http://www.ietf.org/rfc/rfc2527.txt<br />
[9] IETF, RFC 3647, S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, Internet<br />
X.509 Public Key Infrastructure Certificate Policy and Certification<br />
Practices Framework, November 2003, http://www.ietf.org/rfc/<br />
rfc3647.txt<br />
[10] ANSI, X9.79 PKI Practices and Policy Framework for the Financial<br />
Services Industry, 2001<br />
[11] AICPA/CICA, WebTrust Program for Certification Authorities Version<br />
1.0, August 25, 2000<br />
[12] ETSI ESI TS 101 456 v1.1.1, Electronic Signatures and Infrastructures<br />
(ESI): Policy requirements for certification authorities issuing qualified<br />
certificates, Dezember 2000<br />
[13] ETSI ESI TS 102 042 v1.1.1, Electronic Signatures and Infrastructures<br />
(ESI): Policy requirements for certification authorities issuing public<br />
key certificates, April 2002<br />
[14] Comodo Certification Practice Statement v. 4.0, October 2012,<br />
http://www.comodo.com/about/comodoagreements.php<br />
[15] <strong>DFN</strong>-<strong>Verein</strong>, Zertifizierungsrichtlinien für die <strong>DFN</strong>-PCA, Medium-<br />
Level Policy, Version 1.0, April 1997<br />
[16] <strong>DFN</strong>-<strong>Verein</strong>, Zertifizierungsrichtlinien für die DN-PCA, Low-Level<br />
Policy, Version 1.0, April 1997<br />
[17] <strong>DFN</strong>-<strong>Verein</strong>, Zertifizierungsrichtlinien für die <strong>DFN</strong>-PCA, Die World<br />
Wide Web Policy, Version 1.0, April 1999<br />
[18] <strong>DFN</strong>-<strong>Verein</strong>, Policies der <strong>DFN</strong>-PKI, http://www.pki.dfn.de/policies<br />
[19] Symantec Trust Network (STN) Certificate Policy Version 2.8.11,<br />
Februar 2013, http://www.verisign.com/repository/index.html<br />
[20] Symantec Trust Network (STN) Certification Practices Statement<br />
Version 3.8.12, Februar 2013, http://www.verisign.com/repository/<br />
index.html<br />
[21] CA/Browser Forum, Baseline Requirements for the Issuance and<br />
Man agement of Publicly-Trusted Certificates, Version 1.1, September<br />
2012, https://www.cabforum.org<br />
[22] CA/Browser Forum, Guidelines for the Issuance and Management of<br />
Extended Validation (EV) Certificates, Version 1.4, Mai 2012, https://<br />
www.cabforum.org<br />
[23] TC TrustCenter, Zertifizierungsrichtlinien, Januar 2010, http://www.<br />
trustcenter.de/about/repository.htm<br />
[24] TC TrustCenter GmbH, Certification Practice Statement Version 1.9.3,<br />
Januar 2010, http://www.trustcenter.de/about/repository.htm<br />
[25] Mozilla CA Certificate Store, http://www.mozilla.org/projects/security/certs<br />
[26] TeleTrusT European Bridge CA, https://www.ebca.de<br />
[27] The European Policy Management Authority for Grid Authentication<br />
in e-Science, http://www.eugridpma.org<br />
[28] Revocation checking and Chrome‘s CRL, Februar 2012) http://www.<br />
imperialviolet.org/2012/02/05/crlsets.html
SICHERHEIT | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
41<br />
Sicherheit aktuell<br />
Heike Ausserfeld (<strong>DFN</strong>-<strong>Verein</strong>), Dr. Ralf Gröper (<strong>DFN</strong>-<strong>Verein</strong>),<br />
Dr. Klaus-Peter Kossakowski<br />
SHA-2 in der <strong>DFN</strong>-PKI<br />
Die in der <strong>DFN</strong>-PKI in den ausgestellten Zertifikaten<br />
verwendeten Algorithmen müssen fortwährend auf<br />
ihre Eignung zur Sicherstellung des gewohnten Sicherheitsniveaus<br />
überprüft werden. Durch aktuelle<br />
Forschungsergebnisse im Bereich der Kryptologie ergibt<br />
sich ab und an die Notwendigkeit, hier auf neuere<br />
Algorithmen oder Schlüssellängen umzusteigen. Die<br />
letzte Änderung dieser Art war die Vergrößerung der<br />
minimalen RSA-Schlüssellänge von 1024 auf 2048 Bit<br />
im Dezember 2006. Derzeit ist der Hashingalgorithmus<br />
SHA-1 betroffen. Dieser gilt noch als sicher, aber durch<br />
mehrere Forschungsergebnisse wurde die Effektivität<br />
dieses Algorithmus bereits gesenkt. Der Nachfolger<br />
SHA-2 wurde bereits 2001 vom NIST standardisiert. Da<br />
die Umsetzung in der Technik aber zunächst äußerst<br />
schleppend verlief, und alle beteiligten Komponen-<br />
ten diesen Algorithmus unterstützen müssen, ist bei<br />
der Migration Vorsicht geboten. Aktuelle Standardbetriebssysteme<br />
und -software unterstützen SHA-2 in der<br />
Regel, so etwa Microsoft Windows seit Windows XP<br />
mit Service Pack 3. Für den Einsatz auf Appliances und<br />
älteren Systemen kann aber keine allgemeingültige<br />
Aussage getroffen werden. Es wurden bereits mehrere<br />
CAs in der <strong>DFN</strong>-PKI in Absprache mit den Anwendern<br />
auf SHA-2 umgestellt und bisher wurden keine Inkompatibilitäten<br />
berichtet. Falls Sie Ihre CA in der <strong>DFN</strong>-PKI<br />
auf SHA-2 umstellen möchten, setzen Sie sich bitte mit<br />
uns in Verbindung. Es besteht dann auch weiterhin<br />
für Spezialanwendungen die Möglichkeit, mit SHA-1<br />
gehashte Zertifikate zu erhalten. Der Zeitpunkt für<br />
den generellen Umstieg wird dann rechtzeitig von<br />
der <strong>DFN</strong>-PCA angekündigt. M<br />
Einfluss von Geheimdiensten auf Kryptoalgorithmen<br />
Derzeit findet im öffentlichen und politischen Raum<br />
eine Diskussion über PRISM und TEMPORA statt und<br />
löst viel Verunsicherung aus. Dies betrifft insbesondere<br />
die Sicherheit der Datenübertragung im Internet,<br />
aber auch die Sicherheit der beim Endnutzer eingesetzten<br />
IT-Komponenten, beides auch im Hinblick<br />
auf darin installierte Hintertüren.<br />
Eine besondere Rolle nehmen hierbei kryptographische<br />
Funktionen ein, die sehr komplex und nur für<br />
wenige Experten durchschaubar sind. An der Entwicklung<br />
dieser kryptographischen Funktionen waren<br />
teilweise namhafte Experten der NSA beteiligt<br />
bzw. komplette Funktionen wurden direkt von der<br />
NSA entwickelt. Während lange Zeit diese Hilfe gerne<br />
in Anspruch genommen wurde, stellt sich heute jedoch<br />
die Frage, ob die NSA hierbei bewusst Schwachstellen<br />
in die Funktionen eingebaut hat.<br />
Interessanterweise gibt es aus der Geschichte des<br />
Verschlüsselungsverfahrens „DES“ Hinweise, die die<br />
Fähigkeit der NSA, Schwachstellen in Algorithmen zu<br />
erkennen, nahelegen. So hatte die NSA seinerzeit Änderungen<br />
verlangt, ohne diese im Detail zu erklären.<br />
Erst viele Jahre später kam heraus, dass hierdurch das<br />
DES-Verfahren sicherer gemacht wurde gegen eine<br />
der Öffentlichkeit und auch der Wissenschaft damals<br />
noch unbekannte Klasse der Kryptoanalyse, der „differentiellen<br />
Analyse“.<br />
Bereits durch kleine Veränderungen können Algorithmen<br />
so geschwächt werden, dass diese für normale<br />
Angreifer zwar „unknackbar“ bleiben, die Schwächung<br />
aber ausreicht, dass die NSA mit ihren unstrittig überragenden<br />
Ressourcen gezielt einzelne gesicherte Verbindungen<br />
entschlüsseln kann. Eine generelle umfassende<br />
Entschlüsselung des gesamten verschlüsselten<br />
Verkehrs dürfte allerdings nicht möglich sein. Es gibt<br />
auch keinerlei Hinweise darauf, dass die in der <strong>DFN</strong>-<br />
PKI verwendeten Algorithmen (RSA und SHA-1 bzw.<br />
SHA-2) betroffen sein könnten. M
42 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | SICHERHEIT<br />
DDoS-Amplification-Attacken über Open Resolver und andere Dienste<br />
Eine zunehmend eingesetzte Methode, um die Effektivität<br />
von DDoS-Angriffen zu erhöhen, ist der Einsatz<br />
von DDoS-Amplification. Hierbei werden (beabsichtigter-<br />
oder unbeabsichtigterweise) öffentlich erreichbare<br />
Dienste, die das verbindungslose UDP-Protokoll<br />
verwenden, missbraucht, ohne dass diese Dienste selber<br />
kompromittiert sind. Die Verwendung des UDP-<br />
Protokolls ermöglicht es Angreifern, mit gefälschten<br />
Quell-Adressen sehr leicht Anfragen aus ihren Botnetzen<br />
an diese Dienste zu stellen. Diese Anfragen<br />
werden bearbeitet und beantwortet, wobei eine im<br />
Vergleich zur Anfrage sehr große Antwort an die gefälschte<br />
Absenderadresse gesendet wird. Somit wird<br />
die Effektivität des Angriffs je nach Protokoll bis zu<br />
2.500-fach verstärkt.<br />
Häufig sind heutzutage als überflüssig betrachtete<br />
Dienste betroffen, wie zum Beispiel CHARGEN. Daneben<br />
erweisen sich allerdings auch nützliche Dienste,<br />
die in lokalen Netzen flächendeckend zum Einsatz<br />
kommen, allen voran SNMP, als kritisch, wenn sie aus<br />
dem Internet heraus erreichbar sind.<br />
Während die Geräte mit veralteten Diensten wie CHAR-<br />
GEN durch Abschalten oder der Sperrung des Zugriffs<br />
aus dem Internet abgesichert werden können, werden<br />
auch Dienste für DDoS-Angriffe missbraucht, die<br />
beabsichtigterweise aus dem Internet heraus erreichbar<br />
sind. So werden weiterhin öffentlich erreichbare<br />
DNS-Server (Open Resolver) für DDoS-Angriffe ausgenutzt.<br />
Nur durch die sichere Konfiguration und flankierende<br />
Maßnahmen wie beispielsweise die Begrenzung<br />
der Datenrate können Angriffe solcher Art verhindert<br />
oder zumindest eingeschränkt werden. Das<br />
durch aus dem Internet erreichbare Dienste verbleibende<br />
Restrisiko muss in jedem Fall vom Betreiber<br />
des Dienstes berücksichtigt und getragen werden.<br />
<strong>DFN</strong>-Anwender werden weiterhin reaktiv vom <strong>DFN</strong>-<br />
CERT über die Automatischen Warnmeldungen über<br />
kompromittierte Systeme informiert und können proaktiv<br />
über den Netzwerkprüfer aus dem Internet heraus<br />
erreichbare Dienste in ihrem Netz erkennen. M<br />
Infizierung von Druckern und Multifunktionsgeräten<br />
Wiederholt wurden zu <strong>DFN</strong>-Einrichtungen gehörende<br />
IP-Adressen, die aktiv an DDoS-Angriffen beteiligt<br />
waren, an das <strong>DFN</strong>-CERT gemeldet. Nach Benachrichtigung<br />
der Anwender wurden die Hinweise in einigen<br />
Fällen zunächst als ‚false positives‘ eingestuft<br />
und daher nicht weiter beachtet. Grund hierfür war<br />
zumeist, dass es sich bei den gemeldeten IP-Adressen<br />
um Drucker oder Multifunktionsgeräte und nicht<br />
um Rechner handelte. Genauere Untersuchungen ergaben,<br />
dass diese Geräte unbeabsichtigterweise aus<br />
dem Internet direkt erreichbar waren, zum Beispiel<br />
über (Web-)Konfigurationsschnittstellen oder über<br />
das SNMP-Protokoll und über diesen Weg tatsächlich<br />
mit Malware infiziert worden waren.<br />
Bei öffentlich erreichbaren Konfigurationsschnittstellen<br />
besteht eine hohe Einbruchsgefahr, da sie oftmals<br />
in der Standardeinrichtung mit bekannten Benutzernamen<br />
und Passwörtern belassen werden und zudem<br />
häufig ausnutzbare Schwachstellen enthalten. Die<br />
Geräte werden, da sie von außen erreichbar ins Netz<br />
gestellt sind, von Suchmaschinen indiziert. Angreifer<br />
können sie so über entsprechende Suchanfragen (sogenannte<br />
Google-Dorks) einfach aufspüren. M<br />
Kontakt<br />
Wenn Sie Fragen oder Kommentare zum<br />
Thema „Sicher heit im <strong>DFN</strong>“ haben, schicken<br />
Sie bitte eine Mail an sicherheit@dfn.de.
RECHT | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
43<br />
Happy Birthday,<br />
Forschungsstelle Recht im <strong>DFN</strong>!<br />
Am 1. Juni 1998 wurde am Institut für Informations-, Telekommunikations- und Medienrecht<br />
der Westfälischen Wilhelms-Universität Münster unter der Leitung von<br />
Thomas Hoeren das Projekt „Unterstützung von Wissenschaft und Forschung in rechtlichen<br />
Fragen bei der sicheren Nutzung des Deutschen Forschungsnetzes“ begonnen und<br />
die in der Mitgliedschaft bekannte „Forschungsstelle Recht im <strong>DFN</strong>“ eingerichtet.<br />
In diesem Jahr blickt die Forschungsstelle Recht im <strong>DFN</strong> damit auf eine inzwischen<br />
15-jährige Tätigkeit für die <strong>DFN</strong>-Gemeinschaft zurück.<br />
Foto: © teleginatania - Fotolia.com
44 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | RECHT<br />
Von Beginn an wurde mit dem Projekt das Ziel verfolgt, die Rechtssicherheit<br />
im Umgang mit elektronischen Informations- und Kommunikationssystemen<br />
zu verbessern. Kaum eine neue Technologie<br />
in der jüngeren Geschichte hat derart viele Rechtsfragen<br />
aufgeworfen wie die netzgestützte Datenkommunikation. Fast<br />
täglich hört und liest man über die diversen Rechtsprobleme,<br />
die das Internet mit seinen technischen Möglichkeiten aufwirft.<br />
Dies ist keine neue Entwicklung. So wurde für den <strong>DFN</strong>-<strong>Verein</strong><br />
schon bald nach Einführung des Wissenschaftsnetzes B-WiN, das<br />
von 1996 bis 1999 die Wissenschaft mit einem leistungsfähigen<br />
Datennetz versorgte, offensichtlich, dass beim Betrieb eines Datennetzes<br />
für die Wissenschaft an einen rechtsfreien Raum nicht<br />
zu denken war. Rechtliche Fragestellungen wurden drängender<br />
und nahmen neben den vielfältigen technischen Belangen einen<br />
immer größeren Raum ein.<br />
Nach nunmehr 15-jähriger Arbeit der Forschungsstelle ist der<br />
Bedarf angesichts einer fast unüberschaubaren Vielzahl an Fragestellungen<br />
aus verschiedenen Rechtsbereichen wie dem Telekommunikationsgesetz,<br />
dem Datenschutzrecht, dem Urheberrecht<br />
etc., die sich im Zusammenhang mit dem Wissenschaftsnetz<br />
stellen, nach wie vor enorm. Seien es die Datenschutzproblematiken<br />
in Social-Media-Zusammenhängen, Urheberrechtsfragen,<br />
Persönlichkeitsrechte oder netzgestützte Manipulationen des<br />
elektronischen Zahlungsverkehrs.<br />
In der Forschungsstelle Recht beschäftigen sich junge Wissenschaftler<br />
mit besonderen Fachkenntnissen im Bereich Medienrecht<br />
mit diesen Fragestellungen und leisten in Begleitung des<br />
technischen Betriebs des Wissenschaftsnetzes und der Rechenzentren<br />
Arbeiten auf verschiedenen Ebenen: Seit vielen Jahren<br />
veröffentlicht die Forschungsstelle Recht im <strong>DFN</strong> Artikel, Stellungnahmen<br />
und Empfehlungen in den monatlich erscheinenden<br />
<strong>DFN</strong>-Infobriefen Recht und auf den Webseiten des <strong>DFN</strong>-<strong>Verein</strong>s<br />
und informiert so über aktuelle Urteile, virulente Problematiken<br />
der Netznutzung bis hin zu Gesetzgebungsverfahren<br />
im Bereich des Online- und Medienrechtes. Als jährlich erscheinende<br />
Kompendien liegen die <strong>DFN</strong>-Infobriefe Recht im <strong>DFN</strong> seit<br />
einigen Jahren auch in gedruckter Fassung vor.<br />
den ausgewertet und künftige technische Möglichkeiten im Vorfeld<br />
juristisch eingeordnet.<br />
Zur Vertiefung aktueller Rechtfragen werden regelmäßig Rechtsseminare,<br />
Rechtsforen, Workshops und individuelle Veranstaltungen<br />
durchgeführt, in denen zu rechtlichen Fragen Stellung<br />
genommen wird. Die Forschungsstelle Recht reagiert darüber<br />
hinaus auf von den Mitgliedern an sie herangetragene Anfragen<br />
zu Problemen im Zusammenhang mit der Nutzung des Wissenschaftsnetzes<br />
und unterstützte den Ausschuss für Recht und Sicherheit<br />
durch Gutachten und Empfehlungen.<br />
Schließlich werden einzelne, für eine breite Leserschaft relevante<br />
Texte der Forschungsstelle Recht im <strong>DFN</strong> seit vielen Jahren auch<br />
in den <strong>DFN</strong>-Mitteilungen veröffentlicht. Damit soll das Wirken der<br />
Forschungsstelle Recht einem breiten Leserkreis auch jenseits<br />
des Mitgliederkreises des <strong>DFN</strong>-<strong>Verein</strong>s bekannt gemacht und für<br />
die Arbeit der Forschungsstelle Recht im <strong>DFN</strong> geworben werden.<br />
Der <strong>DFN</strong>-<strong>Verein</strong> möchte an dieser Stelle allen heutigen und früheren<br />
Mitarbeitern der Forschungsstelle Recht im <strong>DFN</strong> und Herrn<br />
Prof. Dr. Thomas Hoeren für die geleistete Arbeit danken. Nicht<br />
versäumt werden sollte an dieser Stelle, auf die Publikationen<br />
der Forschungsstelle in den Infobriefen und auf den Webseiten<br />
des <strong>DFN</strong>-<strong>Verein</strong>s hinzuweisen. Sämtliche veröffentlichten Infobriefe,<br />
Vorträge, Empfehlungen und Stellungnahmen finden sich<br />
auf den Webseiten des <strong>DFN</strong>-<strong>Verein</strong>s unter<br />
https://www.dfn.de/rechtimdfn/ (kh) M<br />
Eine besondere Qualität hat die Arbeit der Forschungsstelle Recht<br />
im <strong>DFN</strong> nicht zuletzt durch ihre breite juristische und technische<br />
Kompetenz erlangt. So ist der Rat der Forschungsstelle heute sowohl<br />
auf Seiten der Anwender wie auf Seiten des Gesetzgebers<br />
gefragt. Hierzu werden von der Forschungsstelle Recht im <strong>DFN</strong><br />
Arbeiten auf verschiedenen Ebenen erbracht: Im Rahmen der<br />
Rechtsfortbildung wird der Gesetzgeber bei der Evaluierung der<br />
rechtlichen Rahmenbedingungen zum Recht der Nutzung elektronischer<br />
Informations- und Kommunikationssysteme unterstützt<br />
und die Auswirkungen von Gesetzesneuerungen für den<br />
<strong>DFN</strong> und seine Mitglieder analysiert. Gesetzesneuerungen wer-
RECHT | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
45<br />
Ja? Nein? Jein! – Kein Ende der<br />
Odyssee um den Personenbezug<br />
von IP-Adressen<br />
Landgericht Berlin verneint Personenbezug dynamischer<br />
IP-Adressen und erlaubt Erstellung von Protokolldateien<br />
Wer Inhalte im Internet anbietet und zu diesem Zweck eine Webseite betreibt, hat<br />
aus technischer Sicht die Möglichkeit, zahlreiche Daten der Besucher der jeweiligen<br />
Webseite abzuspeichern, die im Zusammenhang mit dem Zugriff auf das Informationsangebot<br />
stehen. Inwiefern die Ausnutzung dieser Möglichkeiten allerdings auch<br />
rechtlich zulässig ist, hängt primär davon ab, ob es sich bei den gespeicherten Daten<br />
um personenbezogene Daten handelt, da solche dem Schutz des Datenschutzrechts<br />
unterliegen. Die Frage des Personenbezuges ist insbesondere für dynamische IP-Adressen<br />
stark umstritten. Das Landgericht (LG) Berlin hat sich mit Urteil vom 31.1.2013<br />
(Az. 57 S 87/08) intensiv mit dieser Frage auseinandergesetzt und sie im Ergebnis verneint.<br />
Dennoch bleibt unklar, ob dies zur Folge hat, dass IP-Adressen unbegrenzt von<br />
Webseitenbetreibern protokolliert und gespeichert werden dürfen, zumal eine Auseinandersetzung<br />
mit der Problematik der statischen IP-Adressen nicht stattgefunden hat.<br />
Text: Florian Klein (Forschungsstelle Recht im <strong>DFN</strong>)<br />
I. Hintergrund<br />
Häufig legen Betreiber von Webseiten aus<br />
verschiedenen Gründen Protokolldateien<br />
an, in denen die Zugriffe auf ihre Webseite<br />
festgehalten werden. Darin werden meist<br />
nicht nur die IP-Adressen der Besucher gespeichert,<br />
sondern beispielsweise auch der<br />
Zeitpunkt des Abrufs, der Name der abgerufenen<br />
Datei bzw. Seite, die übertragene<br />
Datenmenge, etwaige in ein Suchfeld eingegebene<br />
Begriffe oder die Meldung, ob<br />
der Abruf erfolgreich war.<br />
Wer im Internet eine Webseite betreibt<br />
und dadurch Inhalte bereitstellt, ist Anbieter<br />
eines Telemediendienstes im Sinne<br />
des Telemediengesetzes (TMG) und daher<br />
an dessen Datenschutzregelungen gebunden.<br />
Dies gilt zwar nur dann, wenn der<br />
jeweilige Betreiber auch dem räumlichen<br />
Geltungsbereich des TMG unterfällt. Da<br />
deutsche Hochschulen ihren Sitz jedoch im<br />
Bundesgebiet haben und von dort aus ihre<br />
Online-Informationsangebote betreiben,<br />
ist diese Frage für sie nicht von Bedeutung.<br />
Die spezifisch telemedienrechtlichen Datenschutzbestimmungen<br />
(§§ 12ff. TMG) beginnen<br />
zunächst mit einem Grundsatz, der<br />
in ähnlicher Form aus dem allgemeinen<br />
Datenschutzrecht bekannt ist. Sinngemäß<br />
heißt es dort: Die Erhebung und Verwendung<br />
von Daten zur Bereitstellung von Telemedien<br />
ist nur zulässig, soweit entweder<br />
das TMG selbst oder eine andere Rechtsvorschrift,<br />
die sich ausdrücklich auf Telemedien<br />
bezieht, dies erlauben oder aber soweit<br />
eine Einwilligung des Nutzers vorliegt.
46 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | RECHT<br />
Die oben genannten Daten (IP-Adressen der<br />
Besucher, Zeitpunkt des Abrufs, Name der<br />
abgerufenen Datei bzw. Seite, die übertragene<br />
Datenmenge, etwaige in ein Suchfeld<br />
eingegebene Begriffe oder die Meldung,<br />
ob der Abruf erfolgreich war), die bei einem<br />
Zugriff auf eine Webseite protokolliert<br />
werden können, gehören zu den sogenannten<br />
Nutzungsdaten im Sinne des<br />
§ 15 TMG, sofern sie einen Personenbezug<br />
aufweisen. Denn Nutzungsdaten sind die<br />
personenbezogenen Daten des Nutzers,<br />
die während der Nutzung des Telemediendienstes<br />
entstehen und erforderlich sind,<br />
um die Inanspruchnahme von Telemedien<br />
zu ermöglichen oder abzurechnen. Dies<br />
sind insbesondere Merkmale zur Identifikation<br />
des Nutzers, Angaben über Beginn,<br />
Ende und Umfang der jeweiligen Nutzung<br />
und Angaben über die vom Nutzer in Anspruch<br />
genommenen Telemedien. Personenbezogen<br />
sind diese Daten jedoch nur<br />
dann, wenn sie Einzelangaben über persönliche<br />
oder sachliche Verhältnisse einer<br />
bestimmten oder bestimmbaren natürlichen<br />
Person darstellen, § 3 Abs. 1 Bundesdatenschutzgesetz<br />
(BDSG). Wenn ein solcher<br />
Personenbezug bejaht werden kann,<br />
unterfällt die Speicherung dieser Daten<br />
den Restriktionen des § 15 TMG. Demzufolge<br />
dürfen Nutzungsdaten zwar erhoben<br />
und verwendet werden, sofern dies zur Ermöglichung<br />
der Inanspruchnahme des Telemediendienstes<br />
erforderlich ist. Ist der<br />
Nutzungsvorgang jedoch beendet, ist eine<br />
weitergehende Verwendung der Daten,<br />
welche insbesondere die Speicherung einschließt,<br />
nur noch zu Abrechnungszwecken<br />
zulässig. Insbesondere ist – anders als im<br />
Telekommunikationsrecht, das für Internet-Access-Provider<br />
als Anbieter von Telekommunikationsdiensten<br />
gilt – auch eine<br />
Speicherung der Daten unzulässig, die dem<br />
Zweck dient, Störungen oder Fehler zu erkennen,<br />
einzugrenzen oder zu beseitigen.<br />
Da Hochschulen die Inhalte auf ihren<br />
Webseiten zumeist unentgeltlich anbieten,<br />
ist eine Abrechnung mit dem Nutzer<br />
nicht erforderlich. Dies bedeutet, dass die<br />
Erstellung von Protokolldateien über die<br />
Zugriffsdaten nur so weit zulässig ist, als<br />
keine personenbezogenen Daten aufgenommen<br />
werden.<br />
II. Die Entscheidung des<br />
LG Berlin<br />
Unter welchen Umständen die Zugriffsdaten<br />
und davon insbesondere die IP-Adressen<br />
personenbezogene Daten darstellen,<br />
ist vom LG Berlin ausführlich geprüft<br />
worden.<br />
Sachverhalt<br />
Der Entscheidung des Gerichts lag der<br />
Sachverhalt zugrunde, dass die Beklagte<br />
zahlreiche öffentlich zugängliche Internetportale<br />
betrieb, auf denen Informationen<br />
von Bundesbehörden und sonstigen Bundesorganen<br />
und Bundeseinrichtungen vorgehalten<br />
wurden. Über die Nutzung dieser<br />
Portale führte sie Protokoll und speicherte<br />
darin die oben genannten Zugriffsdaten,<br />
ohne diese nach Ende des Nutzungsvorgangs<br />
zu löschen. Nach eigenen Angaben<br />
sollte dies der Abwehr von Angriffen dienen,<br />
eine Grundlage für die Strafverfolgbarkeit<br />
von Angriffen durch die Identifizierbarkeit<br />
des Angreifers schaffen und<br />
eine Abschreckungswirkung erzeugen.<br />
Kläger in dem Verfahren war ein Nutzer<br />
dieser Internetportale, der einige Seiten<br />
der Beklagten aufgerufen und dort teilweise<br />
auch Suchwörter in Suchmasken eingegeben<br />
hatte. Da seine Zugriffsdaten über<br />
das Ende des jeweiligen Nutzungsvorgangs<br />
gespeichert wurden, verlangte er vor Gericht<br />
Unterlassung dieser Speicherung von<br />
der Beklagten.<br />
Urteil<br />
Das LG Berlin gab dem Kläger teilweise<br />
Recht und verurteilte die Betreiberin des<br />
Internetportals in eingeschränktem Maße<br />
zur Unterlassung der Speicherung. Die<br />
Unterlassungspflicht bestehe nicht schon<br />
dann, wenn nur die IP-Adresse des zugreifenden<br />
Host-Systems, welche bei der Nutzung<br />
der Webseiten übertragen wurde, in<br />
Verbindung mit dem Zeitpunkt des jeweiligen<br />
Nutzungsvorgangs über dessen Ende<br />
hinaus gespeichert werde. Vielmehr müsse<br />
hinzukommen, dass der Nutzer während<br />
des Nutzungsvorgangs selbst seine Personalien,<br />
auch in Form einer personalisierten<br />
E-Mail-Adresse, angibt.<br />
Aus dem genauen Tenor der Richter ergibt<br />
sich zunächst, dass das LG Berlin den Personenbezug<br />
einer dynamischen IP-Adresse<br />
ablehnt, wenn der Zeitpunkt des Nutzungsvorgangs<br />
nicht mit gespeichert wird.<br />
Dies ist jedoch ohnehin unumstritten, da<br />
der Inhaber einer dynamischen IP-Adresse<br />
gerade wegen der dynamischen Vergabe<br />
nur identifizierbar ist, wenn man den<br />
konkreten Zeitpunkt der Nutzung kennt.<br />
Im Übrigen nimmt das LG einen Personenbezug<br />
jedoch nur dann an, wenn zusätzlich<br />
zur IP-Adresse und dem Zeitpunkt<br />
der Nutzung noch andere Daten gespeichert<br />
werden, aus denen sich die Personalien<br />
des Nutzers erschließen. Fehlt es<br />
dagegen an solchen zusätzlichen Daten,<br />
sollen dynamische IP-Adressen zusammen<br />
mit dem Zeitpunkt der Verbindung<br />
noch keine personenbezogenen Daten<br />
sein. Zur Begründung setzt sich das Gericht<br />
detailliert mit den Voraussetzungen<br />
eines personenbezogenen Datums auseinander.<br />
Ausgangspunkt ist die Definition in<br />
§ 3 Abs. 1 BDSG, nach der dies Einzelangaben<br />
über persönliche oder sachliche<br />
Verhältnisse einer bestimmten oder bestimmbaren<br />
natürlichen Person sind. Vom<br />
Kriterium der Bestimmtheit ist auszugehen,<br />
wenn sich die Daten direkt auf eine<br />
bestimmte Person beziehen.<br />
Das Kriterium der Bestimmbarkeit dagegen<br />
sieht die zugrundeliegende europäische<br />
Datenschutzrichtlinie (RL 95/46/EG)<br />
als erfüllt an, wenn eine Person direkt oder<br />
indirekt identifiziert werden kann. Nach<br />
Erwägungsgrund 26 dieser Richtlinie sind<br />
bei der Entscheidung über die Bestimmbarkeit<br />
alle Mittel zu berücksichtigen, die vernünftigerweise<br />
entweder von dem Verantwortlichen<br />
für die Verarbeitung oder von<br />
einem Dritten eingesetzt werden könnten,<br />
um die betreffende Person zu bestimmen.
RECHT | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
47<br />
Foto: © - BJØRN -Photocase<br />
Insofern stellt das Gericht fest, dass es allgemein<br />
anerkannt sei, dass die IP-Adresse<br />
jedenfalls in der Hand des Internetzugangsanbieters<br />
ein personenbezogenes Datum<br />
darstelle. Denn dieser verfüge zum einen<br />
über die Vertragsdaten seiner Kunden und<br />
zum anderen über die für den Internetzugriff<br />
zugewiesenen IP-Adressen. Aus einer<br />
Zusammenführung dieser Datenbestände<br />
lasse sich dann ohne Weiteres die Identität<br />
des Nutzers ermitteln. Klärungsbedürftig<br />
sei hingegen, ob dies auch für Internetseitenbetreiber<br />
gelte, was letztlich von<br />
der Auslegung des Begriffs „bestimmbar“<br />
abhänge. Deshalb erläutert das LG Berlin<br />
im Folgenden die beiden hierzu vertretenen<br />
Ansichten. Nach der ersten Ansicht<br />
kann man ein absolutes Verständnis zugrunde<br />
legen, demzufolge die Bestimmbarkeit<br />
schon dann zu bejahen ist, wenn<br />
irgendein Dritter wie z.B. der Zugangsanbieter<br />
über das notwendige Zusatzwissen<br />
zur Herstellung des Personenbezugs verfügt,<br />
ohne dass es darauf ankommt, ob<br />
und wie der Verarbeiter der Daten an dieses<br />
Zusatzwissen gelangen kann. Nach der<br />
herrschenden Meinung in Literatur und<br />
Rechtsprechung ist dagegen auf ein relatives<br />
Verständnis abzustellen, wonach das<br />
Zusatzwissen der konkret verarbeitenden<br />
Stelle bzw. ihre Möglichkeit, sich dieses zu<br />
verschaffen, entscheidend ist.<br />
Letzterer Auffassung schließt sich das LG<br />
Berlin an. Das Gericht begründet seine Entscheidung<br />
damit, dass es ansonsten zu einer<br />
uferlosen und unpraktikablen Ausdehnung<br />
des Datenschutzes komme. Eine bloß<br />
theoretisch existente Bestimmbarkeit sei<br />
gerade nicht einer tatsächlichen Bestimmbarkeit<br />
gleichzusetzen und bedürfe auch<br />
keines Schutzes durch das Datenschutzrecht.<br />
Auf Basis dieser Erwägungen verlange<br />
das Kriterium der Bestimmbarkeit,<br />
dass die Bestimmung der Person technisch<br />
und rechtlich möglich sein muss und darüber<br />
hinaus nicht einen Aufwand erfordert,<br />
der außer Verhältnis zum Nutzen der<br />
Information für die verarbeitende Stelle<br />
steht. Wann dies der Fall sei, müsse im Einzelfall<br />
in einer Abwägung ermittelt werden.<br />
Zu berücksichtigende Faktoren seien<br />
dabei insbesondere die Hürden, die die<br />
verarbeitende Stelle überwinden müsse,<br />
bevor sie an die Zusatzinformationen herankomme,<br />
die Missbrauchsszenarien, die<br />
eine Rolle spielen könnten, das Schutzbedürfnis<br />
des Klägers, das möglicherweise<br />
auch ohne umfassenden Datenschutz befriedigt<br />
werden könne, der gesellschaftliche<br />
Anspruch auf Strafverfolgung im Spannungsfeld<br />
mit dem Anspruch des Einzelnen<br />
auf Anonymität im Internet und schließlich<br />
die Größe der Gefahr, dass Ermittlungen<br />
gegen unbeteiligte Anschlussinhaber<br />
angestellt werden.<br />
Nach dieser abstrakten Festlegung der Kriterien,<br />
die zu einer Bejahung der Bestimmbarkeit<br />
führen können, wird das Gericht<br />
konkret. Ein Personenbezug dynamischer<br />
IP-Adressen sei jedenfalls dann zu bejahen,
48 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | RECHT<br />
wenn der Nutzer bei Nutzung des Online-<br />
Angebots seinen Klarnamen in irgendeiner<br />
Weise offenlege, was auch durch die Angabe<br />
einer entsprechenden E-Mail-Adresse<br />
geschehen könne. In diesem Fall könnten<br />
nämlich die erfolgten Eingaben mit der<br />
IP-Adresse verknüpft und damit ein Personenbezug<br />
hergestellt werden, woraufhin<br />
auch das Surfverhalten auf dem eigenen<br />
Portal nachvollzogen werden könnte. Eine<br />
Einbeziehung des Zugangsanbieters ist<br />
für die Identifizierung des Nutzers dann<br />
nicht mehr erforderlich. Diese Erwägungen<br />
gelten selbst dann, wenn IP-Adressen<br />
und Formulareingaben in unterschiedlichen<br />
Protokolldateien gespeichert würden,<br />
da von einer leichten und direkten<br />
Verknüpfungsmöglichkeit auszugehen sei.<br />
Erst recht ist daher nach dem relativen Verständnis<br />
von einem Personenbezug dynamischer<br />
IP-Adressen auszugehen, wenn der<br />
Nutzer sich als registrierter Nutzer auf der<br />
Webseite bewegt und bei der Registrierung<br />
seine persönlichen Daten angegeben hat.<br />
Um eine solche Konstellation ging es in<br />
diesem Sachverhalt zwar nicht, allerdings<br />
ist dies letztlich nur eine intensivere Form<br />
der Offenlegung von Klarnamen bei der<br />
Nutzung des Online-Angebots.<br />
Nachdem das Gericht diese Sondersituation<br />
der zusätzlichen Offenlegung von<br />
Klarnamen durch eine Formulareingabe<br />
erörtert hat, widmet es sich der Frage des<br />
Personenbezugs dynamischer IP-Adressen<br />
als solcher, also ohne zusätzliche Daten<br />
(mit Ausnahme des Zeitpunkts der Verbindung).<br />
Die Tatsache, dass über die IP-Adresse<br />
selbst mithilfe des Zugangsanbieters<br />
nur der Anschlussinhaber, nicht aber der<br />
konkrete Nutzer ermittelt werden könne,<br />
schließe das Vorliegen eines personenbezogenen<br />
Datums nicht von vornherein aus.<br />
Denn auch die Anschluss inhaberschaft<br />
stelle ein sachliches Verhältnis einer Person<br />
dar, weil an diese Eigenschaft rechtliche<br />
Folgen (insbesondere in Form der sog.<br />
Störerhaftung, hierzu: Fischer, „Neue Verhaltensregeln<br />
für den Gastgeber“, <strong>DFN</strong>-Infobrief<br />
Recht 2/2012; Kuta: „Rapidshare vs.<br />
Rechteinhaber – Ende einer unendlichen<br />
Geschichte?“, <strong>DFN</strong>-Infobrief Recht 5/2012)<br />
geknüpft sein könnten. Darüber hinaus sei<br />
auch der Nutzerkreis eines bestimmten Anschlusses<br />
normalerweise überschaubar.<br />
Um ein personenbezogenes Datum anzunehmen,<br />
fehle aber letztlich die Bestimmbarkeit<br />
des Anschlussinhabers bzw. des<br />
Nutzers. Auf legalem Wege sei es nämlich<br />
nur in eng begrenzten gesetzlichen Ausnahmefällen<br />
möglich, dass der Betreiber<br />
der Webseite von dem Zugangsanbieter<br />
des Nutzers oder über den Umweg der<br />
Strafverfolgungsbehörden Auskunft über<br />
die Identität des Nutzers erhalte. Somit seien<br />
dynamische IP-Adressen mitsamt Verbindungszeitpunkt<br />
grundsätzlich keine<br />
personenbezogenen Daten, weshalb deren<br />
Speicherung zulässig sei.<br />
III. Konsequenzen für die<br />
Hochschulpraxis<br />
Obwohl das LG Berlin mit sehr ausführlicher<br />
und gut nachvollziehbarer Begründung<br />
den Personenbezug dynamischer<br />
IP-Adressen verneint, bleibt unklar, ob<br />
Webseitenbetreiber grundsätzlich IP-Adressen<br />
und sonstige Daten zusammen mit<br />
diesen speichern dürfen. Denn zum einen<br />
hat das LG Berlin die Problematik der statischen<br />
IP-Adressen völlig unerwähnt gelassen<br />
und zum anderen handelt es sich<br />
letztlich nur um ein weiteres instanzgerichtliches<br />
Urteil. Da die Revision zum Bundesgerichtshof<br />
aber bereits eingelegt wurde,<br />
bleibt zu hoffen, dass dieser die Gelegenheit<br />
nutzt, um ein Machtwort in dieser<br />
umstrittenen Frage zu sprechen und<br />
damit zu einem erhöhten Maß an Rechtssicherheit<br />
beizutragen.<br />
Für die Praxis kann man jedoch festhalten,<br />
dass vorsichtshalber auf die umfassende<br />
Speicherung der bei der Nutzung<br />
der Webseite anfallenden Daten verzichtet<br />
werden sollte. Dies gilt nicht nur, weil<br />
es durchaus Gerichte gibt, die einen Personenbezug<br />
dynamischer IP-Adressen annehmen,<br />
was zur Konsequenz hat, dass eine<br />
Speicherung über das Ende der Sitzung hinaus<br />
ausschließlich für Abrechnungszwecke<br />
zulässig ist.<br />
Foto: © mhp - Fotolia<br />
Von großem Gewicht ist vor allem die Tatsache,<br />
dass zumindest für einige statische<br />
IP-Adressen ein Personenbezug mit guten<br />
Gründen bejaht werden kann. Da statische<br />
IP-Adressen durchaus noch verwendet<br />
werden, für den Betreiber einer Webseite<br />
jedoch nicht erkennbar ist, ob eine
RECHT | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
49<br />
IP-Adresse statisch oder dynamisch vergeben<br />
wurde, ist im Zweifel von der Speicherung<br />
dieser Daten abzusehen, sofern<br />
nicht ausnahmsweise Abrechnungszwecke<br />
verfolgt werden.<br />
Statische IP-Adressen werden Internetnutzern<br />
dauerhaft zugewiesen und dienen<br />
somit der langfristigen Identifikation<br />
eines Nutzers. Die Vergabe der IP-Adressen<br />
erfolgt in Europa über das Réseaux<br />
IP Européens Network Coordination Centre<br />
(RIPE NCC), welches eine Datenbank<br />
betreibt, mittels derer man den Inhaber<br />
einer bestimmten IP-Adresse, die im Vergabebereich<br />
des RIPE NCC liegt, ermitteln<br />
kann. In der Regel erfolgt die Vergabe der<br />
IP-Adressen in größeren Adressblöcken an<br />
Internetzugangsanbieter, Unternehmen,<br />
Behörden oder auch Hochschulen, welche<br />
die einzelnen Adressen dann entweder<br />
statisch oder dynamisch an ihre Angehörigen/Mitarbeiter/Kunden<br />
weitergeben.<br />
In diesem Fall gibt eine Recherche in<br />
der RIPE-Datenbank als Treffer nur den jeweiligen<br />
unmittelbar registrierten Inhaber<br />
des Adressblocks aus (z.B. die Universität<br />
Münster für den Adressblock 128.176.0.0.<br />
– 128.176.255.255). Welche natürliche Person<br />
Inhaber einer bestimmten IP-Adresse<br />
war, kann dann zwar von dem Provider ermittelt<br />
werden, der die einzelne Adresse<br />
vergeben hat. Die RIPE-Datenbank dagegen<br />
kann dieses Wissen nicht vermitteln.<br />
<strong>Verein</strong>zelt sind beim RIPE NCC jedoch auch<br />
natürliche Personen registriert, denen eine<br />
bestimmte IP-Adresse fest zugewiesen<br />
wird und die dementsprechend über die<br />
Datenbankrecherche als Inhaber ausfindig<br />
gemacht werden können. Schon angesichts<br />
des erheblichen Registrierungsaufwandes<br />
dürfte die unmittelbare Vergabe<br />
von IP-Adressen an natürliche Personen<br />
eher die Ausnahme als die Regel darstellen.<br />
Dennoch führt schon die bloße Existenz<br />
dieser Ausnahmen dazu, dass ein Betreiber<br />
einer Webseite nicht ausschließen kann,<br />
dass bei der Protokollierung der Zugriffsdaten<br />
auch solche IP-Adressen gespeichert<br />
werden, die vom RIPE NCC unmittelbar an<br />
natürliche Personen vergeben wurden. Da<br />
einer RIPE-Datenbankrecherche jedoch keine<br />
großen Hindernisse entgegenstehen, ist<br />
der Inhaber einer solchen IP-Adresse mit<br />
mäßigem Aufwand bestimmbar, was die<br />
Annahme eines Personenbezugs nahelegt.<br />
Dies hat dann die oben dargelegte Konsequenz,<br />
dass die Datenschutzvorschriften<br />
des TMG anwendbar sind, die einer Speicherung<br />
der Nutzungsdaten nach Ende des<br />
Nutzungsvorgangs entgegenstehen. Eine<br />
dennoch erfolgende Datenspeicherung<br />
stellt eine Ordnungswidrigkeit gem. § 16<br />
Abs. 2 Nr. 4 TMG dar, die mit einer Geldbuße<br />
bis zu 50.000 € geahndet werden kann.<br />
Darüber hinaus befinden sich Hochschulen<br />
zumeist in der speziellen Konstellation,<br />
dass sie nicht nur eigene Webseiten betreiben,<br />
sondern zugleich für Mitarbeiter und<br />
Studenten einen Internetzugang bereitstellen.<br />
Werden die Informationsangebote<br />
der Hochschule im Internet von diesen<br />
Mitarbeitern oder Studenten über einen<br />
Internetzugang der Hochschule genutzt,<br />
fallen Access- und Content-Providing gewissermaßen<br />
in eine Hand. Die Hochschule<br />
als Internetzugangsanbieter kann selbst<br />
bei Vergabe dynamischer IP-Adressen ohne<br />
Schwierigkeiten ermitteln, welcher ihrer<br />
Nutzer sich hinter einer bestimmten IP-<br />
Adresse verbirgt, sodass insofern auf einer<br />
Linie mit dem LG Berlin auch der relative<br />
Personenbezug bejaht werden muss. Mit<br />
diesem Wissen lässt sich dann leicht herausfinden,<br />
wer die hochschuleigene Webseite<br />
wann in welchem Umfang genutzt<br />
hat. Vor diesem Hintergrund ist für zahlreiche<br />
dynamisch vergebene IP-Adressen ein<br />
(relativer) Personenbezug anzunehmen, sodass<br />
die Speicherung durch die Hochschule<br />
unzulässig ist. Es besteht also gegenüber<br />
einfachen Betreibern von Webseiten,<br />
die nicht zugleich Internetzugangsanbieter<br />
sind, ein deutlich erhöhtes Risiko der<br />
Begehung von Ordnungswidrigkeiten und<br />
einer entsprechenden Ahndung.<br />
Einen gangbaren Weg stellt allenfalls eine<br />
Protokollierung dar, bei der die IP-Adressen<br />
in anonymisierter Form gespeichert<br />
werden, indem einige Stellen der Adresse<br />
unkenntlich gemacht werden. Dies muss<br />
aber in einem Maß erfolgen, das eine Identifizierung<br />
gänzlich unmöglich macht. Im<br />
Übrigen muss sichergestellt sein, dass die<br />
Zugriffsdaten keine sonstigen Angaben<br />
enthalten, die eine Bestimmung der Person<br />
des Nutzers ermöglichen, wie dies beispielsweise<br />
bei der Eingabe und Speicherung<br />
personalisierter Mail-Adressen oder<br />
Benutzernamen der Fall ist.<br />
Insgesamt bleibt es also dabei, dass von<br />
der Anlage von Protokolldateien im Zusammenhang<br />
mit dem Betreiben einer Webseite<br />
durch eine Hochschule Abstand genommen<br />
werden sollte. Dies dürfte aufgrund<br />
der erörterten Sondersituation der Hochschulen<br />
selbst dann gelten, wenn der BGH<br />
im Revisionsverfahren der Ansicht des LG<br />
Berlin folgen würde und den Personenbezug<br />
dynamischer IP-Adressen höchstrichterlich<br />
ablehnte.<br />
Für den Fall, dass auf Webseiten Dienste<br />
angeboten werden, die nur nach Registrierung/Anmeldung<br />
der Nutzer in Anspruch<br />
genommen werden können und in deren<br />
Rahmen die Identität des Nutzers offengelegt<br />
wurde, ist ein Personenbezug der<br />
dynamischen IP-Adressen spätestens ab<br />
dem Zeitpunkt des Log-Ins zu bejahen. Will<br />
der Betreiber der Webseite die Zugriffe der<br />
registrierten Nutzer dennoch speichern,<br />
sollte er im Rahmen der Registrierung eine<br />
ausdrückliche Einwilligung des Nutzers<br />
zu dieser Speicherung einholen. Nur dann<br />
lässt sich das Bußgeldrisiko nämlich verlässlich<br />
ausschließen. M
50 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | RECHT <strong>DFN</strong>-VEREIN | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
Übersicht über die Mitgliedseinrichtungen<br />
und Organe des <strong>DFN</strong>-<strong>Verein</strong>s (Stand: 11/2013)<br />
Laut Satzung fördert der <strong>DFN</strong>-<strong>Verein</strong> die Schaffung der Voraussetzungen<br />
für die Errichtung, den Betrieb und die Nutzung<br />
eines rechnergestützten Informations- und Kommunikationssystems<br />
für die öffentlich geförderte und gemeinnützige Forschung<br />
in der Bundesrepublik Deutschland. Der Satzungszweck<br />
wird verwirklicht insbesondere durch Vergabe von Forschungsaufträgen<br />
und Organisation von Dienstleistungen zur Nutzung<br />
des Deutschen Forschungsnetzes.<br />
Als Mitglieder werden juristische Personen aufgenommen, von<br />
denen ein wesentlicher Beitrag zum <strong>Verein</strong>szweck zu erwarten<br />
ist oder die dem Bereich der institutionell oder sonst aus öffentlichen<br />
Mitteln geförderten Forschung zuzurechnen sind. Sitz des<br />
<strong>Verein</strong>s ist Berlin.<br />
Die Organe des <strong>DFN</strong>-<strong>Verein</strong>s sind:<br />
die Mitgliederversammlung<br />
der Verwaltungsrat<br />
der Vorstand<br />
Mitgliederversammlung<br />
Die Mitgliederversammlung ist u. a. zuständig für die Wahl der<br />
Mitglieder des Verwaltungsrates, für die Genehmigung des Jahreswirtschaftsplanes,<br />
für die Entlastung des Vorstandes und für<br />
die Festlegung der Mitgliedsbeiträge. Derzeitiger Vorsitzender der<br />
Mitgliederversammlung ist Prof. Dr. Gerhard Peter, HS Heilbronn.<br />
Verwaltungsrat<br />
Der Verwaltungsrat beschließt alle wesentlichen Aktivitäten des<br />
<strong>Verein</strong>s, insbesondere die technisch-wissenschaftlichen Arbeiten,<br />
und berät den Jahreswirtschaftsplan. Für die 10. Wahlperiode<br />
sind Mitglieder des Verwaltungsrates:
<strong>DFN</strong>-VEREIN | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
51<br />
Prof. Dr. Hans-Joachim Bungartz (TU München)<br />
Prof. Dr. Rainer W. Gerling (MPG München)<br />
Prof. Dr. Ulrike Gutheil (TU Berlin)<br />
Dir. u. Prof. Dr. Siegfried Hackel (PTB Braunschweig)<br />
Dr.-Ing.habil. Carlos Härtel (GE Global Research)<br />
Prof. Dr.-Ing. Ulrich Lang (Univ. zu Köln)<br />
Prof. Dr. Joachim Mnich (DESY)<br />
Prof. Dr. Wolfgang E. Nagel (TU Dresden)<br />
Prof. Dr. Bernhard Neumair (KIT)<br />
Dr.-Ing. Christa Radloff (Univ. Rostock)<br />
Prof. Dr. Peter Schirmbacher (HU zu Berlin)<br />
Dr. Wolfgang A. Slaby (Kath. Univ. Eichstätt-Ingolstadt)<br />
Prof. Dr. Horst Stenzel (FH Köln)<br />
Der Verwaltungsrat hat als ständige Gäste:<br />
einen Vertreter der KMK: gegenwärtig Herrn Grothe, SMWK Sachsen<br />
einen Vertreter der HRK: gegenwärtig Prof. Dr. Metzner, Präsident der<br />
FH Köln einen Vertreter der Hochschulkanzler: gegenwärtig Herrn<br />
Schöck, Kanzler der Universität Erlangen-Nürnberg den Vorsitzenden<br />
des ZKI: gegenwärtig Prof. Dr. Lang, Universität zu Köln den Vorsitzenden<br />
der Mitgliederversammlung: gegenwärtig Prof. Dr. Peter,<br />
HS Heilbronn<br />
Vorstand<br />
Der Vorstand des <strong>DFN</strong>-<strong>Verein</strong>s im Sinne des Gesetzes wird aus<br />
dem Vorsitzenden und den beiden stellvertretenden Vorsitzenden<br />
des Verwaltungsrates gebildet. Derzeit sind dies:<br />
Prof. Dr. Hans-Joachim Bungartz, Vorsitz<br />
Prof. Dr. Ulrike Gutheil<br />
Prof. Dr. Bernhard Neumair<br />
Der Vorstand wird beraten von einem Technologie-Ausschuss (TA),<br />
einem Betriebsausschuss (BA) und einem Ausschuss für Recht<br />
und Sicherheit (ARuS), der zugleich auch als Jugendschutzbeauftragter<br />
für das <strong>DFN</strong> fungiert.<br />
Der Vorstand bedient sich zur Erledigung laufender Aufgaben einer<br />
Geschäftsstelle mit Standorten in Berlin und Stuttgart. Sie<br />
wird von einer Geschäftsführung geleitet. Als Geschäftsführer<br />
wurden vom Vorstand Jochem Pattloch und Dr. Christian Grimm<br />
bestellt.
52 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | <strong>DFN</strong>-VEREIN <strong>DFN</strong>-VEREIN | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
Aachen<br />
Aalen<br />
Albstadt<br />
Amberg<br />
Ansbach<br />
Aschaffenburg<br />
Augsburg<br />
Bamberg<br />
Bayreuth<br />
Berlin<br />
Biberach<br />
Bielefeld<br />
Bingen<br />
Bochum<br />
Bonn<br />
Fachhochschule Aachen<br />
Rheinisch-Westfälische Technische Hochschule Aachen (RWTH)<br />
Hochschule Aalen<br />
Hochschule Albstadt-Sigmaringen (FH)<br />
Hochschule Amberg-Weiden für angewandte Wissenschaften<br />
Hochschule für angewandte Wissenschaften, Fachhochschule Ansbach<br />
Hochschule Aschaffenburg<br />
Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg<br />
Universität Augsburg<br />
Otto-Friedrich-Universität Bamberg<br />
Universität Bayreuth<br />
Alice Salomon Hochschule Berlin<br />
BBB Management GmbH<br />
Beuth Hochschule für Technik Berlin – University of Applied Sciences<br />
Bundesamt für Verbraucherschutz und Lebensmittelsicherheit<br />
Bundesanstalt für Materialforschung und -prüfung<br />
Bundesinstitut für Risikobewertung<br />
Deutsche Telekom AG Laboratories<br />
Deutsches Herzzentrum Berlin<br />
Deutsches Institut für Normung e. V. (DIN)<br />
Deutsches Institut für Wirtschaftsforschung (DIW)<br />
Fachinformationszentrum Chemie GmbH (FIZ Chemie)<br />
Forschungsverbund Berlin e. V.<br />
Freie Universität Berlin (FUB)<br />
Helmholtz-Zentrum Berlin für Materialien und Energie GmbH<br />
Hochschule der populären Künste (hdpk)<br />
Hochschule für Technik und Wirtschaft – University of Applied Sciences<br />
Hochschule für Wirtschaft und Recht<br />
Humboldt-Universität zu Berlin (HUB)<br />
International Psychoanalytic University Berlin<br />
IT-Dienstleistungszentrum<br />
Konrad-Zuse-Zentrum für Informationstechnik (ZIB)<br />
Robert Koch-Institut<br />
Stanford University in Berlin<br />
Stiftung Deutsches Historisches Museum<br />
Stiftung Preußischer Kulturbesitz<br />
Technische Universität Berlin (TUB)<br />
T-Systems International GmbH<br />
Umweltbundesamt<br />
Universität der Künste Berlin<br />
Wissenschaftskolleg zu Berlin<br />
Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)<br />
Hochschule Biberach<br />
Fachhochschule Bielefeld<br />
Universität Bielefeld<br />
Fachhochschule Bingen<br />
ELFI Gesellschaft für Forschungsdienstleistungen mbH<br />
Evangelische Fachhochschule Rheinland-Westfalen-Lippe<br />
Hochschule Bochum<br />
Hochschule für Gesundheit<br />
Ruhr-Universität Bochum<br />
Technische Fachhochschule Georg Agricola für Rohstoff,<br />
Energie und Umwelt zu Bochum<br />
Bundesministerium des Innern<br />
Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit<br />
Deutsche Forschungsgemeinschaft (DFG)<br />
Deutscher Akademischer Austauschdienst e. V. (DAAD)<br />
Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)<br />
GESIS – Leibniz-Institut für Sozialwissenschaften e. V.<br />
Rheinische Friedrich-Wilhelms-Universität Bonn<br />
Zentrum für Informationsverarbeitung und Informationstechnik<br />
Borstel<br />
FZB, Leibniz-Zentrum für Medizin und Biowissenschaften<br />
Brandenburg Fachhochschule Brandenburg<br />
Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen<br />
GmbH<br />
Helmholtz-Zentrum für Infektionsforschung GmbH<br />
Hochschule für Bildende Künste Braunschweig<br />
Johann-Heinrich von Thünen-Institut, Bundesforschungsinstitut<br />
für Ländliche Räume, Wald und Fischerei<br />
Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen<br />
Physikalisch-Technische Bundesanstalt (PTB)<br />
Technische Universität Carolo-Wilhelmina zu Braunschweig<br />
Bremen<br />
Hochschule Bremen<br />
Hochschule für Künste Bremen<br />
Jacobs University Bremen gGmbH<br />
Universität Bremen<br />
Bremerhaven Alfred-Wegener-Institut, Helmholtz-Zentrum für Polar- und<br />
Meeresforschung (AWI)<br />
Hochschule Bremerhaven<br />
Stadtbildstelle Bremerhaven<br />
Chemnitz Technische Universität Chemnitz<br />
Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)<br />
Technische Universität Clausthal-Zellerfeld<br />
Coburg<br />
Hochschule für angewandte Wissenschaften, Fachhochschule Coburg<br />
Cottbus<br />
Brandenburgische Technische Universität Cottbus-Senftenberg<br />
Darmstadt European Space Agency (ESA)<br />
Evangelische Hochschule Darmstadt<br />
GSI Helmholtzzentrum für Schwerionenforschung GmbH<br />
Hochschule Darmstadt<br />
Merck KGaA<br />
Technische Universität Darmstadt<br />
T-Systems International GmbH<br />
Deggendorf Hochschule für angewandte Wissenschaften,<br />
Fachhochschule Deggendorf<br />
Dortmund Fachhochschule Dortmund<br />
Technische Universität Dortmund<br />
Dresden Helmholtz-Zentrum Dresden-Rossendorf e. V.<br />
Hannah-Arendt-Institut für Totalitarismusforschung e. V.<br />
Hochschule für Bildende Künste Dresden<br />
Hochschule für Technik und Wirtschaft<br />
Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.<br />
Leibniz-Institut für Polymerforschung Dresden e. V.<br />
Sächsische Landesbibliothek – Staats- und Universitätsbibliothek<br />
Technische Universität Dresden<br />
Düsseldorf Fachhochschule Düsseldorf<br />
Heinrich-Heine-Universität Düsseldorf<br />
Information und Technik Nordrhein-Westfalen (IT.NRW)<br />
Eichstätt<br />
Katholische Universität Eichstätt-Ingolstadt<br />
Emden<br />
Hochschule Emden/Leer<br />
Erfurt<br />
Fachhochschule Erfurt<br />
Universität Erfurt
<strong>DFN</strong>-VEREIN | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> |<br />
53<br />
Erlangen<br />
Friedrich-Alexander-Universität Erlangen-Nürnberg<br />
Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V.<br />
Universität Duisburg-Essen<br />
Esslingen Hochschule Esslingen<br />
Flensburg Fachhochschule Flensburg<br />
Universität Flensburg<br />
Frankfurt/M. Bundesamt für Kartographie und Geodäsie<br />
Deutsche Nationalbibliothek<br />
Deutsches Institut für Internationale Pädagogische Forschung<br />
Fachhochschule Frankfurt am Main<br />
Johann Wolfgang Goethe-Universität Frankfurt am Main<br />
KPN EuroRings B.V.<br />
Philosophisch-Theologische Hochschule St. Georgen e.V.<br />
Senckenberg Gesellschaft für Naturforschung<br />
Stonesoft Germany GmbH<br />
Frankfurt/O. IHP GmbH – Institut für innovative Mikroelektronik<br />
Stiftung Europa-Universität Viadrina<br />
Freiberg<br />
Technische Universität Bergakademie Freiberg<br />
Freiburg<br />
Albert-Ludwigs-Universität Freiburg<br />
Friedrichshafen Zeppelin Universität gGmbH<br />
Fulda<br />
Hochschule Fulda<br />
Furtwangen Hochschule Furtwangen – Informatik, Technik, Wirtschaft, Medien<br />
Garching<br />
European Southern Observatory (ESO)<br />
Gesellschaft für Anlagen- und Reaktorsicherheit mbH<br />
Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften<br />
Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)<br />
Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenforschung<br />
GmbH<br />
Gelsenkirchen Westfälische Hochschule<br />
Gießen<br />
Technische Hochschule Mittelhessen<br />
Justus-Liebig-Universität Gießen<br />
Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)<br />
Verbundzentrale des Gemeinsamen Bibliotheksverbundes<br />
Greifswald Ernst-Moritz-Arndt-Universität Greifswald<br />
Friedrich-Loeffler-Institut, Bundesforschungsinstitut für Tiergesundheit<br />
Hagen<br />
Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft<br />
FernUniversität in Hagen<br />
Halle/Saale Institut für Wirtschaftsforschung Halle<br />
Martin-Luther-Universität Halle-Wittenberg<br />
Hamburg Bundesamt für Seeschifffahrt und Hydrographie<br />
Datenlotsen Informationssysteme GmbH<br />
Deutsches Elektronen-Synchrotron (DESY)<br />
Deutsches Klimarechenzentrum GmbH (DKRZ)<br />
<strong>DFN</strong> – CERT Services GmbH<br />
HafenCity Universität Hamburg<br />
Helmut-Schmidt-Universität, Universität der Bundeswehr<br />
Hochschule für Angewandte Wissenschaften Hamburg<br />
Hochschule für Bildende Künste Hamburg<br />
Hochschule für Musik und Theater Hamburg<br />
Technische Universität Hamburg-Harburg<br />
Universität Hamburg<br />
Hameln<br />
Hochschule Weserbergland<br />
Hamm<br />
SRH Hochschule für Logistik und Wirtschaft Hamm<br />
Hannover Bundesanstalt für Geowissenschaften und Rohstoffe<br />
Hochschule Hannover<br />
Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische<br />
Landesbibliothek<br />
Heide<br />
Heidelberg<br />
Heilbronn<br />
Hildesheim<br />
Gottfried Wilhelm Leibniz Universität Hannover<br />
HIS Hochschul-Informations-System GmbH<br />
Hochschule für Musik, Theater und Medien<br />
Landesamt für Bergbau, Energie und Geologie<br />
Medizinische Hochschule Hannover<br />
Technische Informationsbibliothek und Universitätsbibliothek<br />
Stiftung Tierärztliche Hochschule<br />
Fachhochschule Westküste, Hochschule für Wirtschaft und Technik<br />
Deutsches Krebsforschungszentrum (DKFZ)<br />
European Molecular Biology Laboratory (EMBL)<br />
Network Laboratories NEC Europe Ltd.<br />
Ruprecht-Karls-Universität Heidelberg<br />
Hochschule für Technik, Wirtschaft und Informatik Heilbronn<br />
Hochschule für angewandte Wissenschaft und Kunst<br />
Fachhochschule Hildesheim/Holzminden/Göttingen<br />
Stiftung Universität Hildesheim<br />
Hof<br />
Hochschule für angewandte Wissenschaften Hof – FH<br />
Ilmenau<br />
Bundesanstalt für IT-Dienstleistungen im Geschäftsbereich des BMVBS<br />
Technische Universität Ilmenau<br />
Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen<br />
Hochschule für angewandte Wissenschaften FH Ingolstadt<br />
Jena<br />
Ernst-Abbe-Fachhochschule Jena<br />
Friedrich-Schiller-Universität Jena<br />
Institut für Photonische Technologien e. V.<br />
Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)<br />
Jülich<br />
Forschungszentrum Jülich GmbH<br />
Kaiserslautern Fachhochschule Kaiserslautern<br />
Technische Universität Kaiserslautern<br />
Karlsruhe Bundesanstalt für Wasserbau<br />
Fachinformationszentrum Karlsruhe (FIZ)<br />
Karlsruher Institut für Technologie – Universität des Landes Baden-<br />
Württemberg und nationales Forschungszentrum in der Helmholtz-<br />
Gemeinschaft (KIT)<br />
FZI Forschungszentrum Informatik<br />
Hochschule Karlsruhe – Technik und Wirtschaft<br />
Zentrum für Kunst und Medientechnologie<br />
Kassel<br />
Universität Kassel<br />
Kempten<br />
Hochschule für angewandte Wissenschaften, Fachhochschule Kempten<br />
Kiel<br />
Christian-Albrechts-Universität zu Kiel<br />
Fachhochschule Kiel<br />
Institut für Weltwirtschaft an der Universität Kiel<br />
Helmholtz-Zentrum für Ozeanforschung Kiel (GEOMAR)<br />
Koblenz<br />
Hochschule Koblenz<br />
Köln<br />
Deutsche Sporthochschule Köln<br />
Fachhochschule Köln<br />
Hochschulbibliothekszentrum des Landes NRW<br />
Katholische Hochschule Nordrhein-Westfalen<br />
Kunsthochschule für Medien Köln<br />
Rheinische Fachhochschule Köln gGmbH<br />
Universität zu Köln<br />
Konstanz Hochschule Konstanz Technik, Wirtschaft und Gestaltung (HTWG)<br />
Universität Konstanz<br />
Köthen<br />
Hochschule Anhalt<br />
Krefeld<br />
Hochschule Niederrhein<br />
Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.<br />
Landshut Hochschule Landshut - Hochschule für angewandte Wissenschaften
54 | <strong>DFN</strong> Mitteilungen <strong>Ausgabe</strong> <strong>85</strong> | November 2013 | <strong>DFN</strong>-VEREIN<br />
Leipzig<br />
Deutsche Telekom, Hochschule für Telekommunikation Leipzig<br />
Helmholtz-Zentrum für Umweltforschung – UFZ GmbH<br />
Hochschule für Grafik und Buchkunst Leipzig<br />
Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“<br />
Hochschule für Technik, Wirtschaft und Kultur Leipzig<br />
Leibniz-Institut für Troposphärenforschung e. V.<br />
Mitteldeutscher Rundfunk<br />
Universität Leipzig<br />
Lemgo<br />
Hochschule Ostwestfalen-Lippe<br />
Lübeck<br />
Fachhochschule Lübeck<br />
Universität zu Lübeck<br />
Ludwigsburg Evangelische Hochschule Ludwigsburg<br />
Ludwigshafen Fachhochschule Ludwigshafen am Rhein<br />
Lüneburg Leuphana Universität Lüneburg<br />
Magdeburg Hochschule Magdeburg-Stendal (FH)<br />
Leibniz-Institut für Neurobiologie Magdeburg<br />
Mainz<br />
Fachhochschule Mainz<br />
Johannes Gutenberg-Universität Mainz<br />
Universität Koblenz-Landau<br />
Mannheim Hochschule Mannheim<br />
TÜV SÜD Energietechnik GmbH Baden-Württemberg<br />
Universität Mannheim<br />
Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW)<br />
Marbach a. N. Deutsches Literaturarchiv<br />
Marburg<br />
Philipps-Universität Marburg<br />
Merseburg Hochschule Merseburg (FH)<br />
Mittweida Hochschule Mittweida<br />
Mülheim an der Hochschule Ruhr West<br />
Ruhr<br />
Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V.<br />
München Bayerische Staatsbibliothek<br />
Hochschule München (FH)<br />
Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V.<br />
Helmholtz Zentrum München Deutsches Forschungszentrum für<br />
Gesundheit und Umwelt GmbH<br />
ifo Institut – Leibniz-Institut für Wirtschaftsforschung e. V.<br />
Ludwig-Maximilians-Universität München<br />
Max-Planck-Gesellschaft<br />
Technische Universität München<br />
Universität der Bundeswehr München<br />
Münster<br />
Fachhochschule Münster<br />
Westfälische Wilhelms-Universität Münster<br />
Neubrandenburg<br />
Hochschule Neubrandenburg<br />
Neu-Ulm<br />
Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm<br />
Nordhausen Fachhochschule Nordhausen<br />
Nürnberg Kommunikationsnetz Franken e. V.<br />
Technische Hochschule Nürnberg Georg Simon Ohm<br />
Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen<br />
Nuthetal<br />
Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke<br />
Oberursel Dimension Data Germany AG & Co. KG<br />
Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH<br />
Offenbach/M. Deutscher Wetterdienst (DWD)<br />
Offenburg Hochschule Offenburg, Fachhochschule<br />
Oldenburg Carl von Ossietzky Universität Oldenburg<br />
Landesbibliothek Oldenburg<br />
Osnabrück Hochschule Osnabrück (FH)<br />
Universität Osnabrück<br />
Paderborn<br />
Passau<br />
Peine<br />
Potsdam<br />
Regensburg<br />
Rosenheim<br />
Rostock<br />
Saarbrücken<br />
Salzgitter<br />
Sankt Augustin<br />
Schmalkalden<br />
Schwäbisch<br />
Gmünd<br />
Schwerin<br />
Siegen<br />
Speyer<br />
Straelen<br />
Stralsund<br />
Stuttgart<br />
Tautenburg<br />
Trier<br />
Tübingen<br />
Ulm<br />
Vechta<br />
Wadern<br />
Weidenbach<br />
Weimar<br />
Weingarten<br />
Wernigerode<br />
Weßling<br />
Wiesbaden<br />
Wildau<br />
Wilhelmshaven<br />
Fachhochschule der Wirtschaft Paderborn<br />
Universität Paderborn<br />
Universität Passau<br />
Deutsche Gesellschaft zum Bau und Betrieb von Endlagern<br />
für Abfallstoffe mbH<br />
Fachhochschule Potsdam<br />
Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ<br />
Hochschule für Film und Fernsehen „Konrad Wolf“<br />
Potsdam-Institut für Klimafolgenforschung (PIK)<br />
Universität Potsdam<br />
Ostbayerische Technische Hochschule Regensburg<br />
Universität Regensburg<br />
Hochschule für angewandte Wissenschaften – Fachhochschule<br />
Rosenheim<br />
Leibniz-Institut für Ostseeforschung Warnemünde<br />
Universität Rostock<br />
Universität des Saarlandes<br />
Bundesamt für Strahlenschutz<br />
Hochschule Bonn Rhein-Sieg<br />
Fachhochschule Schmalkalden<br />
Pädagogische Hochschule Schwäbisch Gmünd<br />
Landesbibliothek Mecklenburg-Vorpommern<br />
Universität Siegen<br />
Deutsche Universität für Verwaltungswissenschaften Speyer<br />
GasLINE Telekommunikationsnetzgesellschaft deutscher<br />
Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft<br />
Fachhochschule Stralsund<br />
Cisco Systems GmbH<br />
Duale Hochschule Baden-Württemberg<br />
Hochschule der Medien Stuttgart<br />
Hochschule für Technik Stuttgart<br />
NextiraOne Deutschland GmbH<br />
Universität Hohenheim<br />
Universität Stuttgart<br />
Thüringer Landessternwarte Tautenburg<br />
Hochschule Trier<br />
Universität Trier<br />
Eberhard Karls Universität Tübingen<br />
Leibniz-Institut für Wissensmedien<br />
Hochschule Ulm<br />
Universität Ulm<br />
Universität Vechta<br />
Private Fachhochschule für Wirtschaft und Technik<br />
Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH (LZI)<br />
Hochschule Weihenstephan<br />
Bauhaus-Universität Weimar<br />
Hochschule Ravensburg-Weingarten<br />
Pädagogische Hochschule Weingarten<br />
Hochschule Harz (FH)<br />
T-Systems Solutions for Research GmbH<br />
Hochschule RheinMain<br />
Statistisches Bundesamt<br />
Technische Hochschule Wildau (FH)<br />
Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth
Wismar<br />
Witten<br />
Wolfenbüttel<br />
Worms<br />
Wuppertal<br />
Würzburg<br />
Zittau<br />
Zwickau<br />
Hochschule Wismar<br />
Private Universität Witten/Herdecke gGmbH<br />
Ostfalia Hochschule für angewandte Wissenschaften<br />
Herzog August Bibliothek<br />
Fachhochschule Worms<br />
Bergische Universität Wuppertal<br />
Hochschule für angewandte Wissenschaften – Fachhochschule<br />
Würzburg-Schweinfurt<br />
Julius-Maximilians-Universität Würzburg<br />
Hochschule Zittau/Görlitz<br />
Internationales Hochschulinstitut<br />
Westsächsische Hochschule Zwickau