Ausgabe 85 - DFN-Verein

Deutsches Forschungsnetz Mitteilungen Ausgabe 85 | November 2013
www.dfn.de
Mitteilungen
Von Hamburg bis nach Halifax:
Atlantiküberquerung
mit 100 Gigabit/s
Plakette drauf!
DFN-MailSupport besteht
Audit zur IT-Sicherheit
Bitte ein Terabit!
DFN-Verein startet weltweit erstes
Terabit-Testbed für die Wissenschaft

Impressum
Herausgeber: Verein zur Förderung
eines Deutschen Forschungsnetzes e. V.
DFN-Verein
Alexanderplatz 1, 10178 Berlin
Tel.: 030 - 88 42 99 - 0
Fax: 030 - 88 42 99 - 70
Mail: dfn-verein@dfn.de
Web: www.dfn.de
ISSN 0177-6894
Redaktion: Kai Hoelzner (kh)
Gestaltung: Labor3 | www.labor3.com
Druck: Rüss, Potsdam
© DFN-Verein 11/2013
Fotonachweis:
Titelfoto © kelpfish - depositphotos
Seite 4 © Torsten Kersting
Seite 6/7 © Dan Barnes - iStockphoto
Seite 32/33 © mzacha - morgueFile

Vorwort
Native Terabit-Technologie für die Datenübertragung,
so lautet das Ziel, das sich das Deutsche
Forschungsnetz gestellt hat. Anfang 2014
soll hierbei der erste Meilenstein eines entsprechenden
Entwicklungsvorhabens erreicht sein.
Im Januar soll dazu im Wissenschaftsnetz X-WiN
eine erste Datenverbindung mit Terabit-Technologie
erprobt werden.
Gemeinsam mit seinem Netz-Ausrüster ECI Telecom,
dessen optische Transporttechnik nach einem
europaweiten Vergabeverfahren seit inzwischen
einem Jahr im X-WiN eingesetzt wird, soll
nun einer der größten technologischen Sprünge
vorbereitet werden, der in den kommenden
Jahren zu erwarten ist.
Damit wagt DFN-Verein einen Vorstoß in Übertragungsbereiche,
die weit in die Zukunft der
Datenkommunikation weisen. Zudem folgt der
DFN-Verein dem im Rahmenprogramm der Entwicklungsaktivitäten
selbstgesteckten Auftrag,
Infrastruktur für wissenschaftliche Datenkommunikation
nicht nur bereitzustellen, sondern
zu fördern und künftige Stufen der technologischen
Entwicklung mit zu gestalten.
Das Testbed bildet den Auftakt zu einer Reihe
von Erprobungen, bei denen nach ersten Infrastruktur-Test
zunehmend die Anwender des Wissenschaftsnetzes
eingebunden werden. Langfristiges
Ziel ist es dabei, den wissenschaftlichen
Einrichtungen in Deutschland Anschlüsse mit
1 Tbit/s an das Wissenschaftsnetz zu ermöglichen.
Nach und nach soll Terabit-Technologie
damit von den ersten Labortest bis zur Anwendungsreife
geführt werden.
Stefan Piger, DFN-Verein
Im weltweit ersten Testbed für Terabit-Technologie
für die Wissenschaft, das ECI und DFN-Verein
initiieren, werden erstmals Daten mit einer
Kapazität von einem Terabit/s über das DWDM-
Netz des Deutschen Forschungsnetzes übertragen.
Die Erprobungen der Technologie für Terabit-Übertragungen
findet nicht in einer wohlbehüteten
Testumgebung statt, sondern integriert
in den laufenden Betrieb des Wissenschaftsnetzes
X-WiN.
ECI, ECIs Technologiepartner Finisar und der
DFN-Verein demonstrieren damit die extreme
Leistungsfähigkeit der innovativen ‚Coherent-
Terabit'-Technologie, die von ECI im Rahmen
des Tera Santa Consortiums entwickelt wurde.
Das Tera Santa Consortium, das 2011 von führenden
technologischen Firmen und Universitäten
gegründet wurde, entwickelt mit finanzieller
Unterstützung des israelischen Wissenschaftsministeriums
Terabit-Technologie auf
Basis von OFDM (Orthogonal Frequency Division
Multiplex). Mit Einsatz dieser Technologie
kann der DFN-Verein seine Netzkapazität signifikant
erhöhen.
Shai Stein, CTO, ECI Telecom

4 | DFN Mitteilungen Ausgabe 85 | November 2013
1
2
3
4
5
6
7
8
9
10
11
12
Unsere Autoren dieser Ausgabe im Überblick
1 Kai Hoelzner, DFN-Verein (hoelzner@dfn.de); 2 Dr. Stefan Piger, DFN-Verein
(piger@dfn.de); 3 Bettina Kauth, DFN-Verein (kauth@noc.dfn.de); 4 Ulrich Kähler,
DFN-Verein (kaehler@dfn.de); 5 Dr. Christian Grimm, DFN-Verein (grimm@dfn.de);
6 Dr.-Ing. Susanne Naegele-Jackson, Regionales Rechenzentrum Erlangen RRZE
(Susanne.Naegele-Jackson@fau.de); 7 Dr. Peter Kaufmann, DFN-Verein
(kaufmann@dfn.de); 13 8 Jürgen Brauckmann, 14 DFN-CERT Services 15 GmbH
(brauckmann@dfn-cert.de); 9 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de);
10 Heike Ausserfeld, DFN-Verein (ausserfeld@dfn.de); 11 Dr. Klaus-Peter
Kossakowski, DFN-CERT Services GmbH (kossakowski@dfn-cert.de);
12 Florian Klein, Forschungsstelle Recht im DFN (recht@dfn.de)

DFN Mitteilungen Ausgabe 85 |
5
Inhalt
Wissenschaftsnetz
Bitte ein Terabit!
von Kai Hoelzner, Dr. Stefan Piger ............................................ 8
Von Hamburg bis nach Halifax:
Atlantiküberquerung mit 100 Gigabit/s
von Kai Hoelzner ............................................................................ 11
Siehst Du dieses Licht? – Ein kleiner Einblick
in den Betrieb des optischen Netzes
von Bettina Kauth ......................................................................... 14
Plakette drauf!
von Ulrich Kähler ........................................................................... 17
Kurzmeldungen .............................................................................. 20
2. DFN-Workshop Datenschutz ................................................ 21
International
GN3plus: GÉANT vernetzt die Welt
von Dr. Christian Grimm .............................................................. 22
GÉANT erhält eingebauten Innovationsmotor
Dr. Peter Kaufmann (DFN-Verein),
Dr.-Ing. Susanne Naegele-Jackson (RRZE) ............................. 24
Sicherheit
Konzept und Nutzen von Certificate Policy
und Certification Practice Statement
von Jürgen Brauckmann, Dr. Ralf Gröper .............................. 34
Sicherheit aktuell
von Heike Ausserfeld, Dr. Ralf Gröper,
Dr. Klaus-Peter Kossakowski ..................................................... 41
Recht
Happy Birthday,
Forschungsstelle Recht im DFN!
von Kai Hoelzner ............................................................................ 43
Ja? Nein? Jein! – Kein Ende der
Odyssee um den Personenbezug
von IP-Adressen
von Florian Klein ............................................................................ 45
DFN-Verein
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins .................................................... 50
20 Years of Networking
Excellence ........................................................................................ 29

6
| DFN Mitteilungen Ausgabe 85 | November 2013 | WISSENSCHAFTSNETZ

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 85 |
7
Wissenschaftsnetz
Bitte ein Terabit!
von Kai Hoelzner, Dr. Stefan Piger
Von Hamburg bis nach Halifax:
Atlantiküberquerung mit 100 Gigabit/s
von Kai Hoelzner
Siehst Du dieses Licht? – Ein kleiner Einblick
in den Betrieb des optischen Netzes
von Bettina Kauth
Plakette drauf!
von Ulrich Kähler
Kurzmeldungen
2. DFN-Workshop Datenschutz

8 | DFN Mitteilungen Ausgabe 85 | November 2013 | WISSENSCHAFTSNETZ
Bitte ein Terabit!
DFN-Verein startet weltweit erstes Terabit-Testbed
für die Wissenschaft
Native Terabit-Technologie für die Datenübertragung, so lautet das Ziel, das sich das
Deutsche Forschungsnetz und sein Telekommunikationsausrüster ECI Telecom gestellt
haben. Anfang 2014 soll ein erster Meilenstein auf dem Weg dieses ambitionierten
Vorhabens erreicht sein. Auf einer Versuchsstrecke zwischen Dresden und Chemnitz
wird eine Datenübertragung mit nativer Terabit-Techologie erfolgen. Damit wird einer
der größten Sprünge in der Netztechnologie vorbereitet, der in den kommenden Jahren
zu erwarten ist.
Text: Kai Hoelzner (DFN-Verein), Dr. Stefan Piger (DFN-Verein)
X-WiN-Knoten Dresden
X-WiN-Knoten Chemnitz
X-WiN-Verkehr
ROADM
X-WiN-Verkehr/
Testbed
X-WiN-Verkehr
DWDM
Mux
1011000110100001
ROADM
=?
Zufallszahlengenerator
1011000110100001
DWDM
Mux
X-WiN-Verkehr
ROADM
X-WiN-Verkehr/
Testbed
X-WiN-Verkehr
Abb. 1: Das Terabit-Testbed des DFN-Vereins: Ein Zufallszahlengenerator speist am X-WiN Kernnetzstandort Dresden ein Testsignal ein, das per ‚Super-
Channel‘ parallel zum X-WiN-Verkehr auf der Glasfaser nach Chemnitz und von dort in einer Schleife zurück nach Dresden übertragen wird. Dort erfolgt eine
Prüfung der Identität von versandten und empfangenen Daten.

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 85 |
9
Terabit-Testbed betritt völliges
Neuland
Mit dem Terabit-Testbed wagt der DFN-Verein
einen Vorstoß in Übertragungsbereiche,
die weit in die Zukunft der Datenkommunikation
hinausweisen. Weniger, was
die pure Datenmenge angeht, die hierbei
über das Wissenschaftsnetz transportiert
wird, als vielmehr in technischer Hinsicht
stellt Terabit-Technologie für die Datenkommunikation
völliges Neuland dar. Weder
existieren bisher Ethernet-Standards
für Terabit/s, so dass native Terabit-Verbindungen
von Anwender zu Anwender derzeit
nicht absehbar sind, noch gibt es bislang
klare Vorstellungen, welche Auswirkungen
derartige Übertragungsverfahren
auf das Design der Netze haben werden.
Prinzipiell ist es bereits heute möglich, Datenübertragungen
im Terabit-Bereich vorzunehmen.
So lassen sich in der aktuellen
Konfiguration des X-WiN bereits heute
100-Gigabit-Verbindungen bis in den
Tera bit-Bereich akkumulieren. Doch geht
es beim Tera bit-Testbed des DFN-Vereins
nicht um Erreichen quantitativer Rekorde,
sondern um die Vorbereitung künftiger
Technologie-Stufen des Netzes.
Ohnehin verfügen weltweit nur wenige
Wissenschaftsnetze bislang über die erforderliche
100-Gigabit-Technologie. Neben
dem DFN-Verein mit seinem Wissenschaftsnetz
X-WiN finden sich 100-Gigabit-Verbindungen
vor allem im europäischen Forschungsbackbone
GÉANT und im Netz der
Nordamerikanischen Internet2-Initiative.
Generationswechsel im Ethernet
Das Durchstoßen der Terabit-Schwelle im
Netz ist jedoch nicht allein durch Limitierungen
der Hardware behindert. Selbst die
hierfür erforderlichen Client-Schnittstellen
befinden sich bislang gerade am Anfang
der Standardisierungsphase. Frühestens
2017 wird mit einer Ethernet-Generation
jenseits des 100-Gigabit-Standards zu rechnen
sein. So wurde erst im März dieses Jahres
eine „400 Gb/s Ethernet Study Group“
von der IEEE, dem Institute of Electrical
and Electronics Engineers, ins Leben gerufen,
die sich mit der nächsten Generation
des Protokolls beschäftigt.
Doch auch wenn Datenraten jenseits der
100-Gigabit/s auf absehbare Zeit nur durch
Bündelung mehrerer Kanäle erreicht werden
können, ist die technologische Vorbereitung
in den tieferliegenden Schichten
des Netzes mehr als bloß eine Kür für
die Wissenschaften. Zum einen gilt es, eine
Basis-Infrastruktur zu erschaffen, die
für die Entwicklung neuer Protokolle genutzt
werden kann. Zum anderen sind die
Beschaffungszyklen im Netz und die vermehrte
Nachfrage hochleistungsfähiger
Netze in den Wissenschaften nicht geeignet,
die technische Entwicklung abzuwarten
und erst später zu reagieren. Vor allem
aber folgt der DFN-Verein mit dem Terabit-
Testbed seinem Auftrag, Infrastruktur für
wissenschaftliche Datenkommunikation
nicht nur bereitzustellen, sondern zu fördern
und dabei künftige Stufen der technologischen
Entwicklung mitzugestalten.
Ausbauoptionen der heutigen
X-WiN-Technik
Nachdem der DFN-Verein mit seiner neuen
DWDM-Technik von ECI innerhalb von wenigen
Monaten das X-WiN auf 100 Gbit/s
aufgerüstet hat, sollen nun die Ausbauoptionen
der neuen DWDM-Technik des
X-WiN ausgelotet werden. Dazu wird ECI
dem DFN-Verein seine aktuellen Erprobungsträger
für Terabit-Technologie für
ein Testbed zur Verfügung stellen und gemeinsam
mit dem DFN-Verein Erprobungen
durchführen. Für den DFN-Verein ist
es dabei von besonderem Interesse, dass
diese Erprobungen nicht in einer besonders
behüteten Laborumgebung, sondern
parallel auf den gleichen Glasfasern ablaufen,
auf den auch der Regelbetrieb des
X-WiN stattfindet.
ECI hat sich für derartige Erprobungen
auch durch seine Aktivitäten im Tera Santa-Consortium
qualifiziert. Im Rahmen des
Tera Santa-Consortiums, einem Zusammenschluss
von akademischer und industrieller
Forschung, hat sich ECI zum Ziel gesetzt,
ein Ökosystem für Terabit-Technologie
zu erschaffen, innerhalb dessen bislang
vollkommen unerprobte Konzepte für
die Datenübertragung im Terabit-Bereich
bis zur Einsatz-Reife erforscht und entwickelt
werden sollen. Der DFN-Verein wird
das Konsortium als Anwendungspartner
bei der Erprobung künftiger Technologiestufen
im Feld unterstützen. Ohne bislang
eine feste Laufzeit des Projektes vereinbart
zu haben, rechnen DFN-Verein und ECI
Telecom damit, dass die Meilensteine des
Testbeds innerhalb der nächsten 24 Monate
erreicht werden können.
Drei Meilensteine auf dem Weg
nach morgen
Derzeit stehen drei solcher Wegmarkierungen
im Blickfeld. Hierzu gehört zunächst
die Erprobung des bisherigen Konzeptes.
Dazu soll in der ersten Projektphase Anfang
2014 eine Terabit-Verbindung zwischen
zwei benachbarten Knoten des Wissenschaftsnetzes
geschaltet werden. Als
Ergebnis dieses Meilensteins soll gezeigt
werden, dass über das gegenwärtige Glasfasernetz
des Wissenschaftsnetzes mit aktueller
DWDM-Technik eine Verbindung
mit dieser Übertragungskapazität möglich
ist. Hierzu wird eine Versuchsstrecke
unter Verwendung einer Netzschleife zwischen
den Kernnetz-Standorten in Dresden
und Chemnitz eingerichtet.
In einem zweiten Meilenstein soll im gleichen
Jahr die Erprobung der Terabit-Technologie
zwischen der TU Dresden und dem
Leibniz Rechenzentrum in München-Garching
(LRZ) erfolgen. Als Ergebnis dieses
Meilensteins soll gezeigt werden, dass die
technologischen Konzepte für Terabit-Verbindungen
auch für längere Faserstrecken
tauglich sind. Der Zeitpunkt und genaue
Inhalt dieses Meilensteins hängt von den
dann verfügbaren technischen Komponenten
ab.

10 | DFN Mitteilungen Ausgabe 85 | November 2013 | WISSENSCHAFTSNETZ
Der für 2015 geplante dritte Meilenstein
schließlich befasst sich mit Fragen der Integrierbarkeit
von Terabit-Technologie in
den laufenden Netzbetrieb. Im Probebetrieb
soll hierbei eine 1-Tbit/s-Verbindung
zwischen Dresden und LRZ etabliert werden,
auf der erste Applikations-Szenarien
zur Anwendung kommen.
Datenübertragung am offenen
Herzen
Die Entwicklung neuer Netzwerk-Karten
gliedert sich in eine Vielzahl einzelner Blöcke,
die später einmal auf einer Karte integriert
werden können. Neben optischen
Komponenten werden für die Transponder
und Transceiver OTU-Framer sowie digitale
Signalprozessoren benötigt, die in der
Laborsituation als einzelne Module kombiniert
werden müssen. Doch was sich im
Laborversuch als funktionierender Prototyp
erwiesen hat, muss sich auf Weitverkehrsstrecken
erst noch bewähren. In der
ersten Projektphase werden die Terabit-
Verbindungen nicht in standardisierten
Einschubmodulen enden, sondern in maßgeschneidert
für den Einsatz im Terabit-
Testbed konfektionierten Komponenten.
Super-Channels für mehr
Kapazität auf dem Lichtleiter
Nicht nur auf standardisierte Module wird
man in der Geburtsstunde der Terabit-Technologie
verzichten müssen, sondern auch
auf die bisherige Einteilung des genutzten
Frequenzbandes, innerhalb dessen die Daten
im Netz übertragen werden. So konnte
man beim Übergang von 10 Gbit/s zu
100 Gbit/s noch durch eine Änderung der
Modulation von On-Off Keying (OOK) zum
Quadrature Phase Shift Keying im Polarisationmultiplex
(DP-QPSK) eine Verzehnfachung
der spektralen Dichte auf 2 Bit/
(s*Hz) unter Beibehaltung des bekannten
50 GHz-Kanals erreichen.
Beim Übergang zur Terabit-Technik wird
hier eine grundlegende Änderung notwendig,
da sich keine weitere Verzehnfachung
der spektralen Dichte unter Einhaltung
einer zu 10 und 100 Gbit/s-Technologie
ähnlichen Reichweitencharakteristik erzielen
lässt. Die aktuelle Entwicklung strebt
eine moderate Erhöhung der spektralen
Dichte durch Einsatz einer höherwertigen
Modulation (16QAM) an. Gleichzeitig
wird das bisherige 50-GHz-Kanalraster aufgelöst.
Terabit-Übertragungen werden in
sogenannten Super-Channels von bis zu
187,5 GHz Breite in mehreren Bändern
realisiert.
Der Einsatz von Super-Channels hat Auswirkungen
auf die im optischen Netz eingesetzte
Multiplexer-Technik. So kommen
in den meisten Netzen heutzutage
ROADM (Reconfigurable Optical Add-Drop
Multiplexer) zum Einsatz, die Kanäle im 50
GHz Raster vermitteln können. Eine Weiterentwicklung
dieser Geräte verfeinert
diese Granularität auf minimal 12,5-GHz
(Flex-Grid ROADM) und ermöglicht dadurch
eine dichtere Anordnung mit der Folge
einer höhere Anzahl von Super-Channels
im C-Band.
Eine weitere Folge der höheren spektralen
Dichte und des damit sinkenden OS-
NR (-6dB gegenüber QPSK) ist eine Reduktion
der maximalen Reichweite der Übertragungen
ohne optisch-elektrisch-optische
(OEO) Regeneration. Durch die extrem
hohe Übertragungskapazität pro Super-
Channel kann es sich jedoch ohnehin als
sinnvoll erweisen, das Netz mit einer ODU-
Switching-Funktionalität auszurüsten, um
Kapazitäten unterhalb von einem Terabit
pro Sekunde vermitteln zu können. Durch
die von diesen Komponenten zwangsweise
durchgeführte Regeneration des Signals
wäre die maximale unregenerierte Reichweite
eines Super-Channels von untergeordneter
Bedeutung.
Integration künftiger
Technologiestufen
Der Auftakt für das Terabit-Projekt wird
mit einem ersten Feldversuch gegeben,
der voraussichtlich im Januar auf einer
Schleife zwischen den Kernnetzstandorten
des X-WiN an der TU Dresden und der
TU Chemnitz durchgeführt wird. Hierbei
wird ein Prototyp der nächsten Trans ceiver-
Generation auf einem 7-Band-Superchannel
zum Einsatz kommen, der parallel zu
den vorhandenen Verbindungen des X-WiN
geschaltet werden wird. Zunächst soll damit
das Verhalten dieses Prototyps außerhalb
der reinen Laborsituation getestet
werden. Auf Basis der Ergebnisse dieses
Feldtestes wird in den folgenden Monaten
an einer Weiterentwicklung der Terabit-Technik
mit dem Fokus auf Integration
der Komponenten und höherer Reichweite
gearbeitet. Nicht zuletzt müssen aber
auch Applikationsszenarien entwickelt
und getestet werden, um die vervielfachte
Übertragungskapazität für Anwender
des X-WiN nutzbar zu machen. So futuristisch
der Gedanke an Terabit-VPNs oder das
Verpacken von 100-Gigabit-Datenströmen
in Trunks der Terabit-Klasse heute noch
anmutet, so sicher ist es, dass Überlegungen
dieser Art in wenigen Jahren auf der
Agenda der meisten Netzbetreiber stehen
werden. M

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 85 |
11
Von Hamburg bis nach
Halifax: Atlantiküberquerung
mit 100 Gigabit/s
Während des Sommers ist der GÉANT-Uplink des X-WiN auf zwei Mal 100 Gigabit/s
ausgebaut worden. Für Anwender des Deutschen Forschungsnetzes sind damit echte
100-Gigabit-Verbindungen im europäischen und demnächst auch transatlantischen
Datenverkehr möglich.
Text: Kai Hoelzner
Foto: © Nils Albus – Pixelio

12 | DFN Mitteilungen Ausgabe 85 | November 2013 | WISSENSCHAFTSNETZ
Wenige Wochen nach Implementierung
von 100-Gigabit/s-Verbindungen im gesamten
Supercore des X-WiN wurden die
beiden Übergänge zum GÉANT an den Kernnetzstandorten
Frankfurt/Main und Hamburg
mit 100G-Transpondern ausgestattet.
Während der Übergabepunkt in Frankfurt
bereits seit Juni direkt an den 100-Gigabit-
Supercore des X-WiN angebunden ist, wurde
im August der GÉANT-Link in Hamburg
eigens mit einer Hunderter-Zuführung aufgerüstet.
Per ‚long haul‘ ist der Hamburger
Knoten nun mit dem Kernnetzknoten
an der TU-Berlin verbunden. Eine Strecke,
die eigens für den internationalen Datenverkehr
reserviert ist und unterbrechungsfrei
vom Berliner Tiergarten nach Hamburg
Hammerbrook führt. Dort, zwischen Außenalster
und Oberhafen, befindet sich
der neu eingerichtete X-WiN-Standort
Hamburg Wendenstraße, der außerdem
auch in die Strecke Hamburg-Rostock eingebunden
ist.
Anwendern, die sich für X-WiN-Anschlüsse
der höchsten Leistungsklasse entscheiden,
können seither ultrabreitbandige Verbindungen
in den europäischen Wissenschaftsbackbone
GÉANT und – zunächst
noch zu Testzwecken – zu den nordamerikanischen
Wissenschaftsnetzen aufbauen.
Möglich wird dies, da wesentliche Teile
des europäischen Forschungsbackbone
nur wenige Wochen nach dem X-WiN ebenfalls
mit brandaktueller 100-Gigabit-Technik
ausgestattet wurden.
Die eigentliche Atlantiküberquerung findet
statt mittels einer im Juni zunächst
zu Demonstrationszwecken anlässlich der
TERENA-Konferenz geschalteten Wellenlänge,
die das GÉANT via Amsterdam und
New York mit der nordamerikanischen Internet2-Initiative
und dem ESNet verbindet.
Neben den zahlreichen Verbindungen
über 10 Gbit/s sind Europas und nordamerikas
Wissenschaftler seither auch über
100 Gbit/s direkt miteinander verbunden.
Dieser „Advanced North Atlantic 100G-
Pilot“ kurz ANA-100G, will Wissenschaftlern
die Möglichkeit geben, Datenverbindungen
in einer Bandbreite zu nutzen,
die bislang im wesentlichen für die Bündelung
ganzer Internet-Strecken zu so genannten
Trunks genutzt werden. Das Problem
mit 100G-Verbindungen ist bislang allerdings,
dass die Anzahl von Anwendern,
die mit 100-Gigabit-Anschlüssen gesegnet
sind und eine transatlantische Verbindung
dieser Leistungsklasse auch nur annähernd
fordern könnten, derzeit mehr als überschaubar
ist. Zwar verfügen das GÉANT,
Internet2, ESnet und DFN heute bereits
über 100G-Backbones, doch gleichen die
leistungsfähigsten Wissenschaftsnetze
vielerorts Ozeanriesen, denen die Einfahrt
in den Hafen erst noch ausgebaggert
werden muss. Nur eine handvoll
Einrichtungen weltweit verfügen derzeit
über 100-Gigabit/s-Anbindungen an
ein Weitverkehrsnetz.
Unter den nationalen Forschungsnetzen
Europas dürfte das Deutsche Forschungsnetz
mit seinen traditionellen Heavy-Usern
wie der RWTH Aachen, der Technischen Universität
Dresden oder dem Karlsruher Institut
für Technologie derzeit die meisten
potenziellen Nutzer für echte 100-Gigabit-
Verbindungen mitbringen.
Zwar sind 100G-Anschlüsse auch in Deutschland
noch eine echte Rarität, doch könnte
sich die Zahl der Einrichtungen, die sich
für die oberste Leistungsklasse im DFN-Internet-Dienst
entscheiden, in Deutschland
zumindest rasch vergrößern. Seit Jahren
treibt der DFN-Verein seine Strategie voran,
eine möglichst große Zahl von Anwendern
optimal, d.h. direkt an das Kernnetz
anzuschließen. Fast alle größeren Wissenschaftseinrichtungen
sind heute direkte
Anrainer der fast 11.000 Kilometer Kernnetz-Verbindungen
des X-WiN. Eine Vielzahl
großer Hochschulen und Forschungseinrichtungen
in Deutschland greift ohne
kostspielige (und in der Regel leistungsschwächere)
Zugangsleitungen direkt auf
das X-WiN zu, da die Streckenführung des
X-WiN in den vergangenen Jahren konsequent
an die geografische Topologie der
deutschen Wissenschaftsstandorte angepasst
wurde.
Neben seinen zwei 100-Gbit/s-Links zum
GÉANT verfügt das DFN heute über nationale
und internationale Peerings zu großen
Providern und Exchange-Points und
zu einer Vielzahl kleinerer ISPs mit einer
Gesamtkapazität von annähernd 200
Gbit/s. Diese Außenanbindungen von zusammen
fast 400 Gbit/s sowie die Infrastruktur
des Deutschen Forschungsnetzes,
das mit dem X-WiN zu den derzeit
leistungsstärksten Wissenschaftsnetzen
weltweit gehört, machen das DFN
heute zu einem der bedeutenden Datenhäfen
der Wissenschaft weltweit. Nicht
vergessen werden sollte, das dies neben
der nationalen 100G-Stategie des DFN-Vereins
nicht zuletzt auch der tiefen Integration
in den europäischen Wissenschaftsraum
und seine Infrastruktur zu verdanken
ist! M

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 85 |
13
7. DFN-Forum Kommunikationstechnologien
– Verteilte Systeme im Wissenschaftsbereich –
Montag, 16.06.2014 – Dienstag, 17.06.2014 in Fulda
Der Verein zur Förderung eines Deutschen Forschungsnetzes e.V. (DFN-Verein) veranstaltet gemeinsam
mit der Hochschule Fulda am 16. und 17. Juni 2014 das 7. DFN-Forum Kommunikationstechnologien.
Mitveranstalter sind die Zentren für Kommunikation und Informationsverarbeitung in
Forschung und Lehre e.V. (ZKI) und die Gesellschaft für Informatik e.V. Das 7. DFN-Forum Kommunikationstechnologien
„Verteilte Systeme im Wissenschaftsbereich“ ist eine Plattform zur Darstellung
und Diskussion neuer Forschungs- und Entwicklungsergebnisse aus dem Bereich TK/IT. Das Forum
dient dem Erfahrungsaustausch zwischen Wissenschaftlern und Praktikern aus Hochschulen, Großforschungseinrichtungen
und Industrie.
TK I: Neue Netztechnologienund
Infrastruktur
• Future Internet (Clean-Slate versus
Evolution, Sicherheit)
• Drahtlose Zugangstechnologien
(WLAN, LTE ...)
• Layer-2 Technologien (Carrier-Grade
Ethernet, …)
• Software Defined Networking (Open-
Flow und andere Ansätze)
• Network Functions Virtualization
(NFV)
• Netze für High Performance
Computing
TK II: Infrastrukturen für
eResearch
• Grid Computing: Community Grids,
Betriebsmodelle, Nachhaltigkeit
• Cloud Computing & Sicherheit
• Service Oriented Computing &
Architectures
• Virtuelle Forschungsumgebungen
• Forschungsdatenmanagement
• Big Data in eScience und dessen
Netzaspekte
• Sicherheit und Datenschutz in
Forschungsnetzen
TK III: ITC Management
• Future Internet Management
• Autonomous Management
• Management Policies
• Identity Management, AAI,
Accounting
• Management von Grids&Clouds
TK IV: IT-Zukunftsperspektiven
• Wissenschaftsvernetzung in
10 Jahren
• Künftige IT-Infrastrukturen fürForschung
und Lehre
• HPC-Infrastrukturen in Europa
• Cloud Services: Herausforderung für
die Governance der Hochschul-IT?
Beitragseinreichung:
Bitte reichen Sie Ihre Beiträge zu
den angegebenen Themenkreisen
bis zum 16.12.2013 ein unter:
http://dfn2014.hs-fulda.de/
Die Beiträge sind im PDF-Format
einzureichen und dürfen max. 10
Seiten lang sein. (Details zum
Format der endgültigen Fassungen
siehe die obige Web-Adresse)
Die angenommenen Beiträge
werden im Konferenzband
veröffentlicht, der im Rahmen der
GI-Edition Lecture Notes in
Informatics erscheinen wird.
Wichtige Termine:
Einreichung der Beiträge:
16. Dezember 2013
Autorenbenachrichtigung:
24. Februar 2014
Abgabe der endgültigen Fassung:
24. März 2014

14 | DFN Mitteilungen Ausgabe 85 | November 2013 | WISSENSCHAFTSNETZ
Siehst Du dieses Licht? – Ein
kleiner Einblick in den Betrieb
des optischen Netzes
Der Betrieb des optischen DFN-Netzes muss neben Management der Netzinfrastruktur
auch den Betrieb der X-WiN-Standorte berücksichtigen und über ein Konzept zur Wartung
und zur Dokumentation verfügen, dass die Remote-Verwaltung aller Komponenten unterstützt.
Beim Aufbau der optischen Infrastruktur konnte das Betriebskonzept der X-WiN-IP-
Infrastruktur weitergeführt werden, ergänzt um die Spezifika der optischen Plattform.
Text: Bettina Kauth (DFN-Verein)
Foto: © nektarstock - Photocase

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 85 |
15
Im Oktober letzten Jahres wurde es ernst:
Die Migration auf eine neue, mit Hardware-
Komponenten des israelischen Ausrüsters
ECI konzipierte optische Plattform für das
X-WiN, ging in die heiße Phase – die Umschaltung
in den Regelbetrieb. Die Aufgaben,
die sich daraus ableiteten, waren
umfassend und reichten von der Einbindung
des Equipments in die X-WiN-Standort-Verwaltung
bis zum Management (Planung,
Betrieb und Wartung) der optischen
Netzinfrastruktur.
IP-Infrastruktur
• Planung
• Betrieb
• Weiterentwicklung
X-WiN Betrieb
Optische-Infrastruktur
• Planung
• Betrieb
• Weiterentwicklung
Abgesehen von einigen Verstärker-Standorten
sind die optischen Transport-Systeme
(Apollo) von ECI an den DFN Router-
Standorten installiert. Bei der Planung und
Auslegung des Aufbaus sind der DFN-Netzbetriebsgruppe
die Erfahrungen mit dem
Betrieb der Kernnetz-Standorte zugutegekommen.
So wird z.B. bei der Verkabelung
darauf geachtet, dass Patches oder Links
klar definierten Demarkationspunkten zugeführt
werden – ein Vorgehen, das sich
über die Jahre bewährt hat und für die Einbindung
der optischen Plattform erweitert
werden konnte. Es gibt also reservierte
Patchfelder für Routerports, Apollo-Ports,
Glasfasern und Anwenderleitungen. Wird
z.B. ein neuer Link geschaltet, so benennt
die DFN-Netzbetriebsgruppe gegenüber
dem Leitungsprovider den Übergabe-Port
und sorgt für die lokale Weiterverkabelung
bis hin zum Endgerät. Die Kabelführungen
sind in einer Datenbank dokumentiert. Damit
ist es der DFN-Betriebsgruppe möglich,
den Verlauf einer Verkabelung bis hin zur
Glasfaser nachzuvollziehen.
Standorte
• Stellfläche
• Rack
• Strom
• Klima
• Zugangsregelung
Abb. 1: Betriebskonzept X-WiN
Wartungskonzept
• Hardware
• Software
• Standort
le unterbrechungsfreie Stromversorgung
(USV). Die USV ist in der Regel so ausgelegt,
dass sie mindestens eine Ausfallzeit
von zwei Stunden überbrücken kann. Beim
Aufbau neuer Hardware am Standort wird
demnach auch immer überprüft, ob die
Kapazität der USV noch ausreichend ist.
Darüber hinaus werden die USVs remote
überwacht, sodass defekte Aggregate erkannt
werden können. Zusätzlich zu den
USVs werden auch die Netzteile der Router
und Apollos überwacht. Fällt eines der
Netzteile aus, werden Alarme an die DFN-
Netzbetriebsgruppe und den DFN-1stLevel-Support
verschickt. Die Netzbetriebsgruppe
analysiert anhand der vorhandenen
Informationen, ob es sich um defekte
Hardware oder einen Stromausfall am
Standort handelt und leitet gegebenenfalls
Entstörungsmaßnahmen ein.
Während sich bei der Hardwareverwaltung
am Standort viele Synergien zwischen optischer
Plattform und IP-Plattform ergeben
haben, wird zur Konfiguration und Überwachung
des optischen Equipments eine
zusätzliche, vom Hersteller ECI entwickelte
Management-Software (Lightsoft)
benötigt. Lightsoft gliedert das Manage-
Konfiguration
Überwachung
Dokumentation
• Standort
• IP-Infrastruktur
• Optische Infrastruktur
Ein weiteres Designprinzip des X-WiNs ist,
die Ausfallswahrscheinlichkeit dadurch
zu reduzieren, dass Komponenten redundant
ausgelegt sind. Das spiegelt sich
in der Netztopologie wieder – alle Knoten
sind mit mindestens zwei Nachbarn über
disjunkte Wege verbunden – und findet
sich auch in der Vermittlungshardware.
So verfügen sowohl die Router als auch
die optischen Multiplexer über zwei Prozessor-Boards
und zwei Netzteile zum Anschluss
an den Normalstrom und eine lokament
in zwei Ebenen. In der übergeordneten
Schicht werden die physikalische
und optische Topologie dargestellt. Alarme
werden an diese Schicht durchgereicht und
Konfigurationen wie z.B. die Schaltung von
Wellenlängen können hier durchgeführt
werden und an die beteiligten optischen
Komponenten vererbt. Mit dem in Lightsoft
integrierten Element Management System
(EMS) ist ein direkter Zugriff auf die optischen
Transportsysteme und die darin
verbauten Elemente (Amplifier, Transponder,
Mux etc.) möglich. Schnittstellenspezifische
Informationen wie z.B. optische
Sende- und Empfangspegel oder Performance-Daten
können über das EMS abgefragt
werden. Ebenso können hier kartenspezifische
Konfigurationen durchgeführt
werden, wie z.B. das Schalten von Loops.
Das Herzstück des Network-Management-
Systems (NMS) ist der NMS-Server, der im
X-WiN in Bezug auf Hardware und Standort
redundant ausgelegt ist. Zwischen den
Apollos und dem NMS-Server werden Management-Informationen
(Statusinformationen,
Konfigurationsanweisungen) ausgetauscht.
Die Daten werden über den Optical
Supervisor Channel (OSC) vermittelt,

16 | DFN Mitteilungen Ausgabe 85 | November 2013 | WISSENSCHAFTSNETZ
der exklusiv für Management-Verkehr zur
Verfügung steht. Der OSC verfügt über eine
Bandbreite von 100 Mbps. Mit einer Wellenlänge
von 1510 nm liegt er außerhalb
des C-Bands, das für die Konfiguration der
Produktionswellenlängen vorgesehen ist.
Die Anbindung der beiden NMS-Server an
das optische Netz erfolgt über die Ethernet-Schnittstelle
des jeweils lokalen Apollos.
Die Apollos verfügen über einen Route-Prozessor
und verteilen die Topologie-
Informationen über OSPF.
DFN-1st-Level
Traps senden
DFN-Netzbetriebsgruppe
Konfiguration
NMS-Server
Netzinfo abrufen
Konfiguration
Netzinfo
abrufen
ECI Support
Abb. 3: Betriebsgruppen, die auf den Server des Network-Management-Systems (NMS) zugreifen
Damit die DFN-Netzbetriebsgruppe auf den
NMS-Server zugreifen kann, muss eine IP-
Verbindung zum X-WiN bestehen. Nun ist
die Idee naheliegend, sich die Routingfunktionalität
der Apollos zunutze zu machen
und sie über IP-Infrastruktur des X-WiNs
miteinander zu verbinden und so den Betriebsgruppen
einen direkten Zugang zu
den Geräten zu schaffen. Um den Zugriff
auf die Apollo-Systeme und die NMS-Server
von außen zu unterbinden, erfolgt das
Routing im IP-Netz über ein Virtual Private
Network (VPN). Damit wird zwar die X-WiN-
Infrastruktur als Transportnetz genutzt,
aber die Routinginformationen des VPNs
tauchen nicht in der allgemeinen Routingtable
auf. Apollos an den Routerstandorten
(Abbildung 1) propagieren die OSPF-
Topologie ins Management-VPN. Somit können
über das VPN auch Apollos erreicht
werden, die nicht an Routerstandorten
installiert sind.
Während der Aufbauphase konnte durch
das VPN die Konnektivität zwischen den
NMS-Servern und den Apollos, bei einer
in der Migration befindlichen unterliegenden
Netztopologie gewährleistet werden.
Auch die optische Plattform ist in die 24x7-
Überwachung des X-WiNs eingebunden.
Der DFN-1stLevel erhält über den NMS-Server
Alarme, die es ihm ermöglichen, Ausfälle
in der optischen Plattform zu erkennen
und Entstörungsmaßnahmen einzuleiten.
Dabei meldet er Probleme an die DFN-Betriebsgruppe
oder an den ECI-Support, der
derzeit den DWDM-Service erbringt.
Apollo
Apollo
DFN Stuttgart
Apollo
NMS-Server
Management-VPN
Apollo
Apollo
Apollo
Apollo
Apollo
NMS-Server
Abb. 2: Overlay-Network für das X-WiN-Management: Innerhalb des Wissenschaftsnetzes ist auf
Basis der IP-Infrastruktur eine eigene Management-Wolke definiert, die den Zugang zu Routern und
optischer Vermittlungstechnik ermöglicht.
Die DFN-Netzbetriebsgruppe und die Kollegen
von ECI stehen in engem Kontakt. In
wöchentlichen Besprechungen tauschen
sich beide Gruppen über den Zustand des
Netzes und anstehende Änderungen aus.
Neben tagesaktuellen Aufgaben werden
Projekte zur Weiterentwicklung des Netz-
Managements diskutiert. Derzeit wird z.B.
daran gearbeitet, Performance-Daten wie
die Auslastung von Strecken oder optische
Pegel per SNMP auszulesen und im Performance-Monitoring-System
des DFN darzustellen.
ECI zeigt sich gegenüber solchen
spezifischen Anforderungen des DFN offen.
Es liegt in der Natur der Sache, dass sich die
Ansprüche an das optische Netz stetig weiterentwickeln
und sich damit auch neue
Herausforderungen und Fragestellungen
für die Betriebsgruppen stellen. Die konstruktive
Zusammenarbeit zwischen ECI
und DFN-Netzbetrieb stimmt zuversichtlich,
dass auch in Zukunft gute Lösungen
gefunden werden. M

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 85 |
17
Plakette drauf!
DFN-MailSupport besteht Audit zur IT-Sicherheit
Im kommenden Jahr wird DFN-MailSupport den Anwendern im Wissenschaftsnetz nach
breit angelegter Pilotierung als regulärer Dienst zur Verfügung stehen. Im Oktober wurde
ein Sicherheits-Audit erfolgreich abgeschlossen, das Voraussetzung dafür ist, den Dienst
künftig offiziell als Auftragsdatenverarbeitung für die Hochschulen und Forschungseinrichtungen
durchzuführen. Während des letzten Jahres wurden hierfür alle Prozesse
und Verfahren analysiert und in Dokumenten festgehalten. Doch bevor DFN-MailSupport
in den Regelbetrieb geht, wird der Dienst noch im Hinblick auf Datenschutz auditiert.
Text: Ulrich Kähler (DFN-Verein)
Foto: © Rainer Sturm – Pixelio

18 | DFN Mitteilungen Ausgabe 85 | November 2013 | WISSENSCHAFTSNETZ
Neu in der DFN-Dienstfamilie
Das Portfolio des DFN-Vereins wird um einen weiteren Dienst erweitert.
DFN-MailSupport bietet Anwendern im DFN eine zentrale
Malware-Erkennung und Bewertungsfunktionen im Hinblick
auf mögliche Spam-E-Mails. Eingehende E-Mails werden nicht
mehr wie bislang direkt an die Hochschulen übertragen, sondern
werden zuvor von DFN-MailSupport geprüft und gegebenenfalls
als Spam oder Malware markiert.
Nach einer breit angelegten Pilotphase geht DFN-MailSupport im
kommenden Jahr in den Regelbetrieb und wird vollwertiges Mitglied
in der Dienste-Familie des DFN-Vereins. Etwa 30 Einrichtungen
haben während der Pilotierung mitgewirkt, die technische
Ausgestaltung des Dienstes den Bedürfnissen der Forschungseinrichtungen
anzupassen. Während einige Anwender DFN-Mail-
Support zunächst noch in Test-Domains betreiben, wickeln andere
bereits ihren gesamten E-Mail-Verkehr über den Dienst ab.
So nutzen die TU Clausthal, die Universität Hannover, die Max-
Planck-Gesellschaft oder die Gesellschaft zur Wissenschaftlichen
Datenverarbeitung in Göttingen DFN-MailSupport für sämtliche
Domains in ihrem Bereich. Zurzeit werden durch das System ca.
200.000 Postfächer versorgt, die für ein Mail-Aufkommen von mehr
als 20 Millionen Mails pro Monat sorgen.
Während es für die Pilot-Anwender galt, den Dienst in die internen
Prozesse ihrer Einrichtungen zu integrieren, ging es aus
Sicht des DFN-Vereins nicht nur um das Testen von Technik, sondern
auch darum, den Dienst im Hinblick auf eine anschließende
Sicherheits- und Datenschutz-Zertifizierung durchgreifend
zu analysieren und zu dokumentieren.
Hohe Anforderungen an Sicherheit und
Datenschutz
Aus datenschutzrechtlicher Perspektive stellt DFN-MailSupport
eine klassische Auftragsdatenverarbeitung dar, bei der der DFN-
Verein als Auftragnehmer für die Wissenschaftseinrichtungen in
ihrer Rolle als Auftraggeber fungiert. Dies stellt im Regelbetrieb
hohe Ansprüche an Sicherheit und Datenschutz.
Um den Sicherheitsanforderungen seitens der Wissenschaft zu
begegnen, wurden zahlreiche technische und organisatorische
Maßnahmen (TOMs) ergriffen, mit denen den gesetzlichen Anforderungen
bezüglich Datensicherheit und -schutz Genüge getan
wurde. Diese besonderen Maßnahmen galt es, im zurückliegenden
Jahr per Sicherheits-Audit überprüfen und testieren zu
lassen. Als Ergebnis hat DFN-MailSupport vom BSI-lizenzierten
Auditor ein Testat des Typs „IT-Grundschutz Einstiegsstufe“
erhalten.
Die formalen Grundlagen der Auditierung waren die Zertifizierung
nach ISO 27001, die BSI-Standards 100-1, 100-2 und 100-3 sowie
die IT-Grundschutzkataloge des Bundesamtes für Sicherheit
in der Informationstechnik. Die drei BSI-Standards beziehen sich
auf die Bereiche „Managementsysteme für Informationssicherheit“
(ISMS), die IT-Grundschutz-Vorgehensweise sowie die Risikoanalyse
auf der Basis von IT-Grundschutz.
Sicherheit muss nachhaltig sein
Auf eine sehr einfache Formel gebracht dient dieses Sicherheits-
Audit nicht allein der Beantwortung der Frage, ob ein Dienst wie
im vorliegenden Fall DFN-MailSupport gängigen Anforderungen
der IT-Sicherheit entspricht. Die übergeordnete Leitfrage lautet
vielmehr, ob im Zusammenhang mit dem Dienst Prozesse
und Strukturen etabliert wurden, die Datenschutz und Sicherheit
dauerhaft ermöglichen. Es muss sichergestellt sein, dass bei
Veränderung der aktuellen Situation, etwa beim Wechsel von
Mitarbeitern, bei technischen Weiterentwicklungen, aber auch
bei veränderten Anforderungen an den Dienst auch künftig ein
ausreichendes Sicherheitsniveau garantiert sein wird. Insbesondere
die Pflicht zur Dokumentation aller Aspekte eines solchen
Dienstes stellt eine der großen Aufgaben dar. Bevor ein Testat
erstellt werden kann, müssen erst sämtliche im Zusammenhang
mit dem Dienst etablierten Strukturen und Verfahren nachvollziehbar
und wirklichkeitskongruent dokumentiert werden.
In der Praxis bedeutet die Auditierung eines Dienstes weniger
eine Prüfung als vielmehr eine vorgängige Reflexion und Anpassung
der Geschäftsprozesse an einen festgelegten Standard. Hierbei
werden in der Regel eine Fülle von historisch gewachsenen
Aufgaben- und Rollenverteilungen, mit denen man unter rein
technischen Gesichtspunkten über viele Jahre gut zurechtgekommen
ist, vollkommen neu definiert.
Das Audit
Das eigentliche Audit wurde in gesamten Monat September 2013
durchgeführt, wobei die Prüfung schließlich gemäß der ISO-Norm
27001 auf Basis von IT-Grundschutz erfolgte.
Dabei orientiert sich die Auditierung an den vom Bundesamt
für Sicherheit in der Informationstechnik (BSI) im Grundschutz
verankerten ca. 700 Fragen, mit denen sämtliche Stationen einer
Wertschöpfungskette in Unternehmen oder Organisationen
erfasst werden. Das Spektrum der Prüfung reicht von sehr komplexen
organisatorischen Fragen – etwa der Rollenverteilung
bei der Durchführung von Geschäftsprozessen und deren Verankerung
in das allgemeine Management – bis hin zu sehr konkreten
technischen Detail-Fragen. Gegenstand der Betrachtung
sind unter anderem die Themen: Organisation, Personal, Wei-

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 85 |
19
terbildung und Schulung, Gebäude, Notfallmanagement, Kryptokonzept,
Hard- und Software-Management, Archivierung und
Änderungsmanagement. Nach Identifizierung aller relevanten
technischen Komponenten der Diensterbringung wird in einem
nächsten Schritt festgestellt, wie hoch der jeweilige Schutzbedarf
dieser Bestandteile ist. Diese Sicherheitsziele werden in Bezug
auf Verfügbarkeit, Daten-Integrität und Vertraulichkeit definiert.
Jede einzelne Komponente kann in Bezug auf diese drei Ziele
ein anderes Anforderungsprofil haben. So kann beispielsweise
ein Backup-Verfahren geringe Anforderungen an Verfügbarkeit
haben, aber hohe Ansprüche an Integrität stellen, während hingegen
die Rechner-Hardware höchste Verfügbarkeit erfordert,
aber nur normale Anforderungen in Bezug auf Integrität stellt.
Das konkrete Vorgehen bei der Auditierung von DFN-MailSupport
bestand darin, die Übereinstimmung von Dokumentation
und tatsächlicher Realisierung einzelner, sicherheitsrelevanter
Maßnahmen zu überprüfen. Darüber hinaus galt es festzustellen,
ob die realisierten und dokumentierten Maßnahmen tauglich
sind, den angestrebten Schutzbedarf bzw. die Sicherheitsziele
zu erreichen. Im Ergebnis stellte die Auditierung des Dienstes
DFN-MailSupport fest, dass die Anforderungen für das angestrebte
Auditor-Testat ‚Einstiegsstufe‘ durch den DFN-Verein
erfüllt wurden. Obwohl für das Testats-Niveau nicht erforderlich,
sind bereits fast alle Maßnahmen für die nächsthöhere Qualifizierungsstufe
‚Zertifizierung‘ getroffen. Dadurch werden künftige
Auditierungen wesentlich erleichtert. M
2014 im Regelbetrieb
Nach erfolgreicher Testierung der Datensicherheit
des Dienstes wird DFN-MailSupport derzeit einer
Datenschutzauditierung unterzogen, die bis Ende
des Jahres abgeschlossen sein soll. Gegenstand
dieses Audits ist die Prüfung der sauberen Definition,
Durchführung und Dokumentation sämtlicher
Verfahren beim Bearbeiten von personenbezogenen
Daten. DFN-MailSupport kommt in besonderer Weise
mit Datenschutzproblematiken in Berührung, da jede
einzelne Mail bereits dem Datenschutz unterliegt
und also weder an Dritte weitergegeben werden darf,
noch im Fall von Virenverseuchung gelöscht werden
darf.
Nach Abschluss des Datenschutzaudits wird DFN-
MailSupport ab 2014 als regulärer Dienst des DFN-
Vereins in den Regelbetrieb gehen. Zusätzliche
Kosten für die Anwender entstehen allerdings auch
in zertifizierter Form keine. Obwohl es sich um eine
‚Auftragsdatenverarbeitung‘ handelt, wird der
Dienst mit dem Entgelt für den DFNInternet-Dienst
abgegolten.

20 | DFN Mitteilungen Ausgabe 85 | November 2013 | WISSENSCHAFTSNETZ
Kurzmeldungen
100G im Haus!
Im November sind die ersten 100Gigabit/s-
Wellenlängen für Anwender im Wissenschaftsnetz
geschaltet worden. Nach der
Migration des Supercore des X-WiN auf
100-Gigabit-Technologie stehen damit erste
Strecken zur Verfügung, die bis in die Einrichtungen
einzelner Anwender reichen.
Künftig werden die Rheinisch-Westfälische
Technische Hochschule Aachen (RWTH), die
Technische Universität Dresden und das
Karlsruher Institut für Technologie (KIT)
dedizierte Wellenlängen mit 100 Gigabit/s
über das X-WiN nutzen können. Damit soll
vor allem den Bedarfen spezialisierter Wissenschaftscommunities
in nationalen und
internationalen Forschungsprojekten entgegengekommen
werden.
Derzeit laufen an allen drei Einrichtungen
Test-Übertragungen auf den Wellenlängen.
Das KIT plant, diese innerdeutsche Struktur
dedizierter Wellenlängen unter Einbindung
des GÉANT bis zum CERN nach Genf auszuweiten.
Das KIT fungiert bei den LHC-Experimenten
als Tier1-Zentrum und zeichnet
hier für die Verarbeitung und Verteilung
von Experimentaldaten des Large Hadron
Colliders in Deutschland verantwortlich.
Nach Abschluss der Tests im X-WiN werden
Aachen, Karlsruhe wie auch Dresden ihre
‚100G-Trials’ unter Einbindung der bestehenden
100G-Verbindung zwischen GÉANT
und den nordamerikanischen Forschungsnetzen
bis in die USA ausweiten (siehe hierzu
auch S. 11 in diesem Heft).
Für Aachen und Dresden sind die Wellenlängen
nicht die ersten 100G-Anschlüsse
ihrer Einrichtungen. Beide Hochschulen
verfügen bereits über 100G-Anbindungen
der Kategorie I14 bzw. CI14 im DFNInternet-Dienst.
Derzeit werden die Hunderter-
Zuleitungen in Aachen und Dresden noch
mit Bündelungen mehrerer 10-Gigabit-Anschlüsse
betrieben. Mittelfristig ist an beiden
Standorten mit dem Einsatz von nativen
100G-Transceivern zu rechnen.
Das Interesse der Einrichtungen an Anschlüssen
der höchsten Kategorie in DFNInternet
und an dedizierten 100G-Wellenlängen
für einzelne Projekte und Communities
belegt die enorm gestiegene Bedeutung,
die Datenübertragungen der obersten
Leistungsklasse für die Wissenschaft inzwischen
haben. Dabei stellen Anschlüsse
dieser Leistungsklasse im allgemeinen Internet
wie in den Forschungsnetzen derzeit
noch eine Ausnahme dar. Europaweit verfügt
Deutschland inzwischen über die am
modernsten ausgebaute Netzinfrastruktur
für die Wissenschaft und liegt damit
gleichauf mit den nordamerikanischen Forschungsnetzen.
Die Erkenntnis, die aus den derzeitigen
Tests der 100G-Wellenlängen bereits heute
gewonnen wurde, lautet, dass 100-Gigabit-Technologie
nicht nur im Supercore
des X-WiN, sondern auch in den Einrichtungen,
die an das Wissenschaftsnetz angeschlossen
sind, prinzipiell beherrschbar ist.
Hervorgehoben werden muss, dass für 100-
Gigabit-Technologie keinerlei Modifikationen
und Nachrüstungen im X-WiN vonnöten
sind, da das Wissenschaftsnetz in
seiner derzeitigen Ausbaustufe bereits voll
in Hinblick auf 100G-Technologie geplant
wurde. M
Campus Fußgängerzone
Mit DFNRoaming/eduroam können registrierte
Nutzer einfach, kurzfristig und ohne
zusätzliche Anmeldung einen Zugang
zum Wissenschaftsnetz nicht nur in ihrer
eigenen sondern auch bei anderen wissenschaftlichen
Einrichtungen bekommen.
DFNRoaming ist dabei in entsprechende
europäische Vorhaben eingebettet
(s. www.eduroam.org), die auch grenzüberschreitend
eine transparente Nutzung
der Wissenschaftsnetze ermöglichen soll.
Allein in Deutschland stehen Nutzern mehr
als 70.000 Access-Points an derzeit 770
wissenschaftlichen Standorten zur Verfügung.
Einen deutlichen Schritt in die Zukunft
des wissenschaftlichen Roamings unternehmen
nun die in Ingolstadt ansässigen
Hochschulen TH Ingolstadt (THI) und KU
Eichstätt-Ingolstadt: Vor kurzem haben die
Stadt Ingolstadt und die THI ein Projekt namens
„eduroam off campus“ vereinbart,
mit dem die bisherige Beschränkung von
DFNRoaming/eduroam auf Campus-Bereiche
der Hochschulen aufgehoben wird. Ein
Roaming-Zugänge mit hinreichender Bandbreite
für Wissenschaftler und Studierende
sollen nun auch außerhalb des Campus
angeboten werden. Geplant ist ein wissenschaftliches
Roaming-Netz auf allen Access-Points
des Ingolstädter ‚IN- City Free
WiFi‘ auszustrahlen. Die Kooperation ermöglicht
allen Nutzern von DFNRoaming/
eduroam, sich von einer Vielzahl innerstädtischer
Access-Points aus in das Netz der
Hochschule einzuloggen von dort in das
Wissenschaftsnetz zu roamen. M

DFN Mitteilungen Ausgabe 85 |
21
2. DFN-Workshop Datenschutz
10./11. Dezember 2013 in Hamburg
Im Auftrag des DFN-Vereins veranstaltet
das DFN-CERT am 10. und 11. Dezember
2013 den 2. DFN-Workshop Datenschutz
im Grand Elysée Hotel in Hamburg. Nach
dem Erfolg mit mehr als 150 Teilnehmern im
letzten Jahr, möchte der DFN-Verein auch
in diesem Jahr den Austausch zwischen den
in den Organisationen für die Einhaltung
des Datenschutzes verantwortlichen Personen
(insbesondere Entscheider, Datenschutzbeauftragte,
Justitiare) zu Fragen der
praktischen Umsetzung des Datenschutzes
fördern. Zugleich soll auch wieder die
Möglichkeit zu Erörterung und Diskussion
von Anforderungen mit den geladenen
Experten aus der Praxis gegeben werden.
Folgende Themen werden im Mittelpunkt
des 2. DFN-Workshops Datenschutz stehen:
Cloud-Computing und Bring-Your-Own-
Device (BYOD) sind die Stichworte der
Stunde, wenn es um moderne Arbeitsformen
geht. Entsprechend groß ist der Erwartungsdruck
der Nutzerschaft auch in
Hochschulen und Forschungseinrichtungen.
Gerade die Enthüllungen zu PRISM und
TEMPORA haben aber gezeigt, dass in Bereichen
wie Wissenschaft, Forschung und
Lehre Vorsicht geboten ist. Mit seiner Keynote
„Wissenschaft in den Wolken“ wird
Dr. Thilo Weichert (Leiter Unabhängiges
Landeszentrum für Datenschutz Schleswig-Holstein)
insbesondere auf die Probleme
der Nutzung von Cloud-Diensten
eingehen. Im Anschluss werden Professor
Rainer W. Gerling und Ass. iur. Heidi
Schuster (beide Max-Planck-Gesellschaft)
den Fokus auf den Regelungsbedarf bei der
Nutzung von BYOD und Consumer-Cloud
in Forschungseinrichtungen richten. Dr.
Patrick Grete (Bundesamt für Sicherheit
in der Informationstechnik) wird anschließend
auf die Herausforderungen und Lösungsansätze
für die Informationssicherheit
eingehen.
Das weitere Schwerpunktthema des Workshops
ist der Umgang mit rechtlichen Problemen
beim E-Mail-Dienst und bei der Archivierung
von E-Mails. Zu den Anforderungen
einer rechtssicheren Nutzung und Archivierung
wird Rechtsanwalt Joerg Heidrich
(Justiziar des Heise-Verlags) vortragen. Anschließend
werden die Kollegen der ZEN-
DAS den Blick auf die hochschulspezifischen
Aspekte und hierbei insbesondere
auf das rechtliche Dickicht beim Zugriff auf
die E-Mailbox von Nutzern und lebenslange
E-Mail-Adressen richten. Danach wird
Jochem Pattloch (DFN-Verein) den neuen
Dienst DFN-MailSupport vorstellen.
Das vollständige Programm und die Anmeldung
sind auf der folgenden Webseite
des DFN-CERT verfügbar: https://www.
dfn-cert.de/veranstaltungen/datenschutzworkshop2013.html
Foto: © Grand Elysée Hamburg

22 | DFN Mitteilungen Ausgabe 85 | November 2013 | INTERNATIONAL
GN3plus: GÉANT vernetzt die Welt
Text: Dr. Christian Grimm (DFN-Verein)
Projekttitel: Multi-Gigabit European Research and
Education Network and Associated Services
Kurzbezeichnung: GN3plus
Förderart:
Kombination aus Collaborative Project (CP)
und Coordination and Support Actions (CSA)
Dauer:
24 Monate
Projektlaufzeit: 1. April 2013 – 31. März 2015
Budget: 84.283.018 €
EU-Förderung: 41.800.000 €
Webseite:
www.geant.net
Nach GN2 und GN3 ist das im April gestartete
GN3plus das dritte Projekt zum Aufbau
und Betrieb des europäischen Wissenschafts-Backbones
GÉANT. Wie auch
die Vorgänger wird GN3plus gemeinsam
von der Europäischen Union und den nationalen
Forschungs- und Entwicklungsnetzen
(National Research and Education
Networks, NRENs) in Europa finanziert. Mit
GN3plus wird die ungehinderte Übertragung
von wissenschaftlichen Daten ermöglicht
und ein freier Wissenstransfer
für Forschung und Lehre gefördert. Auch
wenn aufgrund der Partner und der Förderung
dieser Ansatz zunächst auf die Grenzen
innerhalb Europas zielt, ist die Einbeziehung
internationaler Kommunikationsnetze
und wissenschaftlicher Kooperationen
ausdrücklich erwünscht.
Das strategische Ziel von GN3plus ist ebenso
klar wie überzeugend: Die flächendeckende
Förderung der technischen Kommunikation
und Kollaboration ermöglicht
die Zusammenarbeit innerhalb der verschiedensten
Disziplinen – Europa wird
zu einem weltweiten Begegnungs- und Austauschpunkt
der Wissenschaften und nicht
zuletzt dadurch selbst zu einem Zentrum
des Wissens und der Forschung. Diese Entwicklung
macht sich heute bereits an der
Verwendung des Begriffs GÉANT fest. Bezeichnete
GÉANT ursprünglich das Kommunikationsnetz,
wird unter GÉANT heute
besonders im internationalen Kontext
die gesamte Community der europäischen
NRENs verstanden. So ist aus dem ehemals
technischen Gebilde GÉANT mittlerweile
eine echte Marke von globaler Bedeutung
geworden.
Das Kommunikationsnetz GÉANT ist ein
vitales Element der Europäischen e-Infrastruktur.
Es sorgt zuverlässig für die Hochgeschwindigkeits-Datenkommunikation
zwischen den europäischen NRENs und
ist direkt mit 65 weiteren NRENs weltweit
verbunden. Aus den Service Activities (SA)
in GN3plus wird der Betrieb und Ausbau
dieses Netzes und die Bereitstellung der
Dienste organisiert. Gemeinsam mit NRENs
und ausgewählten Endanwendern werden
neue Dienste erprobt und in den Regelbetrieb
überführt. Hierdurch wird der kooperative
Ansatz von GÉANT wesentlich
befördert, wobei eine Ausdehnung über
die Grenzen von Europa ausdrücklich erwünscht
ist. Bandwidth-on-Demand oder
Multipoint-Virtual-Private-Networks stehen
oben auf der Liste der netznahen
Dienste, die als Prototypen erprobt und
in den Betrieb überführt werden sollen.
Doch nicht allein technische Herausforderungen
kennzeichnen die Service Acti-
vities. Gemeinsam gilt es, die organisatorischen
Aspekte wie Fehlermanagement,
Nutzungsvereinbarungen und Entgeltmodelle
festzulegen. Auch bekannte Dienste
wie eduroam, eduGAIN oder eduPKI werden
bereits traditionell über die Service
Activities koordiniert und befördert. Neu
hinzugekommen sind Cloud-Dienste sowie
die mobile Kommunikation, die beide
längst das Forschungsstadium verlassen
haben und entsprechend auch in GN3plus
betriebsnahe Untersuchungsgegenstände
darstellen.
Eine zweite Säule in GN3plus bilden die
Joint Research Activities (JRA). Zunächst frei
von betrieblichen Zwängen werden hier die
Netze der Zukunft geplant: Welche Technologien
könnten Netze der übernächsten
Generation verwenden? Was wäre die
optimale Plattform zur Erforschung derartiger
Ansätze, selbstverständlich verteilt
durch mehrere NRENs? Was ist die sichere
digitale Identität eines einzelnen Nutzers
und wie kann sie eines Tages in den
Diensten von GÉANT verwendet werden,
um Vertraulichkeit und Authentizität zu
gewährleisten? Die Joint Research Activities
werden in GN3plus erstmals durch sogenannte
Open Calls ergänzt: Aus einem
separaten Budget innerhalb des Projekts
wurden verschiedene Projektthemen ausgeschrieben,
auf die sich auch kleinere Forschergruppen
bewerben konnten. Der erste
Open Call führte bereits zu 70 Anträgen,
von denen 21 bewilligt wurden.
Hervorzuheben ist die Service Activity SA2,
die mit dem Ansatz ‚Testbed-as-a-Service‘
eine Brücke zwischen Service und Joint Research
Activities schlägt. Neben einem permanenten
virtuellen Testbed, das als ‚Dynamic
Packet Network‘ Forschung im Bereich
Software Defined Networking unterstützen
möchte, steht Wissenschaftlern

INTERNATIONAL | DFN Mitteilungen Ausgabe 85 |
23
in GN3plus auch ein Dark-Fibre-Testbed zur
Verfügung, mit dem innovative optische bzw.
photonische Technologien auf Langstrecken-
Verbindungen getestet werden können.
In GN3plus steht jedoch nicht allein die Technik
im Vordergrund. Mit der Intensivierung
der Networking Activities (NA) wird verstärkt
auf die Belange der europäischen Communities,
Forschungszentren und Projekte eingegangen.
So umfassen die Networking Activities
neben dem eigentlichen Projekmanagement
verschiedene zielgerichtete Aktivitäten
für die Kommunikation mit den NRENs oder
der EU sowie potentiell mit sämtlichen Anwendern
in GÉANT. Hierzu gehört auch das
Produkt-Marketing in seiner positivsten Bedeutung,
die Pflege internationaler Beziehungen,
die gemeinsame Suche nach neuen Technologie-Trends
sowie Initiativen zur Einbindung
vermeintlich schwächerer Regionen in
Europa und der Welt.
Insgesamt umfasst GN3plus 250 Projektpartner
in Europa. Ohne gemeinsame Regeln für
die Kommunikation und Zusammenarbeit, einhergehend
mit einer starken und effizient organisierten
Projektsteuerung ist die Durchführung
solcher Vorhaben nicht möglich. Die
Partner treffen sich regelmäßig in der sogenannten
GN3plus Partners' Assembly. Zu Beginn
des Projekts wurde von diesem Gremium
das GN3plus Executive Board gewählt, in dem
Vertreter aus neun nationalen Forschungsnetzorganisationen
stimmberechtigt vertreten
sind, unter anderem auch des DFN-Vereins.
In monatlichen Treffen entscheidet das Executive
Board über den Fortschritt dieses großen
europäischen Vorhabens und sorgt bereits
heute für die Planung zukünftiger Projekte
aus dem 8. Rahmenprogramm der EU.
Bei Projekten der Größe und Bedeutung von
GN3plus ist es geboten, regelmäßig externen
Rat einzuholen. So wird GN3plus gegenwärtig
von zwei externen Beiräten unterstützt:
einem External Advisory Committee aus fünf
international renommierten Experten sowie
einem International User Advisory Committee,
in dem zwölf Repräsentanten von europäischen
Forschungszentren und aktuellen
Großforschungsprojekten vertreten sind. M
Der DFN-Verein ist mit seinen Partnern DFN-CERT Services GmbH, Leibniz Rechenzentrum (LRZ) der Bayerischen
Akademie der Wissenschaften, Friedrich-Alexander-Universität Erlangen-Nürnberg und Institut für Rundfunktechnik
GmbH, München, in 17 Tasks über neun verschiedene Activities von GN3plus eingebunden:
NA1 Management
SA1 Core Backbone Services
SA2 Testbeds as a Service
SA3 Network Service Delivery
SA4 Network Support Services
SA5 Application Services
JRA1 Network Architectures for Horizon 2020
JRA2 Technology Testing for Specific Service Applications
JRA3 Identity and Trust Technologies for GÉANT
Services
T1 Governance
T1 Backbone Architectural Development
T3 GÉANT – Advanced Network and Application Service
T1 TaaS Architecture and Engineering
T2 Software Tools, Protocols, and Specifications
T3 TaaS Service Management
T1 Bandwidth on Demand (BoD) Multi-Domain Service
T2 Wavelength Multi-Domain Service
T1 Multi-Domain Monitoring (MDM)
T3 End-to-End Management – NMA Approach
T1 eduPKI
T5 Enabling Users (eduGAIN)
T1 Future Network Architectures
T1 OpenFlow/SDN for Specialised Applications
T2 NaaS, Virtualization and NSI Developments
T1 Attributes and Groups
T2 Identity & Trust Technologies
Koordinator
Delivery of Advanced Network
Technology to Europe – DANTE
(Cambridge)
Partner
Trans-European Research and
Education Networking Association
– TERENA (Amsterdam)
Armenien: ASNET-AM
Aserbaidschan: AzRENA
Belgien: Belnet
Bulgarien: BREN
Deutschland: DFN
Estland: EENet
NORDUnet (Dänemark,
Finnland, Norwegen, Island,
Schweden)
Frankreich: RENATER
Georgien: GRENA
Griechenland: GRNET
Großbritannien und Nordirland:
Janet
Irland: HEAnet
Israel: IUCC
Italien: GARR
Kroatien: CARNet
Lettland: SigmaNet
Litauen: LITNET
Luxemburg: RESTENA
Malta: UoM
Mazedonien: MARnet
Moldawien: RENAM
Montenegro: MREN
Niederlande: SURFnet
Österreich: ACOnet
Polen: PSNC
Portugal: FCCN
Rumänien: RoEduNet
Schweiz: SWITCH
Serbien: AMRES
Slowakei: SANET
Slowenien: ARNES
Spanien: RedIRIS
Tschechische Republik:
CESNET
Türkei: ULAKBIM
Ungarn: NIIFI
Ukraine: URAN
Weißrussland: BASNET
Zypern: CyNet

24 | DFN Mitteilungen Ausgabe 85 | November 2013 | INTERNATIONAL
GÉANT erhält eingebauten
Innovationsmotor
Die Erprobung neuer Technologien und Betriebsszenarien in Netzen hat sich von einer für
die Vorbereitung künftiger Netzgenerationen notwendigen Spezialdisziplin zu einer Kern-
Aufgabe des Netzbetriebs entwickelt. Immer dichtere Innovationszyklen erfordern heute den
permanenten Betrieb von Testbeds. An Stelle der physischen Testbeds vergangener Jahrzehnte
treten heute virtuelle Umgebungen, die fest in die aktuelle Generation des Netzes implementiert
sind. Als ein solcher Fortschrittsmotor bietet das GN3-Projekt der europäischen
Netzwerkorganisation DANTE Ltd. den europäischen Wissenschaftsnetzorganisationen
künftig „Testbeds-as-a-Service (TaaS)“ eine Testbed-Umgebung als permanenten Service zur
Erprobung neuer Technologien und Verfahren netzgestützter Kommunikation.
Text: Dr. Peter Kaufmann (DFN-Verein), Dr.-Ing. Susanne Naegele-Jackson (RRZE)
Überblick (Einführung)
Künftige Netzwerk-Generationen werden
nicht nur durch eine weit höhere Leistungsfähigkeit
gekennzeichnet sein, sondern
auch durch ein Aufbrechen monolithischer
Strukturen und ein Mehr an Flexiblität
im Netz. Die dafür notwendigen Weiterentwicklungen
müssen üblicherweise
vor einem Betriebseinsatz gut ausgetestet
werden. Vor allem, wenn neue Netzprotokolle,
Controller Software oder Experimente
zu neuen Netzwerktechnologien
erforscht werden sollen, wird eine realistische
Netzumgebung benötigt, die dem
normalen Netzbetrieb zwar genau entspricht,
den Betrieb aber doch in keinster
Weise beeinflusst.
Die seit einigen Jahren einsetzbaren virtuellen
Netzumgebungen, die – im Gegensatz
zu einem Testbed mit einer physikalischen
Infrastruktur – schnell eingerichtet
und am Ende des Experiments wieder abgeschaltet
werden können, eignen sich für
diese Zwecke besonders gut. Testen in virtuellen
Umgebungen hat den Vorteil, dass
man auch komplexe Situationen mit limitierten
Hardware-Ressourcen nachstellen
und simulieren kann und unabhängig von
der zugrunde liegenden physikalischen Infrastruktur
schnell Änderungen nach neuen
Erkenntnissen oder Rückschlüssen aus
vorhergegangenen Experimenten im Testbed-Aufbau
vornehmen kann. Allerdings
sind die betrieblich einsetzbaren technischen
Lösungen oft auf „homogene“ Umgebungen
beschränkt: Technisch und administrativ
arbeiten sie im Rahmen einer
Single-Domain-Welt.
Soll ein „virtuelles Testbed“ im internationalen
Zusammenhang durch viele beteiligte
Anbieter bereitgestellt werden, so hat
man nach wie vor mit vielen Problemen
zu kämpfen; insbesondere, wenn solche
Testbeds in standardisierter Form als Testbeds-as-a-Service
(TaaS) angeboten werden
sollen. Gerade im Multi-Domain-Bereich
ergeben sich zunehmend neue Anforderungsprofile
und sich schnell verändernde
Aufgabenstellungen z.B. im Hinblick auf
Software Defined Networking (SDN) Strukturen,
wo sich Benutzer eine experimentelle
Plattform wünschen, die es ihnen erlaubt,
nach Baukastenprinzip individuelle
Testumgebungen für ihre Netzinnovatio-

INTERNATIONAL | DFN Mitteilungen Ausgabe 85 |
25
Das Konzept des Testbed-as-a-Service blickt
zurück auf eine Reihe europäischer Netzwerk-Projekte,
in denen das Konzept virtueller
Netze als Testumgebungen für innovative
Formen der Datenkommunikation
entwickelt und vorangetrieben wurde.
Namentlich gehören dazu FEDERICA
[1], NOVI [2], PlanetLab [3], GENI [4] oder
OFELIA [5]. In FEDERICA wurde z.B. untersucht,
wie Nutzergruppen virtuelle Testumgebungen,
sogenannte ‚Slices‘, über das
FEDERICA Testbed zur Verfügung gestellt
werden können. In NOVI wurde dieser Ansatz
dahingehend ausgedehnt, dass solche
virtuellen Slices nun mit Gatewayfunktionalität
über zwei bereits existierende
Testbedumgebungen (im NOVI Prototyp
waren dies PlanetLab und FEDERICA) aufnen
zusammenstellen zu können. Ein Nutzer
des TaaS-Dienstes soll sich daher über
eine Webschnittstelle schnell durch Anklicken
von den gewünschten Ressourcen eine
eigene Netz-Experimentierumgebung
konfigurieren können, die dann vom TaaS-
Dienst automatisch implementiert und isoliert
von anderen Netzumgebungen dem
Benutzer zur Verfügung gestellt wird.
Die von den nationalen Forschungsnetzen
getragene europäische Netzgesellschaft
DANTE betreibt seit vielen Jahren
den europäischen Forschungsnetz-Backbone
GÉANT. Der DFN-Verein ist zur Zeit an
GÉANT mit 2*100 Gb/s (jeweils Frankfurt,
Hamburg) angeschlossen. Neben dem betriebsorientierten
GÉANT-Netz wird auf den
vorhandenen Glasfaserverbindungen stets
auch eine (von der EU geförderte) Plattform
für netztechnische Weiterentwicklungen
angeboten.
Im Frühjahr 2013 hat die gegenwärtige
Projektphase GN3plus für Weiterentwicklungen
begonnen. Im Zentrum dieser
GN3plus-Aktivitäten steht (neben einer
photonischen Testumgebung) die Bereitstellung
und Weiterentwicklung eines
permanenten Testbeds-as-a-Service auf der
Grundlage von paketorientierten Netztechniken
(IP, Ethernet). Die Idee solcher virtuellen
Testbeds ist nicht neu – sondern
nur das Konzept eines „Testbed-Dienstes“.
Neben der betrieblichen Stabilität, enthält
der TaaS-Ansatz auch, dass interessierten
Nutzergruppen an Universitäten,
wissenschaftlichen Einrichtungen und Projekten
für ihre F&E-Arbeiten eine Testbed-
Umgebung bereitgestellt wird, deren technische
Eigenschaften (Routing, QoS, Topologie,
Bandbreite und weitere Funktionalitäten)
in einem vorgegebenen Rahmen
von den Nutzern selber festgelegt werden
können. Der Zugang, das Manage-
ment und die Nutzung des Testbeds sollen
einfach, variabel und unkompliziert
sein – daher der Dienstanspruch im Begriff
„Testbeds-as-a-Service“.
Foto: © ktsimage - iStockphoto

26 | DFN Mitteilungen Ausgabe 85 | November 2013 | INTERNATIONAL
gespannt werden konnten. Dem Benutzer
konnten dadurch weitere Ressourcen zur
Verfügung gestellt werden und es konnten
auch sich daraus ergebende neuartige Probleme
bzgl. Authentifizierung und Autorisierung
oder Darstellungsweisen und Einbindung
von unterschiedlichen Ressourcen
untersucht werden. Erfahrungen aus
OFELIA und GENI beziehen sich v.a. auf die
Integration von OpenFlow Testbeds in einen
solchen TaaS-Dienst.
Physikalische Netze
Virtuelle Netze
(z.B. VLAN)
Software-
Defined-Networks (SDN)
Open Flow (OF)
Beim an der Universität Stanford entwickelten
OpenFlow-Ansatz (OF) können
Control Plane und Data Plane voneinander
getrennt werden: Kontrollfunktionen,
die bisher herstellerabhängig im Switch
verankert waren und Einfluss auf die Forwarding-Tabellen
der Switch Hardware zur
Steuerung der Flows im Netz nahmen, können
nun auf einem eigenen Server (Controller)
außerhalb des Switches implementiert
werden. Durch eine herstellerunabhängige
OpenFlow-Schnittstelle übernehmen
die externen Kontrollfunktionen die
Steuerung der Flows über die Forwarding-
Tabellen der Switches. OpenFlow hat in
den vergangenen Jahren zunehmend an
Bedeutung gewonnen, insbesondere auch
Abb. 1: Umfassende
Grundlage sind die
physikalischen Netze. Darin
eingebettet sind die
schon lange verwendeten
Netze mit virtuellen
Verbindungen (z.B.
VLANs). Eine weitergehende
Virtualisierung der
Geräte (Router, Switche,
PCs, etc.) ermöglicht
vollständige
Virtuelle Netze, für die
zunehmend der Begriff
der Software-Defined-
Networks (SDN) verwendet
wird. Sie bilden die
Grundlage für den Dienst
Networks-as-a-Service.
OpenFlow ist ein Beispiel
für ein SDN.
die Unterstützung von Geräteherstellern,
und ist inzwischen mit Entwicklungsversionen
auf einigen Geräten verfügbar. Forschung
und Industrie arbeiten gemeinsam
an der weiteren Spezifikation des Open-
Flow-Konzeptes in der Open Networking
Foundation [7].
London
GEANT-Domain
Amsterdam
Frankfurt/Main
NREN-Domain
(DFN)
Erlangen
Für all diese im Wesentlichen durch Systemsoftware
steuerbaren virtuellen Netze
hat sich der übergreifende Begriff der
Software Defined Networks (SDN) eingebürgert;
OpenFlow ist eine mögliche Umsetzung
von SDN, d.h. ein Beispiel dafür,
wie mit Hilfe von Controller Software die
Kontrollfunktionen im Netz verwirklicht
und zur Steuerung von Switch-Hardware
umgesetzt werden können.
Eine Relation der verschiedenen Typisierungen
ist in Abbildung 1 dargestellt.
Wien
Zagreb
Die hier beschriebenen GN3plus-Aktivitäten
zur Implementierung eines TaaS unterteilen
sich in zwei Segmente, nämlich in
betriebliche Aufbereitungen (Service-Activities
(SA)) und in Entwicklungsarbeiten
(Joint-Research-Activities (JRA)).
Abb. 2: Starttopologie des OpenFlow-basierten Testbeds-as-a-Service: GEANT-Domain. Und
spätere Erweiterungen (z.B. DFN-Domain)

INTERNATIONAL | DFN Mitteilungen Ausgabe 85 |
27
Testbed-Netzdienst
(Service-Activities)
Die Service-Activities konzentrieren sich
auf die Implementierung und das Management
eines zuverlässigen Testbed-Services
mit nutzerdefinierten Konfigurationsmöglichkeiten
(z.B. über ein Nutzerinterface).
Dazu wird anfangs die teilweise bereits
aus den vergangenen GN3-Aktivitäten vorhandene
OpenFlow-Grundstruktur verwendet,
betriebsfertig eingerichtet und Nutzern
angeboten.
In Abb. 2 ist die vorgesehene Anfangstopologie
mit fünf PoP-Standorten dargestellt.
Alle OpenFlow-PoPs befinden sich
technisch und administrativ innerhalb
des GEANT-Netzes, gehören also zu einer
Single-Domain.
Im Projektfortgang soll die skalierbare
TaaS-Architektur mit der Fähigkeit zur
Kooperation mit anderen TaaS-Konzepten
(als Federation) erweitert und dann
schrittweise mit wachsender geographischer
Ausdehnung und zunehmenden technischen
Fähigkeiten eingerichtet werden.
In dieser Phase wird der anfangs nur im
GÉANT-Netz implementierte Dienst auch
auf die beteiligten NRENs ausgedehnt (im
DFN beispielsweise nach Erlangen, siehe
Abbildung 2) und das TaaS-Angebot damit
Multi-Domain-fähig.
Die seit Frühsommer 2013 angelaufenen
Arbeiten betreffen u.a. die Dienstspezifikation
für Phase-1, die Beschaffung und
Implementierung der notwendigen Software
und Hardware, sowie den Entwurf
für ein Betriebshandbuch der TaaS-Facility.
Abgerundet werden die Aufgaben mit
der Bereitstellung von Mechanismen zur
Konfiguration und Kontrolle der Testbeds.
Die Universität Erlangen ist u.a. mit der
Anpassung und Bereitstellung von Monitoring-Werkzeugen
und mit der Spezifikation
zur Hardware beteiligt.
Weiterentwicklungen (Joint
Research)
SDN (und speziell OpenFlow) bieten bei der
Bereitstellung von Testbeds eine große Flexibilität
an, da Controller Software (also
das ‚Netz-Gehirn‘) beliebig an den jeweiligen
Bedarf und zugeschnitten auf spezielle
Test-Szenarien angepasst werden kann.
Ein wichtiges Ziel ist daher die Analyse und
Bewertung der OpenFlow-basierten Techniken.
Dazu gehören die Untersuchung von
Nutzungsszenarien, Betriebsaspekte, Sicherheitsaspekte,
Funktionsmächtigkeit,
Performance, Monitoring, Multi-Domain-
Fähigkeit und die Begleitung der internationalen
OpenFlow-Entwicklungen, namentlich
in der Open Networking Foundation
[7]. Mit Hilfe des TaaS-Dienstes können Nutzer
diese OpenFlow-basierten Techniken
und beliebige Controller Software unabhängig
von anderen Experimenten in ihrer
eigenen Netzumgebung testen.
…
London
…
…
Copenhagen
Virtual
Machine
Virtual
Machine
Frankfurt/M.
Virtual
Machine
…
Milano
Amsterdam
Virtual
Machine
SA2
intra-service
Layer2
bridging/switching
Virtual
Machine
…
Virtual
Machine
Virtual
Machine
…
Virtual
Machine
Other
TaaS Service
domains
GEANT SA3 BoD
(inter-domain reach
using NSI provisioning for
data transport resources)
Virtual
Machine
…
Other
TaaS Service
domains
Virtual
Machine
…
Virtual
Machine
…
Virtual
Mschine
…
Virtual
Machine
Virtual
Machine
…
Virtual
Machine
…
Abb. 3: Verbindungsarchitektur multipler Domains mit Ende-zu-Ende-Pfaden unter Verwendung von Bandwidth-on-Demand (BoD).

28 | DFN Mitteilungen Ausgabe 85 | November 2013 | INTERNATIONAL
Neben den Untersuchungen zum erreichten
Stand sollen aber auch ganz handfeste
Implementierungen durchgeführt werden.
Bisher ist üblicherweise OF v1.0 im Entwicklungseinsatz.
Zurzeit befindet sich die
„Community“ aber im Übergang zu Open-
Flow v1.3. Hierbei konnte die Universität
Erlangen den bereits länger existierenden
Kontakt mit Hewlett Packard für ihre Aufnahme
in das laufende HP-Beta-Test-Programm
für die Version OpenFlow 1.3 nutzen.
Somit kann auch in GN3plus bald mit
der Implementierung von OF v1.3 gerechnet
werden. Aufbauend auf OpenNaaS-Konzepten
(NaaS: Network-as-a-Service) zur Bereitstellung
eines virtuellen Netzdienstes
sollen damit Erweiterungen der vorhandenen
Betriebsumgebung prototypisch
implementiert werden.
Die jetzigen SDN-Angebote arbeiten i.d.R.
als Single Domain. Ein Entwicklungsgebiet
umfasst deshalb die seamless Ende-zu-Ende-Verbindung
über mehrere Domains
hinweg. In JRA werden dazu zwei Ansätze
analysiert:
• Die Verbindung multipler Domains
mit Ende-zu-Ende-Pfaden. Dabei
wird Bandwidth-on-Demand (BoD)
als Verbindungswerkzeug zwischen
den Domains verwendet.
• Die Konfiguration von Multi-Domain-Slices.
In Abbildung 3 ist die Architektur eines Ansatzes
mit Ende-zu-Ende-Pfaden skizziert.
Der zweite Ansatz mit Multi-Domain-Slices
ist im NOVI-Projekt umgesetzt worden
(siehe DFN-Mitteilungen Mai 2012 Ausgabe
82 [8].).
Verwendung von Bandwidthon-Demand
(BoD)
Andere Ziele in den Joint-Research-Activities
umfassen die Diskussion einer zukünftigen
Netzwerkarchitektur für GÉANT, insbesondere
unter den Gesichtspunkten von
Cloud-Computing, des Nutzer-Zugangs, der
Hochgeschwindigkeits-Server-Kommunikation
und dem Zugang zu Speichersystemen.
Weitere Aufgabenfelder für ein zukünftiges
Netzwerk sind die Integration
von Hochgeschwindigkeits-Mobilnetzen,
hochwertige Videoübertragungen, Bandbreiten
jenseits von 100 Gbit/s und QoS-
Aspekte (low latency, low jitter).
Von deutscher Seite beteiligen sich die
Friedrich-Alexander Universität Erlangen-
Nürnberg und das Leibniz Rechenzentrum
München an Untersuchungen bezüglich
der OpenFlow Spezifikation v1.3 und zukünftigen
Netzarchitekturen. Auch das Institut
für Rundfunktechnik (IRT) ist involviert
und befasst sich mit den besonderen
Anforderungen im Hinblick auf Audio- und
Videoverarbeitung in solchen Testbeds. M
References
1] P. Szegedi, S. Figuerola, M. Campanella, V. Maglaris and
C. Cervelló-Pastor, „With Evolution for Revolution: Managing
FEDERICA for Future Internet Research“, IEEE Communications
Magazine, Vol. 47, No. 7, pp. 34-39, July 2009
[2] NOVI FP7 STREP Project. http://www.fp7-novi.eu
[3] PlanetLab, http://www.planet-lab.org
[4] Global Environment for Network Innovations (GENI),
http://www.geni.net/
[5] OFELIA, siehe: http://www.fp7-ofelia.eu/
[6] Virtual Network Infrastructure (VINI),
http://www.vini-veritas.net/
[7] OpenFlow, siehe: https://www.opennetworking.org/
[8] S. Naegele-Jackson, P. Kaufmann, NOVI: Virtuelle Netze koppeln,
DFN-Mitteilungen, Ausgabe 82, Mai 2012, S. 28-31,
https://www.dfn.de/fileadmin/5Presse/DFNMitteilungen/
DFN-Mitteilungen-82.pdf

INTERNATIONAL | DFN Mitteilungen Ausgabe 85 |
29
20 Years of Networking
Excellence
Earlier this year, DANTE celebrated its 20th Anniversary, marking more than two
decades of delivering networking excellence. By collaborating and listening to its
users and stakeholders, scientific research partners and other e-infrastructures,
DANTE has been at the forefront of network and service development, to keep ahead
of the fast-changing demands of the world‘s research and education requirements.
Founded in 1993 as a not-for-profit organisation to provide a
high-speed internet network for the European research community,
DANTE has since created four consecutive generations
of this network, which we all know and love today as GÉANT!
In
2000, the European Commission used GÉANT as an exemplar for
networking excellence and began funding similar networks all
over the world. Suddenly DANTE became not just a networking
and service innovator, but the project manager and coordinator
of these very large-scale projects, connecting different world regions
to Europe via GÉANT.
DANTE plans, builds and manages these projects on behalf of the
European Commission and Europe’s National Research and Education
Networks (NRENs), serving Europe (GÉANT), the Mediterranean
(EUMEDCONNECT), Sub- Saharan Africa (AfricaConnect),
Central Asia (CAREN) and Europe-China collaboration (ORIENTplus).
DANTE also supports R&E networking organisations in Latin
America (RedCLARA), Caribbean (CKLN) and Asia-Pacific (TEIN*CC).
1993 DANTE, a non-profit, limited liability organisation is created.
1995 Operating in Cambridge, UK, with 8 staff & €3 million annual turnover, DANTE takes over
principal international backbone for European research community.
1996 Connecting 10 countries, EuropaNet2 is first network provided by DANTE.
1997 In its lifetime EuropaNet2 grows transatlantic connectivity from 3.5Mbps to 26Mbps.
1998 TEN34 is the next generation pan-European network offering 13 countries speeds of
34Mbps.
TEN-155 has access capacities of 155Mbps across 15 European countries. Many upgrades
follow.
Network uses IP over ATM – a popular approach at the time. ATM provides efficient management
of underlying capacity provided by the SDH & PDH circuits provided by the operators.
It provides a “Managed Bandwidth Service” (an ATM-based circuit service analogous
to today’s GÉANT Plus service).
1999 EU-led liberalisation of European telecoms market opens previously closed markets to
competition. Prices drop as monopolies fall.

30 | DFN Mitteilungen Ausgabe 85 | November 2013 | INTERNATIONAL
2000 The GÉANT network is built in less than a year.
Network services provided to 31 countries, 3,000 organisations & 27 European NRENs.
Over the next decade, the available capacity on the network for researchers increases by a
factor of 60 from 155Mbps to 10Gbps.
EC uses GÉANT as blueprint for future networks across the world– DANTE’s role grows to
become the global coordinator of these very large-scale projects.
2001 DANTE re-tenders US contracts for commodity IP service & contracts ISPs in Europe for the
first time. It commits with 2 ISPs to provide a total of 2 Gbps of traffic for its European
NREN subscribers.
Mediterranean – EC signs €12.25 million contract for EUMEDCONNECT to connect southern
Mediterranean region.
2002 Full native (so-called “dual stack”) support for IPv6 is enabled in the GÉANT backbone.
DANTE & partners write internet history transferring 1215 terabit metres per second using
standard TCP transfer over IPv6.
2003 Latin America - EC signs €12.5 million contract with DANTE to connect 18 countries to
GÉANT via ALICE research network.
2004 Scientists across Europe benefit from €93 million EC grant to upgrade GÉANT for faster,
more powerful services.
Mediterranean - After 3 years of planning EUMEDCONNECT network is live and by 2005 connects
7 North African & Middle Eastern countries and 2 million users.
GÉANT enables sharpest view in Universe. Europe’s radio-astronomers can observe transient
objects at edge of Universe.
South-Eastern European region – The SEEREN network connects 4 additional NRENs to
GÉANT.
First phase of a feasibility study for an R&E network for the Asia Pacific region (TEIN2).
2005 Next generation of GÉANT uses dark fibre network offering switched point-to-point connections
‘light paths’ in addition to normal IP traffic.
GÉANT now serves 3 million researchers in 34 countries – world’s largest interconnected
community of its kind.
GÉANT receives resounding vote of approval from European Commission reviewers.
2006 Asia Pacific – After 2004 feasibility study, first large-scale R&E network for the region, TEIN2
links 10 countries at speeds up to 622Mbps.
China - DANTE coordinates ORIENT - new collaborative Sino-European project to connect
R&E networks of China & Europe.
2007 DANTE drives supercomputing as DEISA increases connectivity ten-fold to 10Gbps, through
links designed & deployed by GÉANT.
GÉANT reaches 37 countries outside of Europe.
2008 GÉANT provides connectivity to CERN’s new Large Hadron Collider (LHC) Computing Grid
infrastructure.
DANTE announces ORIENT network use in Sichuan earthquake recovery project.
TEIN3 builds on success of TEIN2 and extends footprint across South Asia.
2009 DANTE creates Network Operations Centre (NOC) in Cambridge providing effective 24-hour
support service. (Previously outsourced).
Next generation GÉANT backbone announced connecting 40 million users through 50,000
kms of optical fibre.
Project receives €93 million funding to run the network and manage research programmes
to develop innovative network architecture, technologies and services.
Black sea region – EC announces South Caucasus countries connected to GÉANT, enabling
Armenia, Azerbaijan and Georgia to collaborate with European peers.

INTERNATIONAL | DFN Mitteilungen Ausgabe 85 |
31
Central Asia – € 5 million EU contract funds CAREN network interconnecting 500 institutions
across 5 countries, and rest of Europe via GÉANT.
2011 European Bioinformatics Institute drives genomics research with GÉANT to help biologists
share vital data across globe.
Sub-Saharan Africa - DANTE announces first point-to-point circuit between GÉANT & UbuntuNet
Alliance - first step in connecting the region.
ELCIRA – DANTE and partners coordinate tools and services to support collaborative work
between Europe and Latin America.
Via GÉANT’s connections to networks in other world regions, EUMEDCONNECT3 is the nextgen
gateway for researchers in seven Mediterranean countries to be truly global players.
DANTE and TEIN* Co-operation Center (TEIN*CC) sign Memorandum of Understanding to
collaborate on projects to benefit research and education community in Asia-Pacific region.
ORIENTplus further develops infrastructure between GÉANT and China, enabling innovative
EU-China research and applications to flourish.
DICE is an operational collaboration between European and North American R&E partners
focusing on optimising transatlantic networking operations. Europe is represented
through GÉANT. In 2011, service pilots worked to ensure that diagnostic & dynamic circuitprovisioning
tools used by the DICE partners and participating NRENs in Europe, and regional
networks in the US can interoperate, providing seamless end-to-end services.
Arab States – ASREN network partners with EUMEDCONNECT3 as first stage in creating
pan-Arab R&E network - potentially serves 250 million people.
Ground -breaking international research project (DECIDE) uses GÉANT to help doctors
make earlier, more informed diagnoses of Alzheimer's Disease.
2012 Trans-Eurasia Information Network (TEIN3) connects over 50 million researchers & scientists
across 16 Asian countries.
DANTE announces Caribbean's first dedicated R&E network as C@ribnet connects to GÉANT.
DANTE hands over project responsibilities to TEIN*CC as part of long-term sustainability
plan for research and education networking in Asia Pacific and Europe.
GÉANT helps LHC unlock mysteries of the universe with discovery of Higgs Boson particle.
DANTE and partners receive “Excellent” by the EC in the annual GÉANT project review.
2013 GÉANT connects 43 European NRENs and over 50 million users at 10,000 institutions.
GÉANT reaches 66 countries outside Europe.
DANTE wins European Commission ‘Excellent Science’ & Computer Weekly ‘Best Technology’
awards.
DANTE & partners announce world’s first 100G transatlantic R&E network.
DANTE & Infinera announce fastest known provisioning of multi-Terabit capacity across a
live network - 2 Terabits in less than 12 minutes.
DANTE announces Terabit upgrade across the entire European backbone.
Today DANTE has 70 staff and a €50 million annual turnover.
Researchers, academics and students across Europe and China benefit from 10Gbps ORI-
ENTplus upgrade.
DANTE World Service still provides commodity IP for most European NRENs. Total capacity
has increased 25 times and prices have reduced over 100 times since 2001.

32 | DFN Mitteilungen Ausgabe 85 | November 2013 | SICHERHEIT

SICHERHEIT | DFN Mitteilungen Ausgabe 85 |
33
Sicherheit
Konzept und Nutzen von
Certificate Policy und Certification
Practice Statement
von Jürgen Brauckmann, Dr. Ralf Gröper
Sicherheit aktuell
von Heike Ausserfeld, Dr. Ralf Gröper,
Dr. Klaus-Peter Kossakowski

34 | DFN Mitteilungen Ausgabe 85 | November 2013 | SICHERHEIT
Konzept und Nutzen von
Certificate Policy und Certification
Practice Statement
Zertifizierungsstellen, die Zertifikate für E-Mail-Signatur oder -Verschlüsselung oder für die Authentifizierung
von Web-Servern oder Nutzern ausgeben, werden als Trusted Third Party bezeichnet.
Dieser Begriff kann auf mehrere Arten interpretiert werden: Entweder als eine Stelle, deren
Vertrauenswürdigkeit bewiesen ist. Oder aber als eine Stelle, die durch ein formales Axiom für
bedingungslos vertrauenswürdig erklärt werden muss, damit das Sicherheitssystem funktioniert.
Insbesondere mit der letzten Interpretation haben es Zertifizierungsstellen durch schwerwiegende
Sicherheitsvorfälle in den Jahren 2011 und 2012 sogar bis in die Mainstream-Presse gebracht:
„Schludrige Schlüsselmeister gefährden das Web“ [1]. In diesem Beitrag wird dargestellt, welche
Rolle Certificate Policy (CP) und Certification Practice Statement (CPS) bei der Bewertung der Vertrauenswürdigkeit
von Zertifizierungsstellen haben.
Text: Jürgen Brauckmann (DFN-CERT GmbH), Dr. Ralf Gröper (DFN-Verein)
Dieser Artikel ist bereits erschienen in „Datenschutz und Datensicherheit“, Ausgabe 08/2013.
Foto: © Francesca Schellhaas - Photocase

SICHERHEIT | DFN Mitteilungen Ausgabe 85 |
35
1 Einleitung
X.509-Zertifikate binden Namen an kryptographische Schlüssel
und diese Bindung wird dabei durch den Zertifikatherausgeber,
die Zertifizierungsstelle (Certificate Authority, CA), mit einer eigenen
Signatur bestätigt. Die Kombination aus Namen, kryptographischem
Schlüssel und Signatur bildet schließlich das Zertifikat.
Bevor der technische Vorgang der Zertifikaterstellung stattfindet,
muss eine Zertifizierungsstelle organisatorische und technische
Prozesse durchlaufen, um die Gültigkeit und Korrektheit
von Namen und die Bindung an die kryptographischen Schlüssel
zu verifizieren. Die Komplexität dieser organisatorischen
Prozesse ist der Grund, warum so manches internes Zertifizierungsstellenprojekt
zwar bis zu einer passenden OpenSSL-Installation
und -Konfiguration kommt, aber dann an den weiteren
Schritten scheitert.
Ob einer Zertifizierungsstelle vertraut werden kann, hängt aber
entscheidend von diesen organisatorischen und technischen Prozessen
ab. Daraus ergibt sich die Fragestellung: Wie kann eine
Zertifizierungsstelle genügend Informationen über ihre Prozesse
an die Öffentlichkeit transportieren, um das entsprechende
Vertrauen herzustellen?
2 Zweck
Eine Antwort auf diese Frage ist: Durch die Veröffentlichung einer
Zertifizierungsrichtlinie und/oder einer Erklärung zum Zertifizierungsbetrieb,
in denen sich jedermann über die Prozesse
und Sicherheitsmaßnahmen einer Zertifizierungsstelle informieren
kann.
Eine Zertifizierungsrichtlinie (Certificate Policy, CP) beschreibt
das Sicherheitsniveau der in einer Zertifizierungshierarchie ausgegebenen
Zertifikate in einem öffentlichen Dokument. Eine CP
soll die Frage beantworten, ob ein vorliegendes Zertifikat für einen
bestimmten Einsatzzweck geeignet ist. Hierzu werden Anforderungen
dokumentiert, die für alle ausgestellten Zertifikate
eingehalten werden. Eine CP kann unabhängig von einer konkreten
CA erstellt werden und somit beispielsweise die Anforderungen
einer speziellen Nutzergruppe festhalten. Eine CA, die
Zertifikate für diese Nutzergruppe erstellen will, muss dann deren
CP einhalten.
Im Unterschied dazu enthält die Erklärung zum Zertifizierungsbetrieb
(Certification Practice Statement, CPS) konkrete Aussagen
über den Betrieb einer bestimmten Zertifizierungsstelle. Es
werden alle Aspekte des Lebenszyklus eines Zertifikats inklusive
Erneuerung und Sperrung beschrieben, und die Maßnahmen
der CA im Bereich Infrastruktur, Organisation und personelle Sicherheitsmaßnahmen
offengelegt.
In der Praxis ist es schwierig, CP und CPS klar voneinander abzugrenzen,
da die meisten Aspekte aus dem CPS gleichzeitig für
die CP relevant sind. Daher veröffentlichen viele Zertifizierungsstellen
kombinierte Dokumente, die beide Aspekte enthalten.
CP und CPS beschreiben zudem immer nur den Soll-Zustand der
Zertifizierungshierarchie. Ob dieser Soll-Zustand auch wirklich
erreicht wird, muss durch ein internes oder besser noch externes
Audit nachgewiesen werden.
3 Entwicklung des Konzepts
Die Konzepte zu CP/CPS sind im Kern in den Jahren 1993 bis 2003
entstanden und gewachsen. Hierfür findet man auch in der DuD
Belege, siehe z.B. den Beitrag „Eine ‚PGP-Policy‘ für Unternehmen“
von Dirk Fox aus dem Jahre 1998 [2], in dem auf zwei Seiten die
Grundzüge von technischen und organisatorischen Maßnahmen
für den Einsatz von PGP zum Schutz der E-Mail-Kommunikation
in kleineren Unternehmen dargelegt werden.
3.1 X.509
Der „Urstandard“ für Zertifikate, X.509v1 von 1987 [3] enthält
noch keine konkreten Aussagen zur Vertrauenswürdigkeit der
Zertifizierungsstelle. Es wird lediglich eine „security policy“ erwähnt,
die vom Nutzer eines Security Service vorab selbst definiert
werden muss und die keinen konkreten Bezug zu Zertifizierungsstellen
hat.
X.509v2 von 1993 [4] kennt ebenfalls nur die allgemeine „security
policy“. Erst in X.509v3 von 1997 [5] wird dann die „certificate
policy“ definiert:
„A named set of rules that indicates the applicability of a certificate
to a particular community and/or class of application with
common security requirements“
Konkrete Vorgaben über die Gestaltung einer Certificate Policy
werden aber nicht gemacht.
3.2 PEM
In RFC 1422 zu „Privacy Enhancement for Internet Electronic Mail“
[6] aus dem Jahre 1993 gibt es bereits das Konzept einer CP. Allerdings
wird noch von einem weltweiten Netzwerk verbundener
CAs unter einer oberen Aufsicht durch eine Internet Policy
Registration Authority (IPRA) mit einer Zwischenschicht aus Policy
Certificate Authorities (PCA) ausgegangen. Eine PCA hätte
danach eine Rahmenrichtlinie als RFC veröffentlichen und sich
durch die IPRA selbst zertifizieren lassen sollen. Dieses Konzept
hat sich bekanntermaßen nicht durchgesetzt.
3.3 American Bar Association
1996 veröffentlichte die American Bar Association, eine Vereinigung
von Rechtsanwälten und Jurastudenten, die „Digital Signature
Guidelines“ [7]. Als Teil der Erläuterungen zu allgemeinen

36 | DFN Mitteilungen Ausgabe 85 | November 2013 | SICHERHEIT
rechtlichen und technischen Prinzipien von digitalen Signaturen
werden allgemeine Richtlinien für den Betrieb von Zertifizierungsstellen
aufgestellt und der Begriff der „Erklärung zum
Zertifizierungsbetrieb“ definiert. Dabei wird festgelegt, welche
Informationen eine Zertifizierungsstelle veröffentlichen muss.
3.4 PKIX
Die IETF Working Group PKIX arbeitete ab dem Frühjahr 1997
an einer Standardgliederung für eine CP/CPS. Zielgruppe von
PKIX sind Zertifizierungsstellen, die in der offenen Nutzergruppe
des öffentlichen Internet agieren und anerkannt werden wollen.
Die Standardgliederung soll ermöglichen, dass das Sicherheitsniveau
von Zertifizierungsstellen leichter verglichen werden
kann. Das Ergebnis wurde 1999 als RFC 2527 veröffentlicht
[8]. Santosh Chokhani (CygnaCom) und Warwick Ford (Verisign)
sind die Hauptautoren, die Inhalte wurden also maßgeblich von
Mitarbeitern von CAs geprägt.
Ab 2001 wurde die Weiterentwicklung in Angriff genommen. Das
Ergebnis der Überarbeitung kam 2003 als RFC 3647 [9] mit einem
mehr als doppelt so großen Umfang wie sein Vorgänger heraus.
3.5 ANSI, Webtrust, ESI
In den Jahren 2000 bis 2002 wurden vier Standards zur Evaluation
von Zertifizierungsstellen verabschiedet:
• ANSI X9.79 „PKI Practices and Policy Framework“ [10]
• AICPA/CICA „WebTrust Program for Certification Authorities”
[11]
• ETSI ESI TS 101 456 v1.1.1 [12]
• ETSI ESI TS 102 042 v1.1.1 [13]
Diesen Evaluierungsstandards ist gemeinsam, dass sie die Offenlegung
von Informationen über die Prozesse und Verfahrensweise
einer Zertifizierungsstelle verlangen, dabei aber keine
konkrete Form vorschreiben. Als Hilfsmittel wird aber z.B. in
den ETSI-Standards die Kapitelstruktur von RFC 2527 und später
RFC 3647 referenziert.
Als Ergänzung zu CP/CPS beschreiben die ETSI Standards ein „PKI
Disclosure Statement“ (PDS). Das PDS soll dem Nutzer die wichtigsten
Eigenschaften der Zertifizierungsstelle kurz und knapp
erläutern. Leider hat sich dieses Format nicht etabliert. Nur sehr
wenige Zertifizierungsstellen bieten ein PDS an.
4 Gliederung nach RFC 3647
Inzwischen verwenden die meisten Zertifizierungsstellen die in
RFC 3647 definierte Standardgliederung für ihre CP/CPS, auch
wenn man ab und zu noch Dokumente nach RFC 2527 oder sogar
mit ganz anderen Strukturen findet. Der vielleicht wichtigste Aspekt
dabei: Es darf kein Kapitel oder Unterkapitel der Standardgliederung
ausgelassen werden, selbst wenn die Zertifizierungsstelle
über die betreffenden Punkte keine Informationen geben
möchte. Solche nicht ausgefüllten Kapitel müssen mit dem expliziten
Hinweis „Keine Angaben.“ gefüllt werden, da nur so die Vergleichbarkeit
von verschiedenen CP/CPS erreicht werden kann.
Die von RFC 3647 definierte Gliederung unterscheidet nicht zwischen
CP und CPS. Für beide Dokumenttypen soll dieselbe Struktur
verwendet werden, wobei der Inhalt jeweils an die unterschiedliche
Zielsetzung angepasst sein soll: Vereinfacht kann gesagt
werden, dass in der CP das „Was“ und in der CPS das „Wie“
stehen soll.
Kapitel 1 eines zu RFC 3647 kompatiblen Dokuments enthält eine
Identifikation des Dokuments (möglichst in Form eines Object
Identifiers, die auch in den ausgestellten Zertifikaten enthalten
sein kann), die Definition der Teilnehmer der PKI, mögliche
Verwendungsarten der ausgestellten Zertifikate und Informationen
über die Verwaltung des Dokumentes.
Kapitel 2 enthält Aussagen zu öffentlich zugänglichen Informationen
über die PKI, wie z.B. die Adressen von Sperrlisten, OCSP-
Server oder Verzeichnisdiensten.
In Kapitel 3 findet sich der interessanteste Teil des Dokumentes.
Es trägt den Titel „Identification and Authentication“, und
beantwortet die folgenden Fragen:
• Wie werden die Daten, die in das Zertifikat aufgenommen
werden, verifiziert?
• Welche Namen werden überhaupt in ein Zertifikat auf -
genommen?
• Wie werden Zertifikat- und Sperranträge authentifiziert?
Kapitel 4 befasst sich mit allen Aspekten des Lebenszyklus der
Zertifikate in der PKI:
• Wie werden Anträge gestellt?
• Wie werden die Anträge dann weiterbearbeitet?
• Wie werden Zertifikaterneuerungen und Sperrungen
durchgeführt?
• Was für einen Zertifikat-Status-Service gibt es?
• Gibt es in der PKI Schlüsselhinterlegung und
-wiederherstellung?
• Welche Verantwortlichkeiten haben Zertifikatinhaber
und weitere Parteien im Umgang mit den Schlüsseln und
Zertifikaten?
Dieser letzte Punkt erlegt dem Zertifikatinhaber und weiteren
Parteien Verpflichtungen auf. Alle anderen Aussagen eines RFC

SICHERHEIT | DFN Mitteilungen Ausgabe 85 |
37
3647-konformen Dokumentes betreffen üblicherweise die Zertifizierungs-
oder Registrierungsstelle. Wussten Sie, dass Sie vor dem
Bezug eines Zertifikats tunlichst in Kapitel 4.5 der zugehörigen
CP/CPS nachschauen sollten, wie Sie mit dem Zertifikat und dem
dazugehörigen privaten Schlüssel umgehen dürfen? Aber nicht
nur dem Zertifikatinhaber werden an dieser Stelle Verpflichtungen
auferlegt: Auch Zertifikatprüfer, also Personen, die ein Zertifikat
im Rahmen von z.B. S/MIME oder SSL präsentiert bekommen,
können in diesem Kapitel dazu verpflichtet werden, eine
Gültigkeitsprüfung mittels Sperrlisten oder OCSP vorzunehmen.
Kapitel 5, „Management, Operational and Physical Controls“, beschreibt
die nicht technischen Sicherheitsmaßnahmen der Zertifizierungsstelle:
Rollenmodelle, physische Rechenzentrumssicherheit,
Audit- und Logprozeduren, Trainingsanforderungen usw.
Kapitel 6 widmet sich den technischen Sicherheitsmaßnahmen:
• Erzeugung und Installation der CA-Schlüssel
• Schutz des privaten Schlüssels der CA durch Hardware
Security Module
• Gibt es Schlüssel-Backups, z.B. von Nutzerschlüsseln, oder
werden Schlüssel an weitere Parteien offengelegt?
• Vorgaben für Passwortlängen, Schlüsselgrößen,
Krypto-Algorithmen
• Netzwerk- und Systemsicherheitsmaßnahmen
Kapitel 7 beschreibt die konkrete Ausgestaltung von Zertifikaten,
Sperrlisten und evtl. der OCSP-Dienste: Welche Felder werden belegt,
welche Zertifikaterweiterungen werden unterstützt, werden
Object Identifier zur Markierung von Zertifikaten verwendet?
Kapitel 8 legt dar, wie die Zertifizierungsstelle die Konformität
ihres Betriebs zu ihren eigenen Richtlinien sicherstellt.
Kapitel 9 enthält schließlich Aussagen über die rechtlichen Rahmenbedingungen
des Betriebs, Regelungen zum Datenschutz
und Haftungserklärungen.
5 Dokumente in der Praxis
RFC 3647 ist ein langes und sperriges Dokument, und so verwundert
es nicht, dass einige Zertifizierungsstellen eine individuelle
Umsetzung gewählt haben. Im Folgenden werden Beispiele aus
der Praxis vorgestellt, wobei der Fokus auf Zertifizierungsstellen
liegt, deren CA-Zertifikate im Webbrowser verankert sind.
5.1 Comodo
Comodo veröffentlicht ein CPS [14]. Die älteste abrufbare Version
ist von 2005, und umfasst knapp 50 Seiten. Das aktuelle Dokument
hat mehr als 90 Seiten und ist in einer eigenen, nicht
RFC 3647-konformen Struktur verfasst. Besonders auffällig ist,
dass zur CPS noch mehr als 20 weitere Anhang-Dokumente gehören,
die in unterschiedlichen Situationen Geltung haben. Im Dokument
werden Sicherheitsanforderungen für 42 verschiedene
Zertifikattypen und -produkte (z.B. Essential SSL, Elite SSL, PlatinumSSL,
Comodo Premium SSL usw.) beschrieben.
5.2 DFN
Der DFN-Verein stellt seit 1996 für seine Anwender PKI-Dienstleistungen
zur Verfügung. 1997 wurde ein Satz von Richtlinien
unter dem Namen Low-Level Policy und Medium-Level Policy
veröffentlicht, die mit jeweils ca. 20 Seiten die Ausgabe von
X.509- und PGP-Zertifikaten an Personen regelten [15, 16]. 1999
kam dann die „World Wide Web Policy“ für die Zertifizierung
von Servern hinzu [17].
Die Richtlinien folgen einer eigenen Struktur und befassen sich
ausführlich mit den organisatorischen Aspekten der Zertifizierung
von Zertifizierungsstellen. Es handelt sich also eher um
Dokumente einer „Policy Certification Authority“ im Geiste von
RFC 1422 aus dem PEM-Umfeld.
Ab 2005 erfolgte dann eine Umstellung der Zertifizierungs- wie
auch der Dokumentenstruktur. Die aktuelle DFN-PKI (unter Verantwortung
der Autoren dieses Artikels) umfasst fünf verschiedene
Sicherheitsniveaus (darunter z.B. Spezial-Zertifikate für das
Grid-Computing), die in vier verschiedenen CPs von jeweils 40 bis
50 Seiten beschrieben werden [18]. Zu drei der vier CPs gibt es
eine ergänzende CPS von 10 bis 25 Seiten, ein Sicherheitsniveau
wird in einem kombinierten CP/CPS beschrieben. Die Dokumente
sind nach RFC 3647 strukturiert.
5.3 Symantec
Symantec (früher Verisign) veröffentlicht für seine Zertifikat-Produkte
eine CP von fast 90 Seiten und eine CPS von mehr als 150
Seiten [19, 20]. Ältere Versionen sind nicht direkt abrufbar, können
aber per E-Mail angefordert werden.
Es fällt auf, dass beide Dokumente sehr große Überschneidungen
aufweisen und beispielsweise das Kapitel 3 „Identification
and Authentication“ fast identisch ist. Ein weiteres sehr interessantes
Merkmal findet sich in den Anhängen zur CPS: Hier wurden
relevante externe Standards wie die „Baseline Requirements
for the Issuance and Management of Publicly-Trusted Certificates“
des CA Browser Forums [21] oder aber die „Guidelines for
the Issuance and Management of Extended Validation (EV) Certificates“
[22] direkt wörtlich in das Dokument eingebunden.
5.4 TC TrustCenter
TC TrustCenter veröffentlicht eine CP und eine CPS inklusive aller
historischen Versionen [23, 24]. Im Jahr 1999 wurde die erste,
nach einer eigenen Struktur aufgebaute CP mit ca. 20 Seiten Um-

38 | DFN Mitteilungen Ausgabe 85 | November 2013 | SICHERHEIT
fang veröffentlicht. Das Dokument beschreibt ausschließlich die
Abläufe der Identifizierung und Authentifizierung, was Kapitel
3 in einem RFC 3657-Dokument entspricht. Dieses Dokument ist
in überarbeiteter Form auch heute noch in Gebrauch. Es wird in
der englischen Version „Certificate Policy Definitions“ genannt.
Ab 2001 veröffentlichte TC TrustCenter zusätzlich ein nach RFC
2527 und später RFC 3647 gegliedertes CPS, das im Laufe der Jahre
von ca. 40 auf aktuell über 70 Seiten gewachsen ist. Das Kapitel
3 dieses Dokuments ist recht ausführlich gehalten, verweist
aber zusätzlich weiterhin auf die CP.
Beide Dokumente definieren fünf Zertifikatklassen mit unterschiedlichen
Anforderungen an die Verifikation von Daten in den
ausgestellten Zertifikaten.
6 Nützlichkeit
Nach diesen Beispielen aus der Praxis stellt sich jetzt die Frage,
welchen Nutzen die Veröffentlichung von CP oder CPS hat. Dass
eine CA als Trusted Third Party dokumentieren muss, wie sie das
in sie gesetzte Vertrauen rechtfertigt, liegt auf der Hand. Aber
welchen Beitrag leisten hierzu CP und CPS?
Im Prinzip ist alles ganz einfach: Der Nutzer eines Zertifikats liest
die dazugehörigen Dokumente und weiß sofort, wie es um die
Vertrauenswürdigkeit einer CA und deren Zertifikate bestellt ist.
Wie man allerdings an den Praxis-Beispielen erkennen kann, scheitert
dieser Ansatz schon am Umfang einer gewöhnlichen CP oder
CPS. Man muss bei 90 Seiten Dokumentation vorab recht genau
wissen, an welchen Stellen die kritischen Punkte stehen, die zur
Beurteilung der Vertrauenswürdigkeit wichtig sind. Die Verteilung
wichtiger Inhalte auf zig Anhänge erschwert dies zusätzlich.
Und noch ein weiteres Zahlenspiel: In Mozilla-Produkten sind
aktuell 62 verschiedene Organisationen mit 158 Root-CA-Zertifikaten
enthalten [25]. Man müsste sich also durch mindestens
6.000, vermutlich aber eher 10.000 Seiten Dokumentation arbeiten,
um einen vollständigen Überblick über die Arbeitsweise und
Vertrauenswürdigkeit dieser CAs zu bekommen.
Daher muss ein CP/CPS als ein Dokument begriffen werden, das
nicht den Zertifikatnutzern, sondern Fachleuten dient . Die CP/
CPS ist der Mittelpunkt der gesamten Dokumentationslage und
Startpunkt zur Beurteilung einer Zertifizierungsstelle. Es dient als
zentraler Ankerpunkt für Dokumente, die in alle Richtungen zielen:
• Zertifikatinhaber benötigen eine Zusammenfassung ihrer
Rechte und Pflichten, die in „Subscriber Obligations“-
oder „Subject Information“-Papieren beschrieben werden.
• Mitarbeiter der Zertifizierungsstelle benötigen für
interne Zwecke weitere Dokumente wie z.B. ein
Sicherheits konzept, ein Betriebshandbuch und
Administrationsdokumentation.
• Softwarehersteller, die die CA in ihre Produkte vorinstallieren
wollen, verlangen Prüfberichte und weitere Erklärungen
zur Konformität mit eigenen Vorgaben.
• Auditoren sehen CP/CPS ebenfalls nur als erste Ansatzpunkte,
die durch weitere interne und externe Dokumente,
Checklisten und Vorgaben ergänzt werden müssen.
WebTrust
ETSI TS 102 042
RFC3647
CA/Browserforum
Baseline Requirements
CP/CPS
Subject Information
Subscriber Obligations
Sicherheitskonzept
Risikoanalyse
Betriebshandbuch
...........................
Abb. 1: CP/CPS als Ankerpunkt der Dokumentation

SICHERHEIT | DFN Mitteilungen Ausgabe 85 |
39
Derjenige, der im Internet auf ein Zertifikat stößt, muss sich normalerweise
ganz darauf verlassen, dass die CA vorab überprüft
wurden, da er nur schwerlich für jedes Zertifikat die dazugehörige
CP oder CPS studieren kann.
Als Zertifikatnutzer vertraut man dabei den Fachleuten der verwendeten
Software, sei es der Webbrowser, das Betriebssystem
oder spezielle Anwendungen für qualifizierte Signaturen nach
dem Signaturgesetz.
Jeder große Betriebssystem- und Browserhersteller hat ein eigenes
„Root-Programm“, in dem eine Root CA zunächst geprüft
wird, bevor sie in der Software vorinstalliert wird. Die CP/CPS
wird dabei immer mit geprüft und ist unabdingbarer Bestandteil
des Prozesses.
Aber auch andere Organisationen setzen einen Mechanismus um,
bei dem die Prüfung von CP/CPS gekapselt wird und an zentraler
Stelle für eine Vielzahl von Nutzern erfolgt. Beispiele sind die
TeleTrusT European Bridge CA [26] oder die European Grid PMA
zusammen mit der International Grid Trust Federation [27]. Die
TeleTrust European Bridge CA nutzt eine eigene CP (konform zu
RFC 3647), die alle teilnehmenden CAs einhalten müssen, während
die European Grid PMA mit sogenannten „Authentication
Profiles“ arbeitet, gegen die die Konformität der CP/CPS von CAs
geprüft werden.
7 Defizite
Wie sich in den Praxisbeispielen schon angedeutet hat, ist der
Nutzen von CP/CPS durchaus kritisch zu bewerten. Die von CAs
veröffentlichten Dokumente sind bisweilen sehr schwer zu lesen,
da entweder irrelevante Allgemeinplätze beschrieben werden
oder aber die Detailtiefe so groß ist, das jeder Überblick verloren
geht. Dies ist aber nicht nur Schuld der CAs, die sich zu wenig
Mühe bei der Gestaltung ihrer Dokumente geben: Gerade an
im Webbrowser vorinstallierte CAs werden (zu Recht) ständig
neue externe Anforderungen gestellt, die umgesetzt und in CP/
CPS dokumentiert werden müssen.
Mozilla, Microsoft und Co. haben in ihren jeweiligen Root-
Programmen unterschiedliche Anforderungen, die sich darüber
hinaus noch mehr oder weniger häufig ändern. Hinzu kommen
weitere Anforderungen aus Standards, die CAs einhalten
müssen oder wollen, beispielsweise Webtrust, ETSI oder die
Baseline Requirements des CA/Browserforums. Die Einhaltung
dieser Standards wird üblicherweise regelmäßig von externen
Auditoren überprüft. Je nach Prüfer kann hierbei durchaus
jedes Jahr eine neue Verfeinerung von CP/CPS notwendig
werden. Das Ergebnis sind die in den Beispielen vorgestellten
komplizierten Strukturen von über die Zeit gewachsenen
Dokumenten, die sich dem normalen Leser komplett ent -
ziehen.
Ein weiteres Problem: Die eigentlich vorgesehene einfache Vergleichbarkeit
zwischen verschiedenen CAs ist kaum gegeben, da
zum einen die Abgrenzung zwischen CP und CPS uneinheitlich
gehandhabt wird und zum anderen die Standardgliederung aus
RFC 3647 nicht immer konsequent übernommen wird.
Des Weiteren ist eine CP oder CPS vollkommen ungeeignet, um
Zertifikatinhaber oder -nutzer verbindlich zu einem bestimmten
Verhalten zu verpflichten (z.B. Sorgsamkeitspflichten im Umgang
mit dem privaten Schlüssel, wie sie oft in Kapitel 4.5 eines RFC
3647-kompatiblen Dokumentes zu finden sind). Hierfür müssen
weitere, kürzere Dokumente wie ein „Subscriber Agreement“ oder
eine „Subject Information“ genutzt werden, die als Ergänzung
zur CP/CPS genau die Aspekte aufgreifen, die für die jeweilige
Zielgruppe wirklich relevant sind. Und wenn es um Verpflichtungen
zur Prüfung der Zertifikat-Gültigkeit per Sperrliste oder OCSP
geht, nützen noch so viele Dokumente nichts: Selbst wenn ein
Nutzer weiß, dass er die Gültigkeit eines Zertifikats prüfen soll,
so ist er doch darauf angewiesen, dass die verwendete Software
diese Aufgabe für ihn erledigt. Hier gibt es viele Probleme: In Mozilla
Firefox/Thunderbird sind die Mechanismen für Sperrlisten
seit Jahren fehlerhaft, und auch wenn seit einiger Zeit OCSP recht
gut unterstützt wird, so wird doch in den Default-Einstellungen
bei Nichterreichbarkeit eines OCSP-Servers kein Fehler erzeugt,
sondern das Zertifikat einfach als gültig akzeptiert.
Noch ärger ist es bei Google Chrome: Anfang 2012 deaktivierte
Google die übliche Unterstützung für Sperrlisten und OCSP in
den Default-Einstellungen von Chrome und nutzt stattdessen
eine stark eingeschränkte Untermenge an Sperrinformationen
(„CRLSet“), die nach Vorauswahl durch Google per Update-Mechanismus
zu den Clients gelangt [28]. Nach etwas mehr als einem
Jahr sind in Chromes CRLSet ca. 24.500 Zertifikate als gesperrt
markiert, was nur ein ganz kleiner Bruchteil der weltweit
von Zertifizierungsstellen gesperrten Zertifikate ist.
Es bleibt noch darauf aufmerksam zu machen, dass es sehr einfach
ist, eine CP/CPS zu verfassen, das zwar einen beträchtlichen
Umfang an Papier oder Festplattenplatz verbraucht, aber
keinerlei verwertbare Aussage enthält. Hierzu ein kleines Suchspiel:
Wo steckt der Fehler in folgender Formulierung? „Zur Speicherung
des privaten Schlüssels der CA kann ein nach FIPS 140-1
Level 3 zertifiziertes Hardware Security Modul verwendet werden.“
Auflösung: Das unscheinbare Wort „kann“ vernichtet jede
Verbindlichkeit der Spezifikation.
Eine solche CP/CPS könnte zwar den stolzen Titel „Entspricht
RFC 3647“ tragen, wäre aber ziemlich nutzlos.

40 | DFN Mitteilungen Ausgabe 85 | November 2013 | SICHERHEIT
8 Fazit
Zertifizierungsrichtlinien und Erklärungen zum Zertifizierungsbetrieb
sind wichtige öffentliche Dokumente, die für einen Überblick
über das allgemeine Sicherheitsniveau der beschriebenen
PKI unabdingbar sind und ein gewisses Maß an Transparenz schaffen.
Für Fachleute mit genügend Zeit zum Studium der Dokumente
ergibt sich ein an einer Stelle gebündelter guter Einblick
in die Arbeit einer Zertifizierungsstelle.
Allerdings sind die Dokumente oft sehr unhandlich. Beschreibt
eine Zertifizierungsstelle dann auch noch mehrere Zertifikattypen
in einem Dokument, wird es schnell unlesbar, und man
bekommt den Eindruck, dass es doch nicht so sehr um Transparenz,
sondern mehr um die formale Erfüllung von externen
Vorgaben geht. Es wäre wünschenswert, wenn Zertifizierungsstellen
mehr auf die Lesbarkeit ihrer Dokumente und Beschreibungen
achten würden. Klar verständliche Informationen für
Zertifikatinhaber oder kurze und prägnante Policy Disclosure
Statements wären gut geeignet, um mehr Vertrauen in die Arbeitsweise
aufzubauen.
Allerdings können in CP/CPS nicht alle Aspekte der Sicherheit
von Zertifikaten so geregelt werden, dass sich in der Praxis alle
Beteiligten daran halten (können). Wenn z.B. große Software-
Hersteller keine vollständige Unterstützung von Sperrmechanismen
bieten, lässt sich außerhalb eines gesetzlich reglementierten
Bereichs eine Verpflichtung von Nutzern zur Prüfung der
Gültigkeit von Zertifikaten durch die Zertifizierungsstelle in der
Praxis nicht durchsetzen.
Trotzdem sind CP/CPS als Ausgangspunkt für die Dokumentationslage
einer Zertifizierungsstelle und als zentrale Sammlung
der verbindlichen Verpflichtungen aller beteiligten Rollen unersetzlich.
M
Literatur
[1] Spiegel Online, „Schludrige Schlüsselmeister gefährden das Web“,
http://www.spiegel.de/netzwelt/netzpolitik/internetsicherheitschludrige-schluesselmeister-gefaehrden-das-web-a-786481.html
[2] DuD 22 (1998) 9, Dirk Fox, Eine ‚PGP-Policy‘ für Unternehmen
[3] ITU-T Recommendation X.509 (11/1988) – THE DIRECTORY – AUTHEN-
TICATION FRAMEWORK
[4] ITU-T Recommendation X.509 (11/1993) – THE DIRECTORY – AUTHEN-
TICATION FRAMEWORK
[5] ITU-T Recommendation X.509 (08/1997) – THE DIRECTORY – AUTHEN-
TICATION FRAMEWORK
[6] IETF, RFC1422, S. Kent, Privacy Enhancement for Internet Electronic
Mail: Part II: Certificate-Based Key Management, Februar 1993,
http://www.ietf.org/rfc/rfc1422.txt
[7] American Bar Association, Digital Signature Guidelines, August 1996
[8] IETF, RFC 2527, S. Chokhani, W. Ford, Internet X.509 Public Key Infrastructure,
Certificate Policy and Certification Practices, März 1999,
Framework, http://www.ietf.org/rfc/rfc2527.txt
[9] IETF, RFC 3647, S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, Internet
X.509 Public Key Infrastructure Certificate Policy and Certification
Practices Framework, November 2003, http://www.ietf.org/rfc/
rfc3647.txt
[10] ANSI, X9.79 PKI Practices and Policy Framework for the Financial
Services Industry, 2001
[11] AICPA/CICA, WebTrust Program for Certification Authorities Version
1.0, August 25, 2000
[12] ETSI ESI TS 101 456 v1.1.1, Electronic Signatures and Infrastructures
(ESI): Policy requirements for certification authorities issuing qualified
certificates, Dezember 2000
[13] ETSI ESI TS 102 042 v1.1.1, Electronic Signatures and Infrastructures
(ESI): Policy requirements for certification authorities issuing public
key certificates, April 2002
[14] Comodo Certification Practice Statement v. 4.0, October 2012,
http://www.comodo.com/about/comodoagreements.php
[15] DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Medium-
Level Policy, Version 1.0, April 1997
[16] DFN-Verein, Zertifizierungsrichtlinien für die DN-PCA, Low-Level
Policy, Version 1.0, April 1997
[17] DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Die World
Wide Web Policy, Version 1.0, April 1999
[18] DFN-Verein, Policies der DFN-PKI, http://www.pki.dfn.de/policies
[19] Symantec Trust Network (STN) Certificate Policy Version 2.8.11,
Februar 2013, http://www.verisign.com/repository/index.html
[20] Symantec Trust Network (STN) Certification Practices Statement
Version 3.8.12, Februar 2013, http://www.verisign.com/repository/
index.html
[21] CA/Browser Forum, Baseline Requirements for the Issuance and
Man agement of Publicly-Trusted Certificates, Version 1.1, September
2012, https://www.cabforum.org
[22] CA/Browser Forum, Guidelines for the Issuance and Management of
Extended Validation (EV) Certificates, Version 1.4, Mai 2012, https://
www.cabforum.org
[23] TC TrustCenter, Zertifizierungsrichtlinien, Januar 2010, http://www.
trustcenter.de/about/repository.htm
[24] TC TrustCenter GmbH, Certification Practice Statement Version 1.9.3,
Januar 2010, http://www.trustcenter.de/about/repository.htm
[25] Mozilla CA Certificate Store, http://www.mozilla.org/projects/security/certs
[26] TeleTrusT European Bridge CA, https://www.ebca.de
[27] The European Policy Management Authority for Grid Authentication
in e-Science, http://www.eugridpma.org
[28] Revocation checking and Chrome‘s CRL, Februar 2012) http://www.
imperialviolet.org/2012/02/05/crlsets.html

SICHERHEIT | DFN Mitteilungen Ausgabe 85 |
41
Sicherheit aktuell
Heike Ausserfeld (DFN-Verein), Dr. Ralf Gröper (DFN-Verein),
Dr. Klaus-Peter Kossakowski
SHA-2 in der DFN-PKI
Die in der DFN-PKI in den ausgestellten Zertifikaten
verwendeten Algorithmen müssen fortwährend auf
ihre Eignung zur Sicherstellung des gewohnten Sicherheitsniveaus
überprüft werden. Durch aktuelle
Forschungsergebnisse im Bereich der Kryptologie ergibt
sich ab und an die Notwendigkeit, hier auf neuere
Algorithmen oder Schlüssellängen umzusteigen. Die
letzte Änderung dieser Art war die Vergrößerung der
minimalen RSA-Schlüssellänge von 1024 auf 2048 Bit
im Dezember 2006. Derzeit ist der Hashingalgorithmus
SHA-1 betroffen. Dieser gilt noch als sicher, aber durch
mehrere Forschungsergebnisse wurde die Effektivität
dieses Algorithmus bereits gesenkt. Der Nachfolger
SHA-2 wurde bereits 2001 vom NIST standardisiert. Da
die Umsetzung in der Technik aber zunächst äußerst
schleppend verlief, und alle beteiligten Komponen-
ten diesen Algorithmus unterstützen müssen, ist bei
der Migration Vorsicht geboten. Aktuelle Standardbetriebssysteme
und -software unterstützen SHA-2 in der
Regel, so etwa Microsoft Windows seit Windows XP
mit Service Pack 3. Für den Einsatz auf Appliances und
älteren Systemen kann aber keine allgemeingültige
Aussage getroffen werden. Es wurden bereits mehrere
CAs in der DFN-PKI in Absprache mit den Anwendern
auf SHA-2 umgestellt und bisher wurden keine Inkompatibilitäten
berichtet. Falls Sie Ihre CA in der DFN-PKI
auf SHA-2 umstellen möchten, setzen Sie sich bitte mit
uns in Verbindung. Es besteht dann auch weiterhin
für Spezialanwendungen die Möglichkeit, mit SHA-1
gehashte Zertifikate zu erhalten. Der Zeitpunkt für
den generellen Umstieg wird dann rechtzeitig von
der DFN-PCA angekündigt. M
Einfluss von Geheimdiensten auf Kryptoalgorithmen
Derzeit findet im öffentlichen und politischen Raum
eine Diskussion über PRISM und TEMPORA statt und
löst viel Verunsicherung aus. Dies betrifft insbesondere
die Sicherheit der Datenübertragung im Internet,
aber auch die Sicherheit der beim Endnutzer eingesetzten
IT-Komponenten, beides auch im Hinblick
auf darin installierte Hintertüren.
Eine besondere Rolle nehmen hierbei kryptographische
Funktionen ein, die sehr komplex und nur für
wenige Experten durchschaubar sind. An der Entwicklung
dieser kryptographischen Funktionen waren
teilweise namhafte Experten der NSA beteiligt
bzw. komplette Funktionen wurden direkt von der
NSA entwickelt. Während lange Zeit diese Hilfe gerne
in Anspruch genommen wurde, stellt sich heute jedoch
die Frage, ob die NSA hierbei bewusst Schwachstellen
in die Funktionen eingebaut hat.
Interessanterweise gibt es aus der Geschichte des
Verschlüsselungsverfahrens „DES“ Hinweise, die die
Fähigkeit der NSA, Schwachstellen in Algorithmen zu
erkennen, nahelegen. So hatte die NSA seinerzeit Änderungen
verlangt, ohne diese im Detail zu erklären.
Erst viele Jahre später kam heraus, dass hierdurch das
DES-Verfahren sicherer gemacht wurde gegen eine
der Öffentlichkeit und auch der Wissenschaft damals
noch unbekannte Klasse der Kryptoanalyse, der „differentiellen
Analyse“.
Bereits durch kleine Veränderungen können Algorithmen
so geschwächt werden, dass diese für normale
Angreifer zwar „unknackbar“ bleiben, die Schwächung
aber ausreicht, dass die NSA mit ihren unstrittig überragenden
Ressourcen gezielt einzelne gesicherte Verbindungen
entschlüsseln kann. Eine generelle umfassende
Entschlüsselung des gesamten verschlüsselten
Verkehrs dürfte allerdings nicht möglich sein. Es gibt
auch keinerlei Hinweise darauf, dass die in der DFN-
PKI verwendeten Algorithmen (RSA und SHA-1 bzw.
SHA-2) betroffen sein könnten. M

42 | DFN Mitteilungen Ausgabe 85 | November 2013 | SICHERHEIT
DDoS-Amplification-Attacken über Open Resolver und andere Dienste
Eine zunehmend eingesetzte Methode, um die Effektivität
von DDoS-Angriffen zu erhöhen, ist der Einsatz
von DDoS-Amplification. Hierbei werden (beabsichtigter-
oder unbeabsichtigterweise) öffentlich erreichbare
Dienste, die das verbindungslose UDP-Protokoll
verwenden, missbraucht, ohne dass diese Dienste selber
kompromittiert sind. Die Verwendung des UDP-
Protokolls ermöglicht es Angreifern, mit gefälschten
Quell-Adressen sehr leicht Anfragen aus ihren Botnetzen
an diese Dienste zu stellen. Diese Anfragen
werden bearbeitet und beantwortet, wobei eine im
Vergleich zur Anfrage sehr große Antwort an die gefälschte
Absenderadresse gesendet wird. Somit wird
die Effektivität des Angriffs je nach Protokoll bis zu
2.500-fach verstärkt.
Häufig sind heutzutage als überflüssig betrachtete
Dienste betroffen, wie zum Beispiel CHARGEN. Daneben
erweisen sich allerdings auch nützliche Dienste,
die in lokalen Netzen flächendeckend zum Einsatz
kommen, allen voran SNMP, als kritisch, wenn sie aus
dem Internet heraus erreichbar sind.
Während die Geräte mit veralteten Diensten wie CHAR-
GEN durch Abschalten oder der Sperrung des Zugriffs
aus dem Internet abgesichert werden können, werden
auch Dienste für DDoS-Angriffe missbraucht, die
beabsichtigterweise aus dem Internet heraus erreichbar
sind. So werden weiterhin öffentlich erreichbare
DNS-Server (Open Resolver) für DDoS-Angriffe ausgenutzt.
Nur durch die sichere Konfiguration und flankierende
Maßnahmen wie beispielsweise die Begrenzung
der Datenrate können Angriffe solcher Art verhindert
oder zumindest eingeschränkt werden. Das
durch aus dem Internet erreichbare Dienste verbleibende
Restrisiko muss in jedem Fall vom Betreiber
des Dienstes berücksichtigt und getragen werden.
DFN-Anwender werden weiterhin reaktiv vom DFN-
CERT über die Automatischen Warnmeldungen über
kompromittierte Systeme informiert und können proaktiv
über den Netzwerkprüfer aus dem Internet heraus
erreichbare Dienste in ihrem Netz erkennen. M
Infizierung von Druckern und Multifunktionsgeräten
Wiederholt wurden zu DFN-Einrichtungen gehörende
IP-Adressen, die aktiv an DDoS-Angriffen beteiligt
waren, an das DFN-CERT gemeldet. Nach Benachrichtigung
der Anwender wurden die Hinweise in einigen
Fällen zunächst als ‚false positives‘ eingestuft
und daher nicht weiter beachtet. Grund hierfür war
zumeist, dass es sich bei den gemeldeten IP-Adressen
um Drucker oder Multifunktionsgeräte und nicht
um Rechner handelte. Genauere Untersuchungen ergaben,
dass diese Geräte unbeabsichtigterweise aus
dem Internet direkt erreichbar waren, zum Beispiel
über (Web-)Konfigurationsschnittstellen oder über
das SNMP-Protokoll und über diesen Weg tatsächlich
mit Malware infiziert worden waren.
Bei öffentlich erreichbaren Konfigurationsschnittstellen
besteht eine hohe Einbruchsgefahr, da sie oftmals
in der Standardeinrichtung mit bekannten Benutzernamen
und Passwörtern belassen werden und zudem
häufig ausnutzbare Schwachstellen enthalten. Die
Geräte werden, da sie von außen erreichbar ins Netz
gestellt sind, von Suchmaschinen indiziert. Angreifer
können sie so über entsprechende Suchanfragen (sogenannte
Google-Dorks) einfach aufspüren. M
Kontakt
Wenn Sie Fragen oder Kommentare zum
Thema „Sicher heit im DFN“ haben, schicken
Sie bitte eine Mail an sicherheit@dfn.de.

RECHT | DFN Mitteilungen Ausgabe 85 |
43
Happy Birthday,
Forschungsstelle Recht im DFN!
Am 1. Juni 1998 wurde am Institut für Informations-, Telekommunikations- und Medienrecht
der Westfälischen Wilhelms-Universität Münster unter der Leitung von
Thomas Hoeren das Projekt „Unterstützung von Wissenschaft und Forschung in rechtlichen
Fragen bei der sicheren Nutzung des Deutschen Forschungsnetzes“ begonnen und
die in der Mitgliedschaft bekannte „Forschungsstelle Recht im DFN“ eingerichtet.
In diesem Jahr blickt die Forschungsstelle Recht im DFN damit auf eine inzwischen
15-jährige Tätigkeit für die DFN-Gemeinschaft zurück.
Foto: © teleginatania - Fotolia.com

44 | DFN Mitteilungen Ausgabe 85 | November 2013 | RECHT
Von Beginn an wurde mit dem Projekt das Ziel verfolgt, die Rechtssicherheit
im Umgang mit elektronischen Informations- und Kommunikationssystemen
zu verbessern. Kaum eine neue Technologie
in der jüngeren Geschichte hat derart viele Rechtsfragen
aufgeworfen wie die netzgestützte Datenkommunikation. Fast
täglich hört und liest man über die diversen Rechtsprobleme,
die das Internet mit seinen technischen Möglichkeiten aufwirft.
Dies ist keine neue Entwicklung. So wurde für den DFN-Verein
schon bald nach Einführung des Wissenschaftsnetzes B-WiN, das
von 1996 bis 1999 die Wissenschaft mit einem leistungsfähigen
Datennetz versorgte, offensichtlich, dass beim Betrieb eines Datennetzes
für die Wissenschaft an einen rechtsfreien Raum nicht
zu denken war. Rechtliche Fragestellungen wurden drängender
und nahmen neben den vielfältigen technischen Belangen einen
immer größeren Raum ein.
Nach nunmehr 15-jähriger Arbeit der Forschungsstelle ist der
Bedarf angesichts einer fast unüberschaubaren Vielzahl an Fragestellungen
aus verschiedenen Rechtsbereichen wie dem Telekommunikationsgesetz,
dem Datenschutzrecht, dem Urheberrecht
etc., die sich im Zusammenhang mit dem Wissenschaftsnetz
stellen, nach wie vor enorm. Seien es die Datenschutzproblematiken
in Social-Media-Zusammenhängen, Urheberrechtsfragen,
Persönlichkeitsrechte oder netzgestützte Manipulationen des
elektronischen Zahlungsverkehrs.
In der Forschungsstelle Recht beschäftigen sich junge Wissenschaftler
mit besonderen Fachkenntnissen im Bereich Medienrecht
mit diesen Fragestellungen und leisten in Begleitung des
technischen Betriebs des Wissenschaftsnetzes und der Rechenzentren
Arbeiten auf verschiedenen Ebenen: Seit vielen Jahren
veröffentlicht die Forschungsstelle Recht im DFN Artikel, Stellungnahmen
und Empfehlungen in den monatlich erscheinenden
DFN-Infobriefen Recht und auf den Webseiten des DFN-Vereins
und informiert so über aktuelle Urteile, virulente Problematiken
der Netznutzung bis hin zu Gesetzgebungsverfahren
im Bereich des Online- und Medienrechtes. Als jährlich erscheinende
Kompendien liegen die DFN-Infobriefe Recht im DFN seit
einigen Jahren auch in gedruckter Fassung vor.
den ausgewertet und künftige technische Möglichkeiten im Vorfeld
juristisch eingeordnet.
Zur Vertiefung aktueller Rechtfragen werden regelmäßig Rechtsseminare,
Rechtsforen, Workshops und individuelle Veranstaltungen
durchgeführt, in denen zu rechtlichen Fragen Stellung
genommen wird. Die Forschungsstelle Recht reagiert darüber
hinaus auf von den Mitgliedern an sie herangetragene Anfragen
zu Problemen im Zusammenhang mit der Nutzung des Wissenschaftsnetzes
und unterstützte den Ausschuss für Recht und Sicherheit
durch Gutachten und Empfehlungen.
Schließlich werden einzelne, für eine breite Leserschaft relevante
Texte der Forschungsstelle Recht im DFN seit vielen Jahren auch
in den DFN-Mitteilungen veröffentlicht. Damit soll das Wirken der
Forschungsstelle Recht einem breiten Leserkreis auch jenseits
des Mitgliederkreises des DFN-Vereins bekannt gemacht und für
die Arbeit der Forschungsstelle Recht im DFN geworben werden.
Der DFN-Verein möchte an dieser Stelle allen heutigen und früheren
Mitarbeitern der Forschungsstelle Recht im DFN und Herrn
Prof. Dr. Thomas Hoeren für die geleistete Arbeit danken. Nicht
versäumt werden sollte an dieser Stelle, auf die Publikationen
der Forschungsstelle in den Infobriefen und auf den Webseiten
des DFN-Vereins hinzuweisen. Sämtliche veröffentlichten Infobriefe,
Vorträge, Empfehlungen und Stellungnahmen finden sich
auf den Webseiten des DFN-Vereins unter
https://www.dfn.de/rechtimdfn/ (kh) M
Eine besondere Qualität hat die Arbeit der Forschungsstelle Recht
im DFN nicht zuletzt durch ihre breite juristische und technische
Kompetenz erlangt. So ist der Rat der Forschungsstelle heute sowohl
auf Seiten der Anwender wie auf Seiten des Gesetzgebers
gefragt. Hierzu werden von der Forschungsstelle Recht im DFN
Arbeiten auf verschiedenen Ebenen erbracht: Im Rahmen der
Rechtsfortbildung wird der Gesetzgeber bei der Evaluierung der
rechtlichen Rahmenbedingungen zum Recht der Nutzung elektronischer
Informations- und Kommunikationssysteme unterstützt
und die Auswirkungen von Gesetzesneuerungen für den
DFN und seine Mitglieder analysiert. Gesetzesneuerungen wer-

RECHT | DFN Mitteilungen Ausgabe 85 |
45
Ja? Nein? Jein! – Kein Ende der
Odyssee um den Personenbezug
von IP-Adressen
Landgericht Berlin verneint Personenbezug dynamischer
IP-Adressen und erlaubt Erstellung von Protokolldateien
Wer Inhalte im Internet anbietet und zu diesem Zweck eine Webseite betreibt, hat
aus technischer Sicht die Möglichkeit, zahlreiche Daten der Besucher der jeweiligen
Webseite abzuspeichern, die im Zusammenhang mit dem Zugriff auf das Informationsangebot
stehen. Inwiefern die Ausnutzung dieser Möglichkeiten allerdings auch
rechtlich zulässig ist, hängt primär davon ab, ob es sich bei den gespeicherten Daten
um personenbezogene Daten handelt, da solche dem Schutz des Datenschutzrechts
unterliegen. Die Frage des Personenbezuges ist insbesondere für dynamische IP-Adressen
stark umstritten. Das Landgericht (LG) Berlin hat sich mit Urteil vom 31.1.2013
(Az. 57 S 87/08) intensiv mit dieser Frage auseinandergesetzt und sie im Ergebnis verneint.
Dennoch bleibt unklar, ob dies zur Folge hat, dass IP-Adressen unbegrenzt von
Webseitenbetreibern protokolliert und gespeichert werden dürfen, zumal eine Auseinandersetzung
mit der Problematik der statischen IP-Adressen nicht stattgefunden hat.
Text: Florian Klein (Forschungsstelle Recht im DFN)
I. Hintergrund
Häufig legen Betreiber von Webseiten aus
verschiedenen Gründen Protokolldateien
an, in denen die Zugriffe auf ihre Webseite
festgehalten werden. Darin werden meist
nicht nur die IP-Adressen der Besucher gespeichert,
sondern beispielsweise auch der
Zeitpunkt des Abrufs, der Name der abgerufenen
Datei bzw. Seite, die übertragene
Datenmenge, etwaige in ein Suchfeld eingegebene
Begriffe oder die Meldung, ob
der Abruf erfolgreich war.
Wer im Internet eine Webseite betreibt
und dadurch Inhalte bereitstellt, ist Anbieter
eines Telemediendienstes im Sinne
des Telemediengesetzes (TMG) und daher
an dessen Datenschutzregelungen gebunden.
Dies gilt zwar nur dann, wenn der
jeweilige Betreiber auch dem räumlichen
Geltungsbereich des TMG unterfällt. Da
deutsche Hochschulen ihren Sitz jedoch im
Bundesgebiet haben und von dort aus ihre
Online-Informationsangebote betreiben,
ist diese Frage für sie nicht von Bedeutung.
Die spezifisch telemedienrechtlichen Datenschutzbestimmungen
(§§ 12ff. TMG) beginnen
zunächst mit einem Grundsatz, der
in ähnlicher Form aus dem allgemeinen
Datenschutzrecht bekannt ist. Sinngemäß
heißt es dort: Die Erhebung und Verwendung
von Daten zur Bereitstellung von Telemedien
ist nur zulässig, soweit entweder
das TMG selbst oder eine andere Rechtsvorschrift,
die sich ausdrücklich auf Telemedien
bezieht, dies erlauben oder aber soweit
eine Einwilligung des Nutzers vorliegt.

46 | DFN Mitteilungen Ausgabe 85 | November 2013 | RECHT
Die oben genannten Daten (IP-Adressen der
Besucher, Zeitpunkt des Abrufs, Name der
abgerufenen Datei bzw. Seite, die übertragene
Datenmenge, etwaige in ein Suchfeld
eingegebene Begriffe oder die Meldung,
ob der Abruf erfolgreich war), die bei einem
Zugriff auf eine Webseite protokolliert
werden können, gehören zu den sogenannten
Nutzungsdaten im Sinne des
§ 15 TMG, sofern sie einen Personenbezug
aufweisen. Denn Nutzungsdaten sind die
personenbezogenen Daten des Nutzers,
die während der Nutzung des Telemediendienstes
entstehen und erforderlich sind,
um die Inanspruchnahme von Telemedien
zu ermöglichen oder abzurechnen. Dies
sind insbesondere Merkmale zur Identifikation
des Nutzers, Angaben über Beginn,
Ende und Umfang der jeweiligen Nutzung
und Angaben über die vom Nutzer in Anspruch
genommenen Telemedien. Personenbezogen
sind diese Daten jedoch nur
dann, wenn sie Einzelangaben über persönliche
oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen
Person darstellen, § 3 Abs. 1 Bundesdatenschutzgesetz
(BDSG). Wenn ein solcher
Personenbezug bejaht werden kann,
unterfällt die Speicherung dieser Daten
den Restriktionen des § 15 TMG. Demzufolge
dürfen Nutzungsdaten zwar erhoben
und verwendet werden, sofern dies zur Ermöglichung
der Inanspruchnahme des Telemediendienstes
erforderlich ist. Ist der
Nutzungsvorgang jedoch beendet, ist eine
weitergehende Verwendung der Daten,
welche insbesondere die Speicherung einschließt,
nur noch zu Abrechnungszwecken
zulässig. Insbesondere ist – anders als im
Telekommunikationsrecht, das für Internet-Access-Provider
als Anbieter von Telekommunikationsdiensten
gilt – auch eine
Speicherung der Daten unzulässig, die dem
Zweck dient, Störungen oder Fehler zu erkennen,
einzugrenzen oder zu beseitigen.
Da Hochschulen die Inhalte auf ihren
Webseiten zumeist unentgeltlich anbieten,
ist eine Abrechnung mit dem Nutzer
nicht erforderlich. Dies bedeutet, dass die
Erstellung von Protokolldateien über die
Zugriffsdaten nur so weit zulässig ist, als
keine personenbezogenen Daten aufgenommen
werden.
II. Die Entscheidung des
LG Berlin
Unter welchen Umständen die Zugriffsdaten
und davon insbesondere die IP-Adressen
personenbezogene Daten darstellen,
ist vom LG Berlin ausführlich geprüft
worden.
Sachverhalt
Der Entscheidung des Gerichts lag der
Sachverhalt zugrunde, dass die Beklagte
zahlreiche öffentlich zugängliche Internetportale
betrieb, auf denen Informationen
von Bundesbehörden und sonstigen Bundesorganen
und Bundeseinrichtungen vorgehalten
wurden. Über die Nutzung dieser
Portale führte sie Protokoll und speicherte
darin die oben genannten Zugriffsdaten,
ohne diese nach Ende des Nutzungsvorgangs
zu löschen. Nach eigenen Angaben
sollte dies der Abwehr von Angriffen dienen,
eine Grundlage für die Strafverfolgbarkeit
von Angriffen durch die Identifizierbarkeit
des Angreifers schaffen und
eine Abschreckungswirkung erzeugen.
Kläger in dem Verfahren war ein Nutzer
dieser Internetportale, der einige Seiten
der Beklagten aufgerufen und dort teilweise
auch Suchwörter in Suchmasken eingegeben
hatte. Da seine Zugriffsdaten über
das Ende des jeweiligen Nutzungsvorgangs
gespeichert wurden, verlangte er vor Gericht
Unterlassung dieser Speicherung von
der Beklagten.
Urteil
Das LG Berlin gab dem Kläger teilweise
Recht und verurteilte die Betreiberin des
Internetportals in eingeschränktem Maße
zur Unterlassung der Speicherung. Die
Unterlassungspflicht bestehe nicht schon
dann, wenn nur die IP-Adresse des zugreifenden
Host-Systems, welche bei der Nutzung
der Webseiten übertragen wurde, in
Verbindung mit dem Zeitpunkt des jeweiligen
Nutzungsvorgangs über dessen Ende
hinaus gespeichert werde. Vielmehr müsse
hinzukommen, dass der Nutzer während
des Nutzungsvorgangs selbst seine Personalien,
auch in Form einer personalisierten
E-Mail-Adresse, angibt.
Aus dem genauen Tenor der Richter ergibt
sich zunächst, dass das LG Berlin den Personenbezug
einer dynamischen IP-Adresse
ablehnt, wenn der Zeitpunkt des Nutzungsvorgangs
nicht mit gespeichert wird.
Dies ist jedoch ohnehin unumstritten, da
der Inhaber einer dynamischen IP-Adresse
gerade wegen der dynamischen Vergabe
nur identifizierbar ist, wenn man den
konkreten Zeitpunkt der Nutzung kennt.
Im Übrigen nimmt das LG einen Personenbezug
jedoch nur dann an, wenn zusätzlich
zur IP-Adresse und dem Zeitpunkt
der Nutzung noch andere Daten gespeichert
werden, aus denen sich die Personalien
des Nutzers erschließen. Fehlt es
dagegen an solchen zusätzlichen Daten,
sollen dynamische IP-Adressen zusammen
mit dem Zeitpunkt der Verbindung
noch keine personenbezogenen Daten
sein. Zur Begründung setzt sich das Gericht
detailliert mit den Voraussetzungen
eines personenbezogenen Datums auseinander.
Ausgangspunkt ist die Definition in
§ 3 Abs. 1 BDSG, nach der dies Einzelangaben
über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren
natürlichen Person sind. Vom
Kriterium der Bestimmtheit ist auszugehen,
wenn sich die Daten direkt auf eine
bestimmte Person beziehen.
Das Kriterium der Bestimmbarkeit dagegen
sieht die zugrundeliegende europäische
Datenschutzrichtlinie (RL 95/46/EG)
als erfüllt an, wenn eine Person direkt oder
indirekt identifiziert werden kann. Nach
Erwägungsgrund 26 dieser Richtlinie sind
bei der Entscheidung über die Bestimmbarkeit
alle Mittel zu berücksichtigen, die vernünftigerweise
entweder von dem Verantwortlichen
für die Verarbeitung oder von
einem Dritten eingesetzt werden könnten,
um die betreffende Person zu bestimmen.

RECHT | DFN Mitteilungen Ausgabe 85 |
47
Foto: © - BJØRN -Photocase
Insofern stellt das Gericht fest, dass es allgemein
anerkannt sei, dass die IP-Adresse
jedenfalls in der Hand des Internetzugangsanbieters
ein personenbezogenes Datum
darstelle. Denn dieser verfüge zum einen
über die Vertragsdaten seiner Kunden und
zum anderen über die für den Internetzugriff
zugewiesenen IP-Adressen. Aus einer
Zusammenführung dieser Datenbestände
lasse sich dann ohne Weiteres die Identität
des Nutzers ermitteln. Klärungsbedürftig
sei hingegen, ob dies auch für Internetseitenbetreiber
gelte, was letztlich von
der Auslegung des Begriffs „bestimmbar“
abhänge. Deshalb erläutert das LG Berlin
im Folgenden die beiden hierzu vertretenen
Ansichten. Nach der ersten Ansicht
kann man ein absolutes Verständnis zugrunde
legen, demzufolge die Bestimmbarkeit
schon dann zu bejahen ist, wenn
irgendein Dritter wie z.B. der Zugangsanbieter
über das notwendige Zusatzwissen
zur Herstellung des Personenbezugs verfügt,
ohne dass es darauf ankommt, ob
und wie der Verarbeiter der Daten an dieses
Zusatzwissen gelangen kann. Nach der
herrschenden Meinung in Literatur und
Rechtsprechung ist dagegen auf ein relatives
Verständnis abzustellen, wonach das
Zusatzwissen der konkret verarbeitenden
Stelle bzw. ihre Möglichkeit, sich dieses zu
verschaffen, entscheidend ist.
Letzterer Auffassung schließt sich das LG
Berlin an. Das Gericht begründet seine Entscheidung
damit, dass es ansonsten zu einer
uferlosen und unpraktikablen Ausdehnung
des Datenschutzes komme. Eine bloß
theoretisch existente Bestimmbarkeit sei
gerade nicht einer tatsächlichen Bestimmbarkeit
gleichzusetzen und bedürfe auch
keines Schutzes durch das Datenschutzrecht.
Auf Basis dieser Erwägungen verlange
das Kriterium der Bestimmbarkeit,
dass die Bestimmung der Person technisch
und rechtlich möglich sein muss und darüber
hinaus nicht einen Aufwand erfordert,
der außer Verhältnis zum Nutzen der
Information für die verarbeitende Stelle
steht. Wann dies der Fall sei, müsse im Einzelfall
in einer Abwägung ermittelt werden.
Zu berücksichtigende Faktoren seien
dabei insbesondere die Hürden, die die
verarbeitende Stelle überwinden müsse,
bevor sie an die Zusatzinformationen herankomme,
die Missbrauchsszenarien, die
eine Rolle spielen könnten, das Schutzbedürfnis
des Klägers, das möglicherweise
auch ohne umfassenden Datenschutz befriedigt
werden könne, der gesellschaftliche
Anspruch auf Strafverfolgung im Spannungsfeld
mit dem Anspruch des Einzelnen
auf Anonymität im Internet und schließlich
die Größe der Gefahr, dass Ermittlungen
gegen unbeteiligte Anschlussinhaber
angestellt werden.
Nach dieser abstrakten Festlegung der Kriterien,
die zu einer Bejahung der Bestimmbarkeit
führen können, wird das Gericht
konkret. Ein Personenbezug dynamischer
IP-Adressen sei jedenfalls dann zu bejahen,

48 | DFN Mitteilungen Ausgabe 85 | November 2013 | RECHT
wenn der Nutzer bei Nutzung des Online-
Angebots seinen Klarnamen in irgendeiner
Weise offenlege, was auch durch die Angabe
einer entsprechenden E-Mail-Adresse
geschehen könne. In diesem Fall könnten
nämlich die erfolgten Eingaben mit der
IP-Adresse verknüpft und damit ein Personenbezug
hergestellt werden, woraufhin
auch das Surfverhalten auf dem eigenen
Portal nachvollzogen werden könnte. Eine
Einbeziehung des Zugangsanbieters ist
für die Identifizierung des Nutzers dann
nicht mehr erforderlich. Diese Erwägungen
gelten selbst dann, wenn IP-Adressen
und Formulareingaben in unterschiedlichen
Protokolldateien gespeichert würden,
da von einer leichten und direkten
Verknüpfungsmöglichkeit auszugehen sei.
Erst recht ist daher nach dem relativen Verständnis
von einem Personenbezug dynamischer
IP-Adressen auszugehen, wenn der
Nutzer sich als registrierter Nutzer auf der
Webseite bewegt und bei der Registrierung
seine persönlichen Daten angegeben hat.
Um eine solche Konstellation ging es in
diesem Sachverhalt zwar nicht, allerdings
ist dies letztlich nur eine intensivere Form
der Offenlegung von Klarnamen bei der
Nutzung des Online-Angebots.
Nachdem das Gericht diese Sondersituation
der zusätzlichen Offenlegung von
Klarnamen durch eine Formulareingabe
erörtert hat, widmet es sich der Frage des
Personenbezugs dynamischer IP-Adressen
als solcher, also ohne zusätzliche Daten
(mit Ausnahme des Zeitpunkts der Verbindung).
Die Tatsache, dass über die IP-Adresse
selbst mithilfe des Zugangsanbieters
nur der Anschlussinhaber, nicht aber der
konkrete Nutzer ermittelt werden könne,
schließe das Vorliegen eines personenbezogenen
Datums nicht von vornherein aus.
Denn auch die Anschluss inhaberschaft
stelle ein sachliches Verhältnis einer Person
dar, weil an diese Eigenschaft rechtliche
Folgen (insbesondere in Form der sog.
Störerhaftung, hierzu: Fischer, „Neue Verhaltensregeln
für den Gastgeber“, DFN-Infobrief
Recht 2/2012; Kuta: „Rapidshare vs.
Rechteinhaber – Ende einer unendlichen
Geschichte?“, DFN-Infobrief Recht 5/2012)
geknüpft sein könnten. Darüber hinaus sei
auch der Nutzerkreis eines bestimmten Anschlusses
normalerweise überschaubar.
Um ein personenbezogenes Datum anzunehmen,
fehle aber letztlich die Bestimmbarkeit
des Anschlussinhabers bzw. des
Nutzers. Auf legalem Wege sei es nämlich
nur in eng begrenzten gesetzlichen Ausnahmefällen
möglich, dass der Betreiber
der Webseite von dem Zugangsanbieter
des Nutzers oder über den Umweg der
Strafverfolgungsbehörden Auskunft über
die Identität des Nutzers erhalte. Somit seien
dynamische IP-Adressen mitsamt Verbindungszeitpunkt
grundsätzlich keine
personenbezogenen Daten, weshalb deren
Speicherung zulässig sei.
III. Konsequenzen für die
Hochschulpraxis
Obwohl das LG Berlin mit sehr ausführlicher
und gut nachvollziehbarer Begründung
den Personenbezug dynamischer
IP-Adressen verneint, bleibt unklar, ob
Webseitenbetreiber grundsätzlich IP-Adressen
und sonstige Daten zusammen mit
diesen speichern dürfen. Denn zum einen
hat das LG Berlin die Problematik der statischen
IP-Adressen völlig unerwähnt gelassen
und zum anderen handelt es sich
letztlich nur um ein weiteres instanzgerichtliches
Urteil. Da die Revision zum Bundesgerichtshof
aber bereits eingelegt wurde,
bleibt zu hoffen, dass dieser die Gelegenheit
nutzt, um ein Machtwort in dieser
umstrittenen Frage zu sprechen und
damit zu einem erhöhten Maß an Rechtssicherheit
beizutragen.
Für die Praxis kann man jedoch festhalten,
dass vorsichtshalber auf die umfassende
Speicherung der bei der Nutzung
der Webseite anfallenden Daten verzichtet
werden sollte. Dies gilt nicht nur, weil
es durchaus Gerichte gibt, die einen Personenbezug
dynamischer IP-Adressen annehmen,
was zur Konsequenz hat, dass eine
Speicherung über das Ende der Sitzung hinaus
ausschließlich für Abrechnungszwecke
zulässig ist.
Foto: © mhp - Fotolia
Von großem Gewicht ist vor allem die Tatsache,
dass zumindest für einige statische
IP-Adressen ein Personenbezug mit guten
Gründen bejaht werden kann. Da statische
IP-Adressen durchaus noch verwendet
werden, für den Betreiber einer Webseite
jedoch nicht erkennbar ist, ob eine

RECHT | DFN Mitteilungen Ausgabe 85 |
49
IP-Adresse statisch oder dynamisch vergeben
wurde, ist im Zweifel von der Speicherung
dieser Daten abzusehen, sofern
nicht ausnahmsweise Abrechnungszwecke
verfolgt werden.
Statische IP-Adressen werden Internetnutzern
dauerhaft zugewiesen und dienen
somit der langfristigen Identifikation
eines Nutzers. Die Vergabe der IP-Adressen
erfolgt in Europa über das Réseaux
IP Européens Network Coordination Centre
(RIPE NCC), welches eine Datenbank
betreibt, mittels derer man den Inhaber
einer bestimmten IP-Adresse, die im Vergabebereich
des RIPE NCC liegt, ermitteln
kann. In der Regel erfolgt die Vergabe der
IP-Adressen in größeren Adressblöcken an
Internetzugangsanbieter, Unternehmen,
Behörden oder auch Hochschulen, welche
die einzelnen Adressen dann entweder
statisch oder dynamisch an ihre Angehörigen/Mitarbeiter/Kunden
weitergeben.
In diesem Fall gibt eine Recherche in
der RIPE-Datenbank als Treffer nur den jeweiligen
unmittelbar registrierten Inhaber
des Adressblocks aus (z.B. die Universität
Münster für den Adressblock 128.176.0.0.
– 128.176.255.255). Welche natürliche Person
Inhaber einer bestimmten IP-Adresse
war, kann dann zwar von dem Provider ermittelt
werden, der die einzelne Adresse
vergeben hat. Die RIPE-Datenbank dagegen
kann dieses Wissen nicht vermitteln.
Vereinzelt sind beim RIPE NCC jedoch auch
natürliche Personen registriert, denen eine
bestimmte IP-Adresse fest zugewiesen
wird und die dementsprechend über die
Datenbankrecherche als Inhaber ausfindig
gemacht werden können. Schon angesichts
des erheblichen Registrierungsaufwandes
dürfte die unmittelbare Vergabe
von IP-Adressen an natürliche Personen
eher die Ausnahme als die Regel darstellen.
Dennoch führt schon die bloße Existenz
dieser Ausnahmen dazu, dass ein Betreiber
einer Webseite nicht ausschließen kann,
dass bei der Protokollierung der Zugriffsdaten
auch solche IP-Adressen gespeichert
werden, die vom RIPE NCC unmittelbar an
natürliche Personen vergeben wurden. Da
einer RIPE-Datenbankrecherche jedoch keine
großen Hindernisse entgegenstehen, ist
der Inhaber einer solchen IP-Adresse mit
mäßigem Aufwand bestimmbar, was die
Annahme eines Personenbezugs nahelegt.
Dies hat dann die oben dargelegte Konsequenz,
dass die Datenschutzvorschriften
des TMG anwendbar sind, die einer Speicherung
der Nutzungsdaten nach Ende des
Nutzungsvorgangs entgegenstehen. Eine
dennoch erfolgende Datenspeicherung
stellt eine Ordnungswidrigkeit gem. § 16
Abs. 2 Nr. 4 TMG dar, die mit einer Geldbuße
bis zu 50.000 € geahndet werden kann.
Darüber hinaus befinden sich Hochschulen
zumeist in der speziellen Konstellation,
dass sie nicht nur eigene Webseiten betreiben,
sondern zugleich für Mitarbeiter und
Studenten einen Internetzugang bereitstellen.
Werden die Informationsangebote
der Hochschule im Internet von diesen
Mitarbeitern oder Studenten über einen
Internetzugang der Hochschule genutzt,
fallen Access- und Content-Providing gewissermaßen
in eine Hand. Die Hochschule
als Internetzugangsanbieter kann selbst
bei Vergabe dynamischer IP-Adressen ohne
Schwierigkeiten ermitteln, welcher ihrer
Nutzer sich hinter einer bestimmten IP-
Adresse verbirgt, sodass insofern auf einer
Linie mit dem LG Berlin auch der relative
Personenbezug bejaht werden muss. Mit
diesem Wissen lässt sich dann leicht herausfinden,
wer die hochschuleigene Webseite
wann in welchem Umfang genutzt
hat. Vor diesem Hintergrund ist für zahlreiche
dynamisch vergebene IP-Adressen ein
(relativer) Personenbezug anzunehmen, sodass
die Speicherung durch die Hochschule
unzulässig ist. Es besteht also gegenüber
einfachen Betreibern von Webseiten,
die nicht zugleich Internetzugangsanbieter
sind, ein deutlich erhöhtes Risiko der
Begehung von Ordnungswidrigkeiten und
einer entsprechenden Ahndung.
Einen gangbaren Weg stellt allenfalls eine
Protokollierung dar, bei der die IP-Adressen
in anonymisierter Form gespeichert
werden, indem einige Stellen der Adresse
unkenntlich gemacht werden. Dies muss
aber in einem Maß erfolgen, das eine Identifizierung
gänzlich unmöglich macht. Im
Übrigen muss sichergestellt sein, dass die
Zugriffsdaten keine sonstigen Angaben
enthalten, die eine Bestimmung der Person
des Nutzers ermöglichen, wie dies beispielsweise
bei der Eingabe und Speicherung
personalisierter Mail-Adressen oder
Benutzernamen der Fall ist.
Insgesamt bleibt es also dabei, dass von
der Anlage von Protokolldateien im Zusammenhang
mit dem Betreiben einer Webseite
durch eine Hochschule Abstand genommen
werden sollte. Dies dürfte aufgrund
der erörterten Sondersituation der Hochschulen
selbst dann gelten, wenn der BGH
im Revisionsverfahren der Ansicht des LG
Berlin folgen würde und den Personenbezug
dynamischer IP-Adressen höchstrichterlich
ablehnte.
Für den Fall, dass auf Webseiten Dienste
angeboten werden, die nur nach Registrierung/Anmeldung
der Nutzer in Anspruch
genommen werden können und in deren
Rahmen die Identität des Nutzers offengelegt
wurde, ist ein Personenbezug der
dynamischen IP-Adressen spätestens ab
dem Zeitpunkt des Log-Ins zu bejahen. Will
der Betreiber der Webseite die Zugriffe der
registrierten Nutzer dennoch speichern,
sollte er im Rahmen der Registrierung eine
ausdrückliche Einwilligung des Nutzers
zu dieser Speicherung einholen. Nur dann
lässt sich das Bußgeldrisiko nämlich verlässlich
ausschließen. M

50 | DFN Mitteilungen Ausgabe 85 | November 2013 | RECHT DFN-VEREIN | DFN Mitteilungen Ausgabe 85 |
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins (Stand: 11/2013)
Laut Satzung fördert der DFN-Verein die Schaffung der Voraussetzungen
für die Errichtung, den Betrieb und die Nutzung
eines rechnergestützten Informations- und Kommunikationssystems
für die öffentlich geförderte und gemeinnützige Forschung
in der Bundesrepublik Deutschland. Der Satzungszweck
wird verwirklicht insbesondere durch Vergabe von Forschungsaufträgen
und Organisation von Dienstleistungen zur Nutzung
des Deutschen Forschungsnetzes.
Als Mitglieder werden juristische Personen aufgenommen, von
denen ein wesentlicher Beitrag zum Vereinszweck zu erwarten
ist oder die dem Bereich der institutionell oder sonst aus öffentlichen
Mitteln geförderten Forschung zuzurechnen sind. Sitz des
Vereins ist Berlin.
Die Organe des DFN-Vereins sind:
die Mitgliederversammlung
der Verwaltungsrat
der Vorstand
Mitgliederversammlung
Die Mitgliederversammlung ist u. a. zuständig für die Wahl der
Mitglieder des Verwaltungsrates, für die Genehmigung des Jahreswirtschaftsplanes,
für die Entlastung des Vorstandes und für
die Festlegung der Mitgliedsbeiträge. Derzeitiger Vorsitzender der
Mitgliederversammlung ist Prof. Dr. Gerhard Peter, HS Heilbronn.
Verwaltungsrat
Der Verwaltungsrat beschließt alle wesentlichen Aktivitäten des
Vereins, insbesondere die technisch-wissenschaftlichen Arbeiten,
und berät den Jahreswirtschaftsplan. Für die 10. Wahlperiode
sind Mitglieder des Verwaltungsrates:

DFN-VEREIN | DFN Mitteilungen Ausgabe 85 |
51
Prof. Dr. Hans-Joachim Bungartz (TU München)
Prof. Dr. Rainer W. Gerling (MPG München)
Prof. Dr. Ulrike Gutheil (TU Berlin)
Dir. u. Prof. Dr. Siegfried Hackel (PTB Braunschweig)
Dr.-Ing.habil. Carlos Härtel (GE Global Research)
Prof. Dr.-Ing. Ulrich Lang (Univ. zu Köln)
Prof. Dr. Joachim Mnich (DESY)
Prof. Dr. Wolfgang E. Nagel (TU Dresden)
Prof. Dr. Bernhard Neumair (KIT)
Dr.-Ing. Christa Radloff (Univ. Rostock)
Prof. Dr. Peter Schirmbacher (HU zu Berlin)
Dr. Wolfgang A. Slaby (Kath. Univ. Eichstätt-Ingolstadt)
Prof. Dr. Horst Stenzel (FH Köln)
Der Verwaltungsrat hat als ständige Gäste:
einen Vertreter der KMK: gegenwärtig Herrn Grothe, SMWK Sachsen
einen Vertreter der HRK: gegenwärtig Prof. Dr. Metzner, Präsident der
FH Köln einen Vertreter der Hochschulkanzler: gegenwärtig Herrn
Schöck, Kanzler der Universität Erlangen-Nürnberg den Vorsitzenden
des ZKI: gegenwärtig Prof. Dr. Lang, Universität zu Köln den Vorsitzenden
der Mitgliederversammlung: gegenwärtig Prof. Dr. Peter,
HS Heilbronn
Vorstand
Der Vorstand des DFN-Vereins im Sinne des Gesetzes wird aus
dem Vorsitzenden und den beiden stellvertretenden Vorsitzenden
des Verwaltungsrates gebildet. Derzeit sind dies:
Prof. Dr. Hans-Joachim Bungartz, Vorsitz
Prof. Dr. Ulrike Gutheil
Prof. Dr. Bernhard Neumair
Der Vorstand wird beraten von einem Technologie-Ausschuss (TA),
einem Betriebsausschuss (BA) und einem Ausschuss für Recht
und Sicherheit (ARuS), der zugleich auch als Jugendschutzbeauftragter
für das DFN fungiert.
Der Vorstand bedient sich zur Erledigung laufender Aufgaben einer
Geschäftsstelle mit Standorten in Berlin und Stuttgart. Sie
wird von einer Geschäftsführung geleitet. Als Geschäftsführer
wurden vom Vorstand Jochem Pattloch und Dr. Christian Grimm
bestellt.

52 | DFN Mitteilungen Ausgabe 85 | November 2013 | DFN-VEREIN DFN-VEREIN | DFN Mitteilungen Ausgabe 85 |
Aachen
Aalen
Albstadt
Amberg
Ansbach
Aschaffenburg
Augsburg
Bamberg
Bayreuth
Berlin
Biberach
Bielefeld
Bingen
Bochum
Bonn
Fachhochschule Aachen
Rheinisch-Westfälische Technische Hochschule Aachen (RWTH)
Hochschule Aalen
Hochschule Albstadt-Sigmaringen (FH)
Hochschule Amberg-Weiden für angewandte Wissenschaften
Hochschule für angewandte Wissenschaften, Fachhochschule Ansbach
Hochschule Aschaffenburg
Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg
Universität Augsburg
Otto-Friedrich-Universität Bamberg
Universität Bayreuth
Alice Salomon Hochschule Berlin
BBB Management GmbH
Beuth Hochschule für Technik Berlin – University of Applied Sciences
Bundesamt für Verbraucherschutz und Lebensmittelsicherheit
Bundesanstalt für Materialforschung und -prüfung
Bundesinstitut für Risikobewertung
Deutsche Telekom AG Laboratories
Deutsches Herzzentrum Berlin
Deutsches Institut für Normung e. V. (DIN)
Deutsches Institut für Wirtschaftsforschung (DIW)
Fachinformationszentrum Chemie GmbH (FIZ Chemie)
Forschungsverbund Berlin e. V.
Freie Universität Berlin (FUB)
Helmholtz-Zentrum Berlin für Materialien und Energie GmbH
Hochschule der populären Künste (hdpk)
Hochschule für Technik und Wirtschaft – University of Applied Sciences
Hochschule für Wirtschaft und Recht
Humboldt-Universität zu Berlin (HUB)
International Psychoanalytic University Berlin
IT-Dienstleistungszentrum
Konrad-Zuse-Zentrum für Informationstechnik (ZIB)
Robert Koch-Institut
Stanford University in Berlin
Stiftung Deutsches Historisches Museum
Stiftung Preußischer Kulturbesitz
Technische Universität Berlin (TUB)
T-Systems International GmbH
Umweltbundesamt
Universität der Künste Berlin
Wissenschaftskolleg zu Berlin
Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)
Hochschule Biberach
Fachhochschule Bielefeld
Universität Bielefeld
Fachhochschule Bingen
ELFI Gesellschaft für Forschungsdienstleistungen mbH
Evangelische Fachhochschule Rheinland-Westfalen-Lippe
Hochschule Bochum
Hochschule für Gesundheit
Ruhr-Universität Bochum
Technische Fachhochschule Georg Agricola für Rohstoff,
Energie und Umwelt zu Bochum
Bundesministerium des Innern
Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit
Deutsche Forschungsgemeinschaft (DFG)
Deutscher Akademischer Austauschdienst e. V. (DAAD)
Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)
GESIS – Leibniz-Institut für Sozialwissenschaften e. V.
Rheinische Friedrich-Wilhelms-Universität Bonn
Zentrum für Informationsverarbeitung und Informationstechnik
Borstel
FZB, Leibniz-Zentrum für Medizin und Biowissenschaften
Brandenburg Fachhochschule Brandenburg
Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen
GmbH
Helmholtz-Zentrum für Infektionsforschung GmbH
Hochschule für Bildende Künste Braunschweig
Johann-Heinrich von Thünen-Institut, Bundesforschungsinstitut
für Ländliche Räume, Wald und Fischerei
Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen
Physikalisch-Technische Bundesanstalt (PTB)
Technische Universität Carolo-Wilhelmina zu Braunschweig
Bremen
Hochschule Bremen
Hochschule für Künste Bremen
Jacobs University Bremen gGmbH
Universität Bremen
Bremerhaven Alfred-Wegener-Institut, Helmholtz-Zentrum für Polar- und
Meeresforschung (AWI)
Hochschule Bremerhaven
Stadtbildstelle Bremerhaven
Chemnitz Technische Universität Chemnitz
Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)
Technische Universität Clausthal-Zellerfeld
Coburg
Hochschule für angewandte Wissenschaften, Fachhochschule Coburg
Cottbus
Brandenburgische Technische Universität Cottbus-Senftenberg
Darmstadt European Space Agency (ESA)
Evangelische Hochschule Darmstadt
GSI Helmholtzzentrum für Schwerionenforschung GmbH
Hochschule Darmstadt
Merck KGaA
Technische Universität Darmstadt
T-Systems International GmbH
Deggendorf Hochschule für angewandte Wissenschaften,
Fachhochschule Deggendorf
Dortmund Fachhochschule Dortmund
Technische Universität Dortmund
Dresden Helmholtz-Zentrum Dresden-Rossendorf e. V.
Hannah-Arendt-Institut für Totalitarismusforschung e. V.
Hochschule für Bildende Künste Dresden
Hochschule für Technik und Wirtschaft
Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.
Leibniz-Institut für Polymerforschung Dresden e. V.
Sächsische Landesbibliothek – Staats- und Universitätsbibliothek
Technische Universität Dresden
Düsseldorf Fachhochschule Düsseldorf
Heinrich-Heine-Universität Düsseldorf
Information und Technik Nordrhein-Westfalen (IT.NRW)
Eichstätt
Katholische Universität Eichstätt-Ingolstadt
Emden
Hochschule Emden/Leer
Erfurt
Fachhochschule Erfurt
Universität Erfurt

DFN-VEREIN | DFN Mitteilungen Ausgabe 85 |
53
Erlangen
Friedrich-Alexander-Universität Erlangen-Nürnberg
Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V.
Universität Duisburg-Essen
Esslingen Hochschule Esslingen
Flensburg Fachhochschule Flensburg
Universität Flensburg
Frankfurt/M. Bundesamt für Kartographie und Geodäsie
Deutsche Nationalbibliothek
Deutsches Institut für Internationale Pädagogische Forschung
Fachhochschule Frankfurt am Main
Johann Wolfgang Goethe-Universität Frankfurt am Main
KPN EuroRings B.V.
Philosophisch-Theologische Hochschule St. Georgen e.V.
Senckenberg Gesellschaft für Naturforschung
Stonesoft Germany GmbH
Frankfurt/O. IHP GmbH – Institut für innovative Mikroelektronik
Stiftung Europa-Universität Viadrina
Freiberg
Technische Universität Bergakademie Freiberg
Freiburg
Albert-Ludwigs-Universität Freiburg
Friedrichshafen Zeppelin Universität gGmbH
Fulda
Hochschule Fulda
Furtwangen Hochschule Furtwangen – Informatik, Technik, Wirtschaft, Medien
Garching
European Southern Observatory (ESO)
Gesellschaft für Anlagen- und Reaktorsicherheit mbH
Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften
Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)
Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenforschung
GmbH
Gelsenkirchen Westfälische Hochschule
Gießen
Technische Hochschule Mittelhessen
Justus-Liebig-Universität Gießen
Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)
Verbundzentrale des Gemeinsamen Bibliotheksverbundes
Greifswald Ernst-Moritz-Arndt-Universität Greifswald
Friedrich-Loeffler-Institut, Bundesforschungsinstitut für Tiergesundheit
Hagen
Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft
FernUniversität in Hagen
Halle/Saale Institut für Wirtschaftsforschung Halle
Martin-Luther-Universität Halle-Wittenberg
Hamburg Bundesamt für Seeschifffahrt und Hydrographie
Datenlotsen Informationssysteme GmbH
Deutsches Elektronen-Synchrotron (DESY)
Deutsches Klimarechenzentrum GmbH (DKRZ)
DFN – CERT Services GmbH
HafenCity Universität Hamburg
Helmut-Schmidt-Universität, Universität der Bundeswehr
Hochschule für Angewandte Wissenschaften Hamburg
Hochschule für Bildende Künste Hamburg
Hochschule für Musik und Theater Hamburg
Technische Universität Hamburg-Harburg
Universität Hamburg
Hameln
Hochschule Weserbergland
Hamm
SRH Hochschule für Logistik und Wirtschaft Hamm
Hannover Bundesanstalt für Geowissenschaften und Rohstoffe
Hochschule Hannover
Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische
Landesbibliothek
Heide
Heidelberg
Heilbronn
Hildesheim
Gottfried Wilhelm Leibniz Universität Hannover
HIS Hochschul-Informations-System GmbH
Hochschule für Musik, Theater und Medien
Landesamt für Bergbau, Energie und Geologie
Medizinische Hochschule Hannover
Technische Informationsbibliothek und Universitätsbibliothek
Stiftung Tierärztliche Hochschule
Fachhochschule Westküste, Hochschule für Wirtschaft und Technik
Deutsches Krebsforschungszentrum (DKFZ)
European Molecular Biology Laboratory (EMBL)
Network Laboratories NEC Europe Ltd.
Ruprecht-Karls-Universität Heidelberg
Hochschule für Technik, Wirtschaft und Informatik Heilbronn
Hochschule für angewandte Wissenschaft und Kunst
Fachhochschule Hildesheim/Holzminden/Göttingen
Stiftung Universität Hildesheim
Hof
Hochschule für angewandte Wissenschaften Hof – FH
Ilmenau
Bundesanstalt für IT-Dienstleistungen im Geschäftsbereich des BMVBS
Technische Universität Ilmenau
Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen
Hochschule für angewandte Wissenschaften FH Ingolstadt
Jena
Ernst-Abbe-Fachhochschule Jena
Friedrich-Schiller-Universität Jena
Institut für Photonische Technologien e. V.
Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)
Jülich
Forschungszentrum Jülich GmbH
Kaiserslautern Fachhochschule Kaiserslautern
Technische Universität Kaiserslautern
Karlsruhe Bundesanstalt für Wasserbau
Fachinformationszentrum Karlsruhe (FIZ)
Karlsruher Institut für Technologie – Universität des Landes Baden-
Württemberg und nationales Forschungszentrum in der Helmholtz-
Gemeinschaft (KIT)
FZI Forschungszentrum Informatik
Hochschule Karlsruhe – Technik und Wirtschaft
Zentrum für Kunst und Medientechnologie
Kassel
Universität Kassel
Kempten
Hochschule für angewandte Wissenschaften, Fachhochschule Kempten
Kiel
Christian-Albrechts-Universität zu Kiel
Fachhochschule Kiel
Institut für Weltwirtschaft an der Universität Kiel
Helmholtz-Zentrum für Ozeanforschung Kiel (GEOMAR)
Koblenz
Hochschule Koblenz
Köln
Deutsche Sporthochschule Köln
Fachhochschule Köln
Hochschulbibliothekszentrum des Landes NRW
Katholische Hochschule Nordrhein-Westfalen
Kunsthochschule für Medien Köln
Rheinische Fachhochschule Köln gGmbH
Universität zu Köln
Konstanz Hochschule Konstanz Technik, Wirtschaft und Gestaltung (HTWG)
Universität Konstanz
Köthen
Hochschule Anhalt
Krefeld
Hochschule Niederrhein
Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.
Landshut Hochschule Landshut - Hochschule für angewandte Wissenschaften

54 | DFN Mitteilungen Ausgabe 85 | November 2013 | DFN-VEREIN
Leipzig
Deutsche Telekom, Hochschule für Telekommunikation Leipzig
Helmholtz-Zentrum für Umweltforschung – UFZ GmbH
Hochschule für Grafik und Buchkunst Leipzig
Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“
Hochschule für Technik, Wirtschaft und Kultur Leipzig
Leibniz-Institut für Troposphärenforschung e. V.
Mitteldeutscher Rundfunk
Universität Leipzig
Lemgo
Hochschule Ostwestfalen-Lippe
Lübeck
Fachhochschule Lübeck
Universität zu Lübeck
Ludwigsburg Evangelische Hochschule Ludwigsburg
Ludwigshafen Fachhochschule Ludwigshafen am Rhein
Lüneburg Leuphana Universität Lüneburg
Magdeburg Hochschule Magdeburg-Stendal (FH)
Leibniz-Institut für Neurobiologie Magdeburg
Mainz
Fachhochschule Mainz
Johannes Gutenberg-Universität Mainz
Universität Koblenz-Landau
Mannheim Hochschule Mannheim
TÜV SÜD Energietechnik GmbH Baden-Württemberg
Universität Mannheim
Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW)
Marbach a. N. Deutsches Literaturarchiv
Marburg
Philipps-Universität Marburg
Merseburg Hochschule Merseburg (FH)
Mittweida Hochschule Mittweida
Mülheim an der Hochschule Ruhr West
Ruhr
Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V.
München Bayerische Staatsbibliothek
Hochschule München (FH)
Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V.
Helmholtz Zentrum München Deutsches Forschungszentrum für
Gesundheit und Umwelt GmbH
ifo Institut – Leibniz-Institut für Wirtschaftsforschung e. V.
Ludwig-Maximilians-Universität München
Max-Planck-Gesellschaft
Technische Universität München
Universität der Bundeswehr München
Münster
Fachhochschule Münster
Westfälische Wilhelms-Universität Münster
Neubrandenburg
Hochschule Neubrandenburg
Neu-Ulm
Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm
Nordhausen Fachhochschule Nordhausen
Nürnberg Kommunikationsnetz Franken e. V.
Technische Hochschule Nürnberg Georg Simon Ohm
Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen
Nuthetal
Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke
Oberursel Dimension Data Germany AG & Co. KG
Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH
Offenbach/M. Deutscher Wetterdienst (DWD)
Offenburg Hochschule Offenburg, Fachhochschule
Oldenburg Carl von Ossietzky Universität Oldenburg
Landesbibliothek Oldenburg
Osnabrück Hochschule Osnabrück (FH)
Universität Osnabrück
Paderborn
Passau
Peine
Potsdam
Regensburg
Rosenheim
Rostock
Saarbrücken
Salzgitter
Sankt Augustin
Schmalkalden
Schwäbisch
Gmünd
Schwerin
Siegen
Speyer
Straelen
Stralsund
Stuttgart
Tautenburg
Trier
Tübingen
Ulm
Vechta
Wadern
Weidenbach
Weimar
Weingarten
Wernigerode
Weßling
Wiesbaden
Wildau
Wilhelmshaven
Fachhochschule der Wirtschaft Paderborn
Universität Paderborn
Universität Passau
Deutsche Gesellschaft zum Bau und Betrieb von Endlagern
für Abfallstoffe mbH
Fachhochschule Potsdam
Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ
Hochschule für Film und Fernsehen „Konrad Wolf“
Potsdam-Institut für Klimafolgenforschung (PIK)
Universität Potsdam
Ostbayerische Technische Hochschule Regensburg
Universität Regensburg
Hochschule für angewandte Wissenschaften – Fachhochschule
Rosenheim
Leibniz-Institut für Ostseeforschung Warnemünde
Universität Rostock
Universität des Saarlandes
Bundesamt für Strahlenschutz
Hochschule Bonn Rhein-Sieg
Fachhochschule Schmalkalden
Pädagogische Hochschule Schwäbisch Gmünd
Landesbibliothek Mecklenburg-Vorpommern
Universität Siegen
Deutsche Universität für Verwaltungswissenschaften Speyer
GasLINE Telekommunikationsnetzgesellschaft deutscher
Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft
Fachhochschule Stralsund
Cisco Systems GmbH
Duale Hochschule Baden-Württemberg
Hochschule der Medien Stuttgart
Hochschule für Technik Stuttgart
NextiraOne Deutschland GmbH
Universität Hohenheim
Universität Stuttgart
Thüringer Landessternwarte Tautenburg
Hochschule Trier
Universität Trier
Eberhard Karls Universität Tübingen
Leibniz-Institut für Wissensmedien
Hochschule Ulm
Universität Ulm
Universität Vechta
Private Fachhochschule für Wirtschaft und Technik
Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH (LZI)
Hochschule Weihenstephan
Bauhaus-Universität Weimar
Hochschule Ravensburg-Weingarten
Pädagogische Hochschule Weingarten
Hochschule Harz (FH)
T-Systems Solutions for Research GmbH
Hochschule RheinMain
Statistisches Bundesamt
Technische Hochschule Wildau (FH)
Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth

Wismar
Witten
Wolfenbüttel
Worms
Wuppertal
Würzburg
Zittau
Zwickau
Hochschule Wismar
Private Universität Witten/Herdecke gGmbH
Ostfalia Hochschule für angewandte Wissenschaften
Herzog August Bibliothek
Fachhochschule Worms
Bergische Universität Wuppertal
Hochschule für angewandte Wissenschaften – Fachhochschule
Würzburg-Schweinfurt
Julius-Maximilians-Universität Würzburg
Hochschule Zittau/Görlitz
Internationales Hochschulinstitut
Westsächsische Hochschule Zwickau