X-WiN Confidential - DFN-Verein
X-WiN Confidential - DFN-Verein
X-WiN Confidential - DFN-Verein
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Deutsches Forschungsnetz Mitteilungen Ausgabe 84 | Mai 2013<br />
www.dfn.de<br />
Mitteilungen<br />
X-<strong>WiN</strong> <strong>Confidential</strong><br />
Potenziale der neuen DWDM-Technik<br />
Audit<br />
<strong>DFN</strong>-PKI gemäß ETSI-<br />
Standard zertifiziert<br />
GÉANT<br />
Europäischer<br />
Forschungsbackbone<br />
schaltet um auf<br />
Terabit-Technologie
Impressum<br />
Herausgeber: <strong>Verein</strong> zur Förderung<br />
eines Deutschen Forschungsnetzes e. V.<br />
<strong>DFN</strong>-<strong>Verein</strong><br />
Alexanderplatz 1, 10178 Berlin<br />
Tel.: 030 - 88 42 99 - 0<br />
Fax: 030 - 88 42 99 - 70<br />
Mail: dfn-verein@dfn.de<br />
Web: www.dfn.de<br />
ISSN 0177-6894<br />
Redaktion: Kai Hoelzner (kh)<br />
Gestaltung: Labor3 | www.labor3.com<br />
Druck: Rüss, Potsdam<br />
© <strong>DFN</strong>-<strong>Verein</strong> 05/2013<br />
Fotonachweis:<br />
Titel © Ljupco Smokovski - Fotolia.com<br />
Seite 6/7 © 77SG - Fotolia.com<br />
Seite 30/31 © chris-m - Fotolia.com
Niels Hersoug and Matthew Scott,<br />
DANTE Joint General Managers<br />
The need for speed<br />
The creation and sharing of data is increasing exponentially, impacting research networks, high<br />
performance computing and grids – collectively known as e-infrastructures. Major projects involving<br />
global partners, such as CERN‘s Large Hadron Collider and the forthcoming Square Kilometer<br />
Array, generate enormous amounts of data that need to be distributed, analysed, stored<br />
and made accessible for research. This need for fast, stable transfer of data depends heavily on<br />
the high speed and dedicated bandwidth offered by research networks such as X-<strong>WiN</strong> or GÉANT.<br />
GÉANT (GN3plus) is the latest in a series of projects comprising the pan-European GÉANT network<br />
and associated services, and is a 2 year project co-funded by the European Union comprising 41<br />
partners including <strong>DFN</strong>. GÉANT’s overall objectives are to meet the communications needs of European<br />
and world-wide research communities in all fields. Such needs include both a transport facility<br />
for production data and also a network environment where experiments can be conducted.<br />
Addressing the exponential growth in data, DANTE – the organisation that on behalf of Europe’s<br />
NRENs has built and operates the network – is presently implementing a major upgrade to support<br />
capacity of up to 2 Terabits per second across its core network, due for completion in July 2013.<br />
In continually striving for networking excellence, GÉANT relies heavily on strong relationships<br />
with its NREN partners, together delivering the robust data communications infrastructure that<br />
serves the international research community. <strong>DFN</strong> has long been an essential and highly valued<br />
partner in providing powerful national and global research and education connectivity.<br />
Within GN3plus, the project is introducing a new production Service Activity: „Testbeds as a Service
4 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013<br />
1<br />
2<br />
3<br />
4<br />
5<br />
6<br />
7<br />
8<br />
9<br />
10<br />
11<br />
12<br />
Unsere Autoren dieser Ausgabe im Überblick<br />
1 Kai Hoelzner, <strong>DFN</strong>-<strong>Verein</strong> (hoelzner@dfn.de); 2 Kai Ramsch,<br />
Regionales Rechenzentrum Erlangen (RRZE) (kramsch@dfn.de); 3 Birgit Kraft,<br />
Regionales Rechenzentrum Erlangen (RRZE) (birgit.kraft@fau.de); 4 Yitzhak Aizner,<br />
ECI Telecom Ltd. (Yitzhak.Aizner@ecitele.com); 5 Sharon Rozov, ECI Telecom Ltd.<br />
(Sharon.rozov@ecitele.com); 6 Amitay Melamed, ECI Telecom Ltd. (amitay.melamed@<br />
ecitele.com); 7 Irene 13 Weithofer, Fachhochschule 14<br />
Köln (irene.weithofer@fh-koeln.de);<br />
15<br />
8 Henning Mohren, Fachhochschule Düsseldorf (henning.mohren@fh-duesseldorf.de);<br />
9 Jürgen Brauckmann, <strong>DFN</strong>-CERT Services GmbH (brauckmann@dfn-cert.de),<br />
10 Dr. Ralf Gröper, <strong>DFN</strong>-<strong>Verein</strong> (groeper@dfn.de); 11 Julian Fischer, Forschungsstelle<br />
Recht im <strong>DFN</strong> (recht@dfn.de); 12 Susanne Thinius, Forschungsstelle Recht im <strong>DFN</strong><br />
(recht@dfn.de)
<strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
5<br />
Inhalt<br />
Wissenschaftsnetz<br />
X-<strong>WiN</strong> <strong>Confidential</strong><br />
Potenziale der neuen DWDM-Technik im<br />
Wissenschaftsnetz<br />
von Kai Hoelzner, Birgit Kraft, Kai Ramsch ............................ 8<br />
Looking at the future. Today.<br />
von Yitzhak Aizner, Amitay Melamed, Sharon Rozov ...... 11<br />
Kurzmeldungen .............................................................................. 16<br />
International<br />
GÉANT schaltet um auf Terabit-Technologie<br />
von Kai Hoelzner ............................................................................ 18<br />
ORIENTplus:<br />
Boosting EU-China Collaboration<br />
Ein Gespräch mit Kai Nan, Jiangping Wu,<br />
David West und Christian Grimm ............................................ 21<br />
Global R&E Network CEO Forum<br />
take next steps in Asia’s Global<br />
City of Hong Kong ......................................................................... 23<br />
Kurzmeldungen .............................................................................. 25<br />
Campus<br />
Gemeinsam sicher – Nordrhein-Westfalens<br />
Hochschulen setzen auf gemeinsames<br />
Informationssicherheitsmanagement<br />
von Irene Weithofer, Henning Mohren.................................. 26<br />
Sicherheit<br />
Audit der <strong>DFN</strong>-PKI<br />
von Jürgen Brauckmann, Dr. Ralf Gröper .............................. 32<br />
Sicherheit aktuell<br />
von Heike Ausserfeld, Dr. Ralf Gröper .................................... 39<br />
Recht<br />
Wissenschaftsparagraph geht in die<br />
Verlängerung – Dritter Anlauf für § 52a<br />
Urheberrechtsgesetz<br />
von Susanne Thinius .................................................................... 40<br />
Das Ende für den Newsletter!?<br />
Oberlandesgericht München: E-Mail-Versand<br />
mit der Bitte um Bestätigung der Anmeldung<br />
stellt belästigende Reklame dar<br />
von Julian Fischer .......................................................................... 42<br />
Wer sich auf Facebook präsentiert, muss<br />
viel preisgeben<br />
Zur Impressumspflicht für öffentliche<br />
Facebook-Fanseiten<br />
von Susanne Thinius .................................................................... 47<br />
<strong>DFN</strong>-<strong>Verein</strong><br />
Übersicht über die Mitgliedseinrichtungen<br />
und Organe des <strong>DFN</strong>-<strong>Verein</strong>s .................................................... 50
6 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
7<br />
Wissenschaftsnetz<br />
X-<strong>WiN</strong> <strong>Confidential</strong><br />
Potenziale der neuen DWDM-Technik im<br />
Wissenschaftsnetz<br />
von Kai Hoelzner, Birgit Kraft, Kai Ramsch<br />
Looking at the future. Today.<br />
von Yitzhak Aizner, Amitay Melamed,<br />
Sharon Rozov<br />
Kurzmeldungen
8 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ<br />
X-<strong>WiN</strong> <strong>Confidential</strong><br />
Potenziale der neuen DWDM-Technik im Wissenschaftsnetz<br />
Mit der Migration des X-<strong>WiN</strong> auf eine neue, auf Wellenlängen-Multiplexern des Netzwerkausrüsters<br />
ECI Telecom basierenden Infrastruktur, ergeben sich neue Perspektiven für Nutzung und Betrieb des<br />
Wissenschaftsnetzes. Neben dem Upgrade des Super-Core auf 100-Gigabit/s-Technik und der Möglichkeit,<br />
native 100-Gigabit-Anschlüsse in der obersten Kategorie des <strong>DFN</strong>-Internetdienstes zu nutzen,<br />
sind es vor allem die Potenziale zur Optimierung von Betriebsprozessen, die das neue Netz für<br />
Anwender wie Betreiber interessant machen.<br />
Text: Kai Hoelzner (<strong>DFN</strong>-<strong>Verein</strong>), Birgit Kraft (RRZE),<br />
Kai Ramsch (RRZE)<br />
Mehr Netzintelligenz auf optischer<br />
Ebene<br />
Am 20. Dezember 2012 wurde die letzte<br />
Kernnetz-Strecke des X-<strong>WiN</strong> mit neuer<br />
DWDM-Technik des israelischen Netzwerkausrüsters<br />
ECI Telecom in Betrieb<br />
genommen. Sieben Monate waren seit<br />
dem Zuschlag an ECI vergangen und hinter<br />
den Aufbauteams lag ein halbes Jahr<br />
intensiver Arbeit an den 111 Standorten im<br />
X-<strong>WiN</strong>. Inzwischen befindet sich die neue<br />
DWDM-Plattform des Wissenschaftsnetzes<br />
seit fünf Monaten im Produktionsbetrieb<br />
und die Erfahrungen mit der noch<br />
jungen optischen Plattform des Wissenschaftsnetzes<br />
sind mehr als positiv.<br />
Nicht nur technologisch, sondern auch für<br />
die Organisation und das Netzmanagement<br />
war die Migration ein echter Paradigmenwechsel.<br />
Zwar betreibt der <strong>DFN</strong>-<br />
<strong>Verein</strong> bereits seit vielen Jahren die IP-Ebene<br />
des Wissenschaftsnetzes, doch war der<br />
Zugriff auf die optische Ebene bislang nur<br />
eingeschränkt möglich. Mit dem Wechsel<br />
auf ECI-Technik besteht erstmals voller Zugriff<br />
auch auf die unterste Schicht des Netzes.<br />
Gegenüber den klassischen Wellenlängen-Multiplexern,<br />
die die Transport-Arbeit<br />
auf den Glasfaser-Netzen des vergangenen<br />
Jahrzehnts erledigt haben, ermöglichen<br />
Geräte wie die im X-<strong>WiN</strong> eingesetzten<br />
Apollo-Multiplexer von ECI nicht nur eine<br />
Vervielfachung der Kapazitäten, sondern<br />
verlagern auch ein Stück weit Netzintelligenz<br />
auf die optische Ebene.<br />
Die neue optische Technik ermöglicht es,<br />
das Netzwerk komfortabler zu betreiben<br />
und Funktionalitäten der IP-Plattform optisch<br />
zu ersetzen bzw. zu ergänzen. Das<br />
optische Transportnetz (OTN, engl.: optical<br />
transport network) ist eine von der ITU<br />
im Standard G.709/G.872 vereinheitlichte<br />
DWDM-Multiplexer – „klassisch“<br />
DWDM-Multiplexer – „modern“<br />
Add/Drop<br />
North<br />
T<br />
/R<br />
T<br />
/R<br />
DWDM-<br />
Knoten<br />
DWDM-<br />
Knoten<br />
Add/Drop<br />
West<br />
T<br />
/<br />
R<br />
T<br />
/<br />
R<br />
X<br />
T<br />
/<br />
R<br />
T<br />
/<br />
R<br />
Add/Drop<br />
East<br />
T<br />
/<br />
R<br />
T<br />
/<br />
R<br />
T<br />
/<br />
R<br />
T<br />
/<br />
R<br />
Add/Drop<br />
colored: für jede „Farbe“ ein spezifischer Port je Add/Drop-Block<br />
directed: genau eine Ausgangsrichtung erreichbar je Add/Drop-Block<br />
colorless: jede „Farbe“ an jedem Add/Drop-Port<br />
directionless: jede Ausgangsrichtung erreichbar für jeden Add/Drop-Port
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
9<br />
Technologie für Netzwerke, mit denen mittels<br />
eines Transportdienstes optisch Daten<br />
übertragen werden. Dabei definiert das<br />
OTN optische und elektrische Schichten,<br />
in denen die zu übertragenden Daten eingepackt<br />
werden, um von der technischen<br />
Realisierung abstrahieren zu können. Die<br />
drei rein optischen Schichten Optical Transmission<br />
Section (OTS), Optical Multiplex<br />
Section (OMS) und Optical Channel Layer<br />
(OCh) werden vereinfacht zum Optical<br />
Channel Layer (OCh) zusammengefasst und<br />
gewährleisten den optischen Transport.<br />
ENS<br />
DUI<br />
FZJ<br />
AAC<br />
BON<br />
EWE<br />
AWI<br />
KIE<br />
DKR<br />
DES<br />
HAM<br />
BRE<br />
HAN<br />
MUE<br />
BIE<br />
PAD<br />
BRA<br />
BOC<br />
GOE<br />
DOR<br />
WUP<br />
KAS<br />
MAR<br />
BIR<br />
GIE<br />
FRA<br />
ILM<br />
GSI<br />
WUE<br />
ROS<br />
LEI<br />
JEN<br />
PEP<br />
POT<br />
ZIB<br />
MAG<br />
BAY<br />
CHE<br />
GRE<br />
FFO<br />
SLU<br />
TUB<br />
ZEU<br />
HUB<br />
ADH<br />
DRE<br />
Grundvoraussetzung ist dabei die Verschaltung<br />
von optischen Leitern, so dass<br />
an den Netzwerkknoten die Daten verschiedener<br />
Kommunikationsverbindungen<br />
aus der Glasfaser entnommen (Add/<br />
Drop) bzw. zur nächsten optischen Komponente<br />
weitergeleitet werden. Der Einsatz<br />
von rekonfigurierbaren Add-Drop-Multiplexern<br />
(ROADM – Reconfigurable Optical<br />
Add-Drop Multiplexer) verbessert dabei<br />
die Neu- und Umschaltung von Verbindungen<br />
und gleichzeitig auch die Verfügbarkeit<br />
bei Glasfaserwartungen und nicht geplanten<br />
Unterbrechungen.<br />
Diese neue Generation von Add-Drop-Multiplexern<br />
bietet im Gegensatz zur alten Technologie<br />
die Möglichkeit, Wellenlängen „colorless“<br />
und „directionless“ ein- und auszukoppeln.<br />
„Colorless“ bezeichnet die Eigenschaft,<br />
verschiedene Wellenlängen im<br />
Gegensatz zu einem festen Port beliebigen<br />
Ports zuzuordnen, „directionless“ bedeutet,<br />
dass jeder Add/Drop-Port mit allen<br />
möglichen Richtungen durch den Multiplexer<br />
verbunden werden kann. Somit ist an<br />
jedem Add/Drop-Port jede Farbe und jede<br />
Ausgangsrichtung möglich und dies kann<br />
im laufenden Betrieb „aus der Ferne“ konfiguriert<br />
werden (siehe Abb. 1).<br />
In Kombination mit umfangreichen remote-Funktionalitäten<br />
ermöglicht die DWDM-<br />
Technik eine flexible Wegeführung von Verbindungen<br />
und ein intelligentes Ausnutzen<br />
von Netzkapazitäten ohne technologische<br />
Beschränkungen. Lange Vorlaufzeiten bei<br />
SAA<br />
STB<br />
KAI<br />
KIT<br />
KEH<br />
BAS<br />
HEI<br />
STU<br />
der Schaltung neuer Wellenlängen oder<br />
Konfigurationsarbeiten am Netz gehören<br />
seit der Migration des X-<strong>WiN</strong> der Vergangenheit<br />
an. Nicht zuletzt bringt die Verfügungsgewalt<br />
über die DWDM-Technik auf<br />
lange Sicht auch erhebliche Kostenvorteile.<br />
Wo früher ganze Wellenlängen inklusive<br />
Service durch den Betreiber geleast<br />
werden mussten, wird künftig remote eine<br />
Wellenlänge zugeschaltet.<br />
Datenströme gebündelt und<br />
verpackt<br />
Der wohl größte Unterschied zur bislang<br />
eingesetzten DWDM-Technologie besteht<br />
in der Möglichkeit, niedrigratige<br />
Datenströme auf den Kernstrecken des<br />
X-<strong>WiN</strong> gebündelt zu übertragen. Bei diesem<br />
Sammeltransport können bis zu zehn<br />
1-Gigabit/s-Ströme zu einem 10-Gigabit/s-<br />
Strom aggregiert werden, anstatt wie bisher<br />
10 Wellenlängen zu belegen. Auf einer<br />
100-Gigabit/s-Verbindung können dementsprechend<br />
eine Vielzahl von 1- und<br />
10-Gigabit/s-Verbindungen zusammengefasst<br />
werden. Die technische Basis dieses<br />
Verfahrens ist ein OTN-Backbone, der an 14<br />
zentralen Kernnetzknoten mit 2-3 OTU2-<br />
Verbindungen zu je 10 Gbit/s pro Kante aufgespannt<br />
ist (siehe Abb. 2). Oberhalb der<br />
ERL<br />
ESF<br />
GAR<br />
FHM<br />
REG<br />
Das Kernnetz des X-<strong>WiN</strong><br />
mit „ODU Cross Connect<br />
Backbone“, der sich über 14<br />
Kernnetzknoten erstreckt.<br />
‚klassischen‘ optischen Schicht des Netzes,<br />
dem „Optical Channel Layer“, befinden sich<br />
im heutigen X-<strong>WiN</strong> drei „digitale Schichten“,<br />
nämlich die „Optical Channel Transport<br />
Unit“ (OTU), die „Optical Channel Data<br />
Unit“ (ODU) und „Optical Channel Payload<br />
Unit“ (OPU), welche elektrisch verarbeitet<br />
werden. Nutzdaten werden als OPU<br />
Payload in ODU Frames verpackt und bilden<br />
so die logische Dateneinheit, die zwischen<br />
den Eingangsports zweier Standorte<br />
transportiert werden soll. In Form von<br />
OTU Frames werden sie dann an den Optical<br />
Channel Layer zum Transport übergeben.<br />
In den ODUs und OTUs ist definiert, mit<br />
welcher Datenrate bzw. Bandbreite Daten<br />
übertragen werden können. Die neue Hardware<br />
ist in der Lage, verschiedene ODUs<br />
zu kombinieren und in eine OTU zu „verpacken“<br />
(ODU Cross Connect). Damit können<br />
die Daten von Ports unterschiedlicher<br />
Bandbreiten kostengünstig in eine Wellenlänge<br />
integriert werden.<br />
Der Einsatz von Switching-Fabric-Komponenten<br />
ermöglicht es außerdem, Verbindungen<br />
zwischen optischen und elektrischen<br />
Komponenten sowie den Ports der<br />
Anwender bzw. angeschlossenen Router<br />
dynamisch und ohne physische Veränderungen<br />
an der Technik zu schalten. Dadurch
10 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ<br />
können beispielsweise VPNs (Virtual Private<br />
Networks) direkt auf dem optischen<br />
Medium ohne Beteiligung von IP-Geräten<br />
eingerichtet werden. Weitere Einsatzmöglichkeiten<br />
dieser Technik sind MPLS (Multiprotocol<br />
Label Switching) zur schnellen Datenübermittlung<br />
auf OSI-Layer 2 und Bandwidth<br />
on Demand zur Provisionierung von<br />
Bandbreiten für zeitlich begrenzte Anforderungen.<br />
Anpassung der Netz-Topologie<br />
Die Migration auf neue optische Übertragungstechnik<br />
machte ein Re-Design der<br />
IP-Plattform des X-<strong>WiN</strong> sinnvoll. Bereit gegen<br />
Ende der Migration im vergangenen<br />
Jahr wurden neue Faserverbindungen in<br />
das Netz integriert, die im Norden von Rostock<br />
über Greifswald nach Frankfurt/Oder<br />
sowie im Westen von Bonn nach Saarbrücken<br />
führen.<br />
Die wohl wichtigste Neuerung im X-<strong>WiN</strong><br />
aber betrifft den Super-Core des X-<strong>WiN</strong> selber.<br />
Derzeit sind die Mitarbeiter der Geschäftsstellen<br />
des <strong>DFN</strong>-<strong>Verein</strong>s gemeinsam<br />
mit den Kollegen von ECI damit befasst,<br />
den inneren Backbone des X-<strong>WiN</strong> zwischen<br />
Frankfurt/Main, Hannover, Berlin und Erlangen<br />
von bisher 20-Gigabit/s-Technik auf<br />
100 Gigabit/s aufzurüsten.<br />
Monitoring, Rekonfiguration und<br />
Wartung<br />
Die aktuelle Multiplexer-Generation des<br />
X-<strong>WiN</strong> bringt nicht nur eine Verlagerung<br />
von Intelligenz auf die Transport-Ebene<br />
des Netzes mit sich, sondern auch einen<br />
viel direkteren Zugriff auf die Technologie<br />
durch die Mitarbeiter. Dies wird wiederum<br />
durch ein spezifisches Potenzial der Komponenten<br />
zur Remote-Steuerung ermöglicht,<br />
mit denen das Netzmanagement wesentlich<br />
vereinfacht wird.<br />
Multiplexer der Apollo-Serie sind mit der Fähigkeit<br />
ausgestattet, Leitungs- bzw. Dämpfungseigenschaften<br />
einer Glasfaser automatisch<br />
zu erkennen und das abgegebene<br />
Signal auf die jeweils angesprochene Faser<br />
zu justieren. Wird eine neue Faser in<br />
das Netz integriert oder eine bereits vorhandene<br />
nach einem Leitungsbruch repariert,<br />
mussten bislang Mitarbeiter ausrücken,<br />
die die Eigenschaften der Fasern vor<br />
Ort mit speziellen Messgeräten ermitteln<br />
und die Multiplexer per Hand auf die Eigenschaften<br />
der jeweiligen Faser abstimmen.<br />
Dieser Prozess erfolgt heute remote<br />
und ist in hohem Maße nutzerfreundlich.<br />
Dieses Feature erlaubt dem <strong>DFN</strong>-<strong>Verein</strong>,<br />
die Verantwortlichkeit für Wartung und<br />
Management des Netzes weitgehend in<br />
die eigene Hand zu nehmen.<br />
Zur laufenden Überwachung des Netz-Status<br />
kommuniziert die DWDM-Plattform des<br />
X-<strong>WiN</strong> Fehlerzustände über das Simple Network<br />
Management Protocol (SNMP). Die<br />
Glasfaserstrecken selbst werden dabei<br />
durch eine spezielle Wellenlänge – den Optical-Supervising-Channel<br />
– überwacht, der<br />
auf einem Interface an den Kernnetzstandorten<br />
endet, von wo aus die Mess-Daten<br />
auf zwei Service-Rechner im Netz gesendet<br />
werden. Von hier aus werden sämtliche<br />
Netzparameter laufend an die Netzüberwachung<br />
kommuniziert, die wie in der<br />
Vergangenheit durch einen spezialisierten<br />
Dienstleister durchgeführt wird, der sich in<br />
X-<strong>WiN</strong> 2013: 8.800 Gbit/s<br />
X-<strong>WiN</strong> 2006: 400 Gbit/s<br />
G-<strong>WiN</strong>: 10 Gbit/s<br />
B-<strong>WiN</strong>: 622 Mbit/s<br />
der Zusammenarbeit mit dem <strong>DFN</strong>-<strong>Verein</strong><br />
bestens bewährt hat. Mit dem entscheidenden<br />
Unterschied allerdings, dass auch<br />
bei der Überwachung eine volle Transparenz<br />
für den <strong>DFN</strong>-<strong>Verein</strong> als Auftraggeber<br />
gegeben ist.<br />
Und die Anwender?<br />
Wer einen X-<strong>WiN</strong>-Anschluss sein Eigen<br />
nennt, hat die Auswirkungen der Migration<br />
auf die neue optische Plattform bereits<br />
in positiver Weise zu spüren bekommen.<br />
Trotz der erheblichen Investitionen<br />
des <strong>DFN</strong>-<strong>Verein</strong>s bei der Anschaffung der<br />
DWDM-Technik ist es bereits ein halbes<br />
Jahr nach Abschluss der Migration möglich,<br />
die Leistung sowohl für die VPN-Strecken<br />
im X-<strong>WiN</strong> als auch für die Anwenderanschlüsse<br />
beim Dienst <strong>DFN</strong>Internet bei<br />
unverändertem Entgelt zu steigern. Zum 1.<br />
Juli 2013, kurz nach Erscheinen dieses Heftes<br />
also, werden erhebliche Leistungssteigerungen<br />
für die gängigen Nutzungsformen<br />
der Anwender realisiert. Augenfällig<br />
ist dabei, dass die oberste Anschluss-Kategorie<br />
des Dienstes <strong>DFN</strong>Internet bereits in<br />
der 100-Gigabit-Klasse angesiedelt ist. Wer<br />
bislang einen 40 Gigabit/s-Anschluss sein<br />
Eigen nannte, spielt künftig bandbreitenmäßig<br />
auf Augenhöhe z.B. mit dem CERN,<br />
das vor kurzem den ersten 100-Gigabit-Anschluss<br />
an das GÉANT realisiert hat. (Siehe:<br />
Internationale Kurzmeldungen) M<br />
Dabei fällt zunächst einmal die Fähigkeit<br />
ins Auge, sich selbstständig auf die jeweiligen<br />
Parameter der von den Multiplexern<br />
angesprochenen Glasfasern zu tunen. Die<br />
Abb. 4: Übertragungskapazität der Kernnetzverbindungen des Wissenschaftsnetzes
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
11<br />
Looking at the future.<br />
Today.<br />
In the past few years, we have seen the rapid growth of digital content. The amount of<br />
stored information increases at a rate of 40 % – 60 % annually, and we expect this rate to<br />
continue unabated. As human beings and as a society, we depend on this information<br />
and digital content, which became the fabric of the global economy, national economies,<br />
governments, industrial and commercial interests, and private lives.<br />
By: Yitzhak Aizner, Amitay Melamed, Sharon Rozov (ECI Telecom Ltd.)<br />
Foto: © Pgiam - iStockphoto
12 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ<br />
As a direct consequence, we are looking<br />
at increased investments in storage units,<br />
data centers and cloud technologies, with<br />
no signs of declining in the foreseeable future.<br />
In fact, according to Gartner Research,<br />
data center expansion is expected to increase<br />
from roughly $90B in 2011 to over<br />
$150B in 2016, including servers, storage<br />
& networking.<br />
We are also witnessing the rapid growth<br />
of cloud service offerings from companies<br />
such as Amazon, Google, Yahoo, Facebook,<br />
Apple, Microsoft, and IBM. These providers<br />
use several geographically distributed data<br />
centers to improve end-to-end performance,<br />
as well as to offer high availability<br />
in case of failures. As such, cloud services<br />
and cloud-based data centers are increasingly<br />
and dramatically changing the<br />
data stream behavior over our networks.<br />
If, once, data and content were relatively<br />
static in terms of storage as enterprises,<br />
organizations and institutions kept their<br />
information locally, they now travel among<br />
data centers for increased reliability and<br />
performance, for the following reasons:<br />
1. Data Center Capacity Expansion<br />
and/or Consolidation<br />
Applications need to be migrated<br />
from one data center to another as<br />
part of data center maintenance or<br />
consolidation, without any downtime.<br />
Conversely, virtual machines<br />
have to be migrated to a secondary<br />
data center as part of expansions to<br />
address power, cooling, and space<br />
constraints in the primary one.<br />
2. Virtualized Server Resource Distribution<br />
over Distances<br />
Virtual machines need to be migrated<br />
between different data center<br />
sites to provide computing power<br />
from a data center closer to the client<br />
(“follow the sun”), or to load-balance<br />
across multiple sites.<br />
3. Disaster Planning Strategies (including<br />
Disaster Avoidance)<br />
Mission-critical application environments,<br />
including their associated data-bases<br />
and virtual machines, must<br />
be proactively migrated from a data<br />
center in the path of natural calamities,<br />
such as hurricanes, to an<br />
alternate location. Disaster planning<br />
strategies and content replications<br />
are often required by regulators in<br />
many countries.<br />
The cloud phenomenon, particularly interdata-center<br />
replication and redundancy,<br />
causes exponentially raised demands for<br />
bandwidth and imposes high-bandwidth<br />
requirements on the wide area network<br />
(WAN).<br />
Leading content service providers are seeing<br />
data center interconnect (DCI) traffic<br />
grow ten times faster than user traffic. The<br />
DCI traffic is characterized by traffic bursts<br />
that need the full peak rate available at run<br />
time, to guarantee coherency of inter-data<br />
center operations. This requirement presents<br />
unique challenges when designing<br />
a DCI network, including performance, efficiency<br />
and cost effectiveness. Therefore,<br />
it is not only the issue of traffic capacity,<br />
but also run-time resource management,<br />
to guarantee network resources will be dynamically<br />
assigned and available, when a<br />
specific DCI operation is being executed.<br />
So we must look at what the future has to<br />
offer in terms of more capacity and more<br />
flexibility, to cope with the sporadic, simultaneous<br />
and independent nature of DCI replication<br />
scenarios, not to mention bursty<br />
broadband consumption.<br />
Which brings us to software-defined networking<br />
and 400G transmission rates…<br />
Software-Defined Networking<br />
(SDN) for Dynamic Data Centers<br />
Until recently, optical networks could rely<br />
on a simple practice to deal with the challenge<br />
of massive traffic growth, by meeting<br />
peak hour demands. However, this becomes<br />
unrealistic as optical networks reach<br />
their physical barrier for capacity, so that<br />
any further expansions are dependent on<br />
digging more fibers, not always a possibility.<br />
In the case of data centers, because<br />
of the bursty nature of traffic, relying on<br />
peak hour demands as the default at all<br />
times is a very costly proposition, economically<br />
and in terms of power consumption<br />
and environmental concerns.<br />
The solution? Introducing network dynamicity<br />
into resource and power consumption<br />
per actual demand, through softwaredefined<br />
networking, or SDN.<br />
Optical networks serve as the infrastructure<br />
for many diverse applications, making<br />
optical planning per application demands<br />
impossible. The introduction of SDN as the<br />
means for dynamic networking is an important<br />
trend, as it supports dynamic resource<br />
provisioning for efficient network<br />
planning and operations.<br />
SDN calls for the decoupling of the control<br />
plane and the data plane of network<br />
nodes. The control plane provides abstraction<br />
of network capabilities, while hiding<br />
the complexity of the underlying transport,<br />
so network resources can be monitored<br />
and programmed per application demand.<br />
An orchestration layer enables a wider network<br />
view and supports multi-layer, multi-domain<br />
and multi-vendor correlations.<br />
Correlation is made possible by mashing<br />
up multiple abstracted resources (see<br />
figure 1.)<br />
In a multi-layer solution, packet-transport<br />
layer services diffuse into the optical network.<br />
Optical transport muxing can be<br />
made more intelligent, inheriting packet<br />
layer capabilities, such as partial rate,
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
13<br />
Application<br />
Layer<br />
Control/NMS<br />
Layer<br />
Transport<br />
Layer<br />
Fig. 1: SDN reference architecture<br />
Source: OIF<br />
Service Service Service<br />
Orchestration<br />
Hypervisor Controller NMS<br />
Data Center<br />
Transport<br />
blend 10G, 100G, 400G (and even 1T) with<br />
SDN, for seamless and economically-viable<br />
data transmission.<br />
Towards 400G<br />
Let’s look at transmission rates.<br />
For the past two years, right after the 100G<br />
standardization process was completed,<br />
the telecom industry started looking at<br />
what’s beyond 100G. Back then, the IEEE,<br />
for the first time ever, standardized two<br />
Ethernet rates – 40G and 100G – in the<br />
same document (IEEE802.3ba). In fact, market<br />
acceptance of 100G rates has been far<br />
beyond that of 40G.<br />
So it was natural for the IEEE to start investigating<br />
what’s beyond 100G. The IEEE<br />
Working Group 802.3BWA started to look at<br />
this issue, and its main conclusions were:<br />
asymmetric, on-demand, scheduled and<br />
QoS-based muxing. In the future we may<br />
also be able to dynamically provision wavelengths<br />
to provide optical sub-rates, based<br />
on similar policies and in alignment with<br />
packet network services.<br />
SDN can make the optical network programmable,<br />
for example in the following<br />
contexts:<br />
- Bandwidth-on-demand: immedi<br />
ate provisioning of additional bandwidth<br />
between locations to facilitate<br />
large data transfers or other immediate<br />
bandwidth needs in case<br />
of cloud bursting or cloud disaster<br />
recovery<br />
- Bandwidth scheduling: scheduled<br />
provisioning of additional bandwidth<br />
per pre-planned large data<br />
transfers driven by scheduled applications<br />
and maintenance<br />
- Workload balancing: sharing the<br />
workload, applications and services<br />
among links and servers for maxi-<br />
mum optimization of the network<br />
and cloud resources.<br />
- Multi-tenancy: securing applications<br />
and organizations by isolating<br />
them from each other, while keeping<br />
the underlying physical network hidden<br />
from end customers<br />
The OIF (Optical Interworking Forum) and<br />
the ONF (Open Networking Foundation),<br />
organizations promoting SDN adoption,<br />
have both established optical transport<br />
working groups to address the applicability<br />
of SDN to optical networks and recommend<br />
reference architecture.<br />
However, the introduction of SDN in optical<br />
networks will not be straightforward<br />
as network operators are not expected to<br />
completely replace their working networks<br />
and management systems. Instead, some<br />
type of a transformation process, based on<br />
legacy capabilities, will be built to achieve<br />
the goal of optical network programmability<br />
and unified resource management<br />
for both cloud and transport network resources.<br />
Eventually optical networks will<br />
- By 2015, expected capacity requirements<br />
of 10x the requirements of<br />
2010, i.e., Terabit<br />
- By 2020, expected capacity requirements<br />
of 100x the requirements of<br />
2010, i.e., 10 Terabit<br />
- Higher speed at lower cost per bit<br />
needed by Ethernet interconnect.<br />
Not “can it be done,” but rather “can<br />
it be done at the right cost?”<br />
In March 2013, in a „Call for Interest“ meeting<br />
at the IEEE, there was broad consensus<br />
to form a working group for 400G Ethernet,<br />
with the following issues as the main concerns:<br />
reach, physical layers and architecture<br />
(see figure 2.)<br />
The IEEE sees the ITU-T defined OTN as the<br />
long-reach default solution to carry 400G,<br />
even in non-WDM environment. A common<br />
join effort between the ITU-T and the IEEE<br />
is required to build a working, mature ecosystem.<br />
Since packet is the major source<br />
of traffic at the OTN layer, it is clear that<br />
the next Ethernet rate and the new ITU-T
14 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ<br />
Our SCOPE<br />
Our SCOPE<br />
ITU-T defined<br />
„Core OTN Transport“<br />
carrying Ethernet traffic<br />
X.000 km<br />
IEEE defined Ethernet<br />
IEEE defined Ethernet<br />
Fig. 2:<br />
Source: Adapted from IEEE.<br />
400 GbE issues: • Reach<br />
• Types of PHYs<br />
• Architecture<br />
defined OTN need to be correlated to optimally<br />
carry the Ethernet rate.<br />
However, given that the market will demand<br />
1T rates by 2015, how come 400G<br />
met with such broad consensus from<br />
IEEE members?<br />
Looking into the future<br />
The ITU has completely adopted the Ethernet-based<br />
CFP (100G MSA client transceiver<br />
package) package as its basic OTN client interface,<br />
and even for line side, CFP will be<br />
used for coherent transceiver. The new CFP<br />
coherent transceiver includes SD-FEC on<br />
the DSP chip, and will enable carrier Ethernet<br />
switch routers (CESR) to skip the OTN<br />
layer when working at long-reach fiber.<br />
Yet the challenges of Ethernet and OTN<br />
are completely different. Besides the variations<br />
in distance (with Ethernet from<br />
0 – ~40Km, and OTN >~40Km), Ethernet<br />
uses fiber as dark fiber, being able to be<br />
de fined depending on how it is optimized<br />
(line code, number of colors, wavelengths,<br />
optical power…). It is the only single interface<br />
that lives on fiber.<br />
OTN challenges, on the other hand, are<br />
much more complex, as OTN should support<br />
legacy wavelengths with different<br />
rates, amplified optics and power limitation<br />
to prevent non-linearity (NLE). Yet another<br />
major OTN challenge is the Bit/second/<br />
HZ issue. Starting from 100G, fibers used<br />
for WDM transport become bandwidthscarce,<br />
and preserving 88 channels for<br />
beyond 100G is not possible, since the<br />
symbol rate (SR) and the bandwidth are<br />
roughly the same. The SR of standard ITU-<br />
OIF 100G (DP-QPSK) is 33 G Symbol/sec ~ –<br />
which is more than 33Ghz BW. To double<br />
the SR for rate increasing, say to 66GSy/<br />
sec, will exceed the 50 GHz spectrum of<br />
WDM channels.<br />
400 DP-16QAM 4.6 or 5.3 bits/s/Hz<br />
87.5 or 75 Ghz<br />
In addition, to increase line rate and maintain<br />
the 88 channels, higher SR may not<br />
help at all, and we may need to increase<br />
the spectrum density – the amount of bits/<br />
sec that may be transferred on a spectrum<br />
piece (such as 1Hz). Increasing spectrum<br />
density is a well-known technique in radio<br />
technology – microwave or cellular, but it<br />
will always come with penalty of performance.<br />
In the optical space, it basically<br />
means lower distance. Thankfully, 100G<br />
provides us with similar performance as<br />
10G, but as we know from radio, increasing<br />
symbol complexity has ~ 3dB OSNR penalty<br />
for each step – so, for example, moving<br />
from QPSK to QAM16 has ~6dB OSNR penalty<br />
(~0.25 x 100G distance). (See Picture 3.)<br />
Fig. 3: Source: Adapted from IEEE.
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
15<br />
To economically achieve the beyond 100G<br />
rate by 2016-2017 timeframe will only be<br />
possible if we rely on technologies that<br />
are “almost here.” Despite the 2015 1T bps<br />
IEEE 802.3BWA challenge, the industry is<br />
still missing the right technology, which<br />
will probably involve some major breakthrough<br />
in the silicon photonic segment.<br />
The lack of such breakthrough technology<br />
was the key driver for the broad 400G<br />
IEEE agreement.<br />
10 Gb/sλ<br />
40 Gb/sλ<br />
10 Gb/sλ<br />
40 Gb/sλ<br />
40 Gb/sλ<br />
100 Gb/sλ<br />
40 Gb/sλ<br />
40 Gb/sλ<br />
1569.59 1569.18 1568.77 1568.36 1567.95 1531.12 1530.72 1530.33 λ nm<br />
C-band, fixed 50 GHz grid<br />
We believe that a joint economic and technologic<br />
approach is required to enhance<br />
the OTN rate, as it mostly serves the packet<br />
world. This joint approach might include<br />
the following ideas:<br />
• Increase spectral density by moving<br />
to QAM16<br />
100 Gb/sλ<br />
100 Gb/sλ<br />
400 Gb/sλ<br />
400 Gb/sλ<br />
1 Tb/sλ<br />
1569.59 1569.18 1568.77 1568.36 1567.95 1531.12 1530.72 1530.33 λ nm<br />
Example of a future C-band, 50 – 200 GHz Flexible Grid (in 25 GHz increments)<br />
Fig. 4: Source: Adapted from IEEE.<br />
• Use supper channel of 2 – two mini<br />
WDM channels, one near the other,<br />
to support increased bandwidth, but<br />
with current ADC technology (4 ADC<br />
in 66G sample/sec in single DSP)<br />
• Use 12.5Ghz granularity with<br />
75/87.5Ghz/100G channel spectrum<br />
width, to increase the spectral<br />
efficiency also known as flexible<br />
grid concept<br />
• Use DAC in the TX path to enable<br />
spectral shaping, and TX preprocessing.<br />
400G with QAM16 will decrease the optical<br />
performance vis-à-vis 100G. However,<br />
the full impact is yet to be understood.<br />
What becomes clear is that we may not talk<br />
about a single OTN rate, but rather about<br />
a family of software-defined OTN rates.<br />
In case the link OSNR will not enable<br />
QAM16, the constellation may be changed<br />
back to QPSK through software, or even to<br />
BPSK or 8PSK – in conjunction with super<br />
channel of two, family of rates would be<br />
enabled, rather than single rate as in the<br />
past. This concept is known as adaptive<br />
OTN or OTN Flex. (See picture 4.)<br />
Elastic network<br />
For the 400G Ethernet, we can be more<br />
open minded and also think of a family<br />
of Ethernet rates, where the higher rate<br />
is 400G, but lower rates are also permitted.<br />
In implementation, that will use parallel<br />
communications built from several<br />
channels (such as several colors), it is not<br />
bad to maintain partial Ethernet traffic, in<br />
case one or more of the channels is down<br />
from some reason. Assuming we will have<br />
Ethernet client interface with 16 x 25G –<br />
why should we have to drop the link, when<br />
only 1 out of 16 has failed?<br />
Flex Ethernet is not new – we already have<br />
VDSL and SHDSL on the copper-Ethernet<br />
under 802.3ah single pair domains, supporting<br />
a variety of rates, rather than the<br />
usual 10X conventional numbers of 10M,<br />
100M, 1G. With the developing of carrier<br />
Ethernet technology, it makes sense to preserve<br />
the same capabilities in both OTN<br />
and Ethernet, including flexibility.<br />
Another issue to consider is system power.<br />
System power consumption, especially<br />
in the transport sector, is growing in di-<br />
rect relation to the interface speed. One<br />
of the ways to be more energy efficient is<br />
to change the link/interface rate based on<br />
real traffic load. Rate adaptive/flex Ethernet/OTN<br />
is one of the interesting ways to<br />
get us there.<br />
While in the future we may have flex Ethernet<br />
and flex OTN layers, we can imagine<br />
new optimized, dynamic mapping layer<br />
between Ethernet/packet to OTN, map packet<br />
under Ethernet over subscription base<br />
on QoS, or asymmetric link rate between<br />
two endpoint.<br />
It looks futuristic, but it is all about using<br />
scarce fiber resources more efficiently, and<br />
understand that the alternative is to light<br />
more fiber.<br />
With these kinds of flex approaches, we<br />
may refresh the transport network with<br />
total new concepts which, along with SDN<br />
at the control layer, will enable a whole<br />
new revolution of elastic power optimized<br />
network to lead data center interconnect<br />
towards the future. M
16 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ<br />
Kurzmeldungen<br />
Vom CISO bis zur Hochschul-App: Nutzergruppe Hochschulverwaltung<br />
tagt zum 11. Mal<br />
Bereits zum 11. Mal trafen sich vom 6. bis<br />
zum 8. Mai 2013 die Mitarbeiter der Hochschulverwaltungen<br />
im Rahmen der alle<br />
zwei Jahre stattfindenden Tagung der <strong>DFN</strong>-<br />
Nutzergruppe Hochschulverwaltung. Unter<br />
dem Motto „Mobiler Campus“ wurden<br />
an der Universität Mannheim neueste Entwicklungen<br />
im Bereich ‚IT an Hochschulen‘<br />
diskutiert. Das Themenspektrum der Veranstaltung<br />
reichte von der titelgebenden<br />
Mobilität in all ihren Aspekten über Fragen<br />
der Risikoanalyse und IT-Sicherheit bis<br />
zum Prozessmanagement und den vielfältigen,<br />
nicht zuletzt sicherheitstechnisch<br />
und juristisch relevanten Fragen rund um<br />
Cloud-Technologien.<br />
Die Hochschulverwalter bilden eine der<br />
dienstältesten Communities im <strong>DFN</strong>-<strong>Verein</strong>,<br />
die als Nutzergruppe mit eigenen Ta-<br />
gungen und Informationsveranstaltungen<br />
ihre spezifischen Interessen formulieren.<br />
Die Veranstaltungen der Nutzergruppe<br />
sind von besonderer Relevanz für<br />
das Deutsche Forschungsnetz, da die Verwaltungen<br />
der Hochschulen sich traditionell<br />
in einer Doppelrolle gegenüber ‚dem<br />
Netz‘ befinden. Sie sind zugleich Nutzer<br />
mit höchsten Ansprüchen etwa in den Bereichen<br />
Sicherheit, Usability und Relevanz<br />
für die realen Bedarfe der Wissenschaft,<br />
zum anderen sind die Verwaltungen tief<br />
eingebunden in die Entscheidungsprozesse<br />
im IT-Bereich. Insbesondere die Etablierung<br />
von IT-Entscheidungen auf der Führungsebene<br />
der Hochschule durch CTOs<br />
(Chief Technology Officer) oder die von vielen<br />
Seiten gestellte Forderung nach der<br />
Einführung sogenannter CISO’s (Chief Information<br />
Security Officer) zeigt, wie weitreichend<br />
die administrativen und die wissenschaftlichen<br />
Aspekte der Netznutzung<br />
heute ineinander greifen.<br />
Einen Überblick über die Themen und Arbeitsgebiete<br />
der Nutzergruppe gibt das Tagungsprogramm,<br />
das auf den Webseiten<br />
der Nutzergruppe hinterlegt ist. Zu fast<br />
allen Vorträgen und Präsentationen finden<br />
sich Folien und Abstracts. Wer sich<br />
über den Stand und das Potenzial mobiler<br />
Systeme an den Hochschulen informieren<br />
möchte, wird auf den Webseiten der<br />
Hochschulverwalter ebenso fündig wie derjenige,<br />
der einen Überblick über die derzeit<br />
im Einsatz befindlichen „Hochschul-<br />
Apps“ sucht. M<br />
http://www.hochschulverwaltung.de<br />
Eduroam-Konfigurationsassistent<br />
im Regelbetrieb<br />
<strong>DFN</strong>-Infobrief Recht als<br />
Kompendium<br />
Einfach einen QR-Code einscannen und von<br />
jeder der mehr als 5.000 Einrichtungen, die<br />
weltweit an eduroam teilnehmen, ins Wissenschaftsnetz<br />
surfen! Wer 2013 als Studierender<br />
oder Wissenschaftler einen eduroam-Account<br />
besitzt, kann Smartphones,<br />
Tablets oder Rechner mit dem ‚eduroam<br />
Configuration Assistent Tool‘ (CAT) in Sekundenschnelle<br />
konfigurieren.<br />
Der Konfigurationsassistent wurde aus<br />
Mitteln der Europäischen Union finanziert<br />
und wesentlich von den Kollegen des<br />
polnischen und des luxemburgischen Forschungsnetzes<br />
entwickelt. Für Nutzer deutscher<br />
Wissenschaftseinrichtungen findet<br />
sich der Konfigurationsassistent unter der<br />
URL: edit.dfn.de<br />
Alternativ zum QR-Code kann mit zwei<br />
Klicks auch über ein Web-Frontend konfiguriert<br />
werden. Einfach die vom System<br />
angebotene Heimateinrichtung auswählen<br />
und anschließend das verwendete Betriebssystem<br />
von Laptop, Smartphone oder<br />
Tablet anklicken. Der Download der Konfigurationsdatei<br />
startet automatisch.<br />
Der Konfigurationsassistent läuft seit kurzem<br />
im Regelbetrieb in der Version 1.0.2<br />
und wird bereits von vierzig Einrichtungen<br />
im Deutschen Forschungsnetz angeboten.<br />
Rechenzentren und DV-Verantwortliche,<br />
die sich für den Assistenten interessieren,<br />
nehmen Kontakt mit der Geschäftsstelle<br />
des <strong>DFN</strong>-<strong>Verein</strong>s auf. M<br />
Seit 2011 werden die <strong>DFN</strong>-Infobriefe Recht<br />
vom <strong>DFN</strong>- <strong>Verein</strong> zusätzlich zur laufenden<br />
Publikation über das Netz auch als gedruckter<br />
Jahres-Sammelband herausgegeben. In<br />
den Sammelbänden sind alle Artikel, die<br />
im Laufe eines Jahres veröffentlicht wurden,<br />
enthalten.<br />
Der Jahresband 2012 kann über die Geschäftsstelle<br />
des <strong>DFN</strong>-<strong>Verein</strong>s bezogen<br />
werden. Bitte kontaktieren Sie uns per E-<br />
Mail unter sammelband-recht@dfn.de M
WISSENSCHAFTSNETZ | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
17<br />
Deutliche Leistungssteigerung im<br />
<strong>DFN</strong>Internet<br />
250. AAI-Vertrag<br />
Seit Einführung des Gigabit-Wissenschaftsnetzes<br />
im Jahr 2001 ist der <strong>DFN</strong>-<strong>Verein</strong> bestrebt,<br />
den steigenden Anforderungen der<br />
an das Wissenschaftsnetz angeschlossenen<br />
Anwender durch Leistungssteigerungen<br />
zu unverändertem Entgelt zu entsprechen.<br />
Mit dem 1. Juli 2013 gelten für alle<br />
Kategorien des Dienstes <strong>DFN</strong>Internet ab<br />
I02 neue Bandbreiten. Insbesondere in den<br />
unteren Kategorien des Dienstes mit niedrigen<br />
Bandbreiten fällt die Leistungssteigerung<br />
2013 deutlich aus. Wer mit dem<br />
kleinsten Anschluss an <strong>DFN</strong>Internet in der<br />
Kategorie I02 angeschlossen ist, dessen<br />
Bandbreite vergrößert sich von bislang 40<br />
Mbit/s auf nun 200 Mbit/s. Die 75 bzw. 100<br />
Mbit/s der Kategorien I03 und I04 werden<br />
durch 300 Mbit/s bzw. 400 Mbit/s ersetzt.<br />
In den mittleren Kategorien wird mindestens<br />
eine Verdreifachung der Anschlussbandbreiten<br />
realisiert, während die höchsten<br />
Kategorien des Dienstes mindestens<br />
eine Verdoppelung ihrer bisherigen Bandbreite<br />
erfahren. Die Entgelte pro Kategorie<br />
bleiben unverändert. Die Anschlüsse zum<br />
Dienst <strong>DFN</strong>Internet werden grundsätzlich<br />
weiterhin mit zwei redundanten Leitungen<br />
ausgeführt (redundante Anbindung<br />
mit einer Hauptleitung und einer Nebenleitung).<br />
Alternativ kann auf die redundante<br />
Anbindung verzichtet und die gesamte<br />
Bandbreite stattdessen über einen einfach<br />
angebundenen Anschluss (einfache Anbindung)<br />
bereitgestellt werden. Das Verfahren<br />
der Leistungssteigerung wurde von<br />
der 65. Mitgliederversammlung des <strong>DFN</strong>-<br />
<strong>Verein</strong>s im Dezember 2012 beschlossen.<br />
Grundsätzlich gilt für den Dienst <strong>DFN</strong>Internet<br />
weiterhin: Keine Installations- oder<br />
Grundgebühr, keine Volumenberechnung,<br />
keine versteckten Kosten. Überall gleich<br />
in Deutschland (außer für Portanschlüsse).<br />
Die Entgelte des Dienstes <strong>DFN</strong>Internet<br />
sind einfach und transparent. Sie beziehen<br />
sich ausschließlich auf die eingehende<br />
Bandbreite (vom Wissenschaftsnetz<br />
zum Anwender) für den Zugang zu <strong>DFN</strong>Internet<br />
und sind so ausgelegt, dass die entstehenden<br />
Kosten für den Dienst von den<br />
Anwendern gemeinsam gedeckt werden.<br />
https://www.dfn.de/dienstleistungen/dfninternet/entgelte-ab-juli-2013/<br />
M<br />
Die Hochschule Albstadt-Sigmaringen ist<br />
250ster Vertragspartner innerhalb der <strong>DFN</strong>-<br />
AAI. Seit Jahren schon hat die <strong>DFN</strong>-AAI eine<br />
Zuwachsrate von etwa drei Einrichtungen<br />
oder Vertragspartnern, die Monat für Monat<br />
der Föderation beitreten.<br />
Dabei wird die <strong>DFN</strong>-AAI zunehmend nicht<br />
mehr nur im Verlags- und Bibliotheksbereich<br />
genutzt, sondern kommt immer häufiger<br />
auch beim E-Learning, bei der Software-<br />
Distribution oder bei der Organisation interner<br />
Arbeitsabläufe an den Hochschulen<br />
zum Einsatz. So lässt sich mit der <strong>DFN</strong>-AAI<br />
der Zugriff auf personalisierte Studenten-<br />
Portale ebenso steuern wie die Gewährung<br />
von Schreibrechten in Typo3.<br />
Wissenschaftlern und Studierenden werden<br />
mit der <strong>DFN</strong>-AAI inzwischen auch europaweit<br />
Ressourcen zugänglich – seit kurzem<br />
ist die <strong>DFN</strong>-AAI in die von der TERE-<br />
NA organisierte AAI „edugain“ integriert.<br />
Für Fragen und Anregungen steht die Hotline<br />
unter hotline@aai.dfn.de zur Verfügung.<br />
M<br />
Foto: © vm - iStockphoto
18 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL<br />
GÉANT schaltet um auf<br />
Terabit-Technologie<br />
Fast gleichzeitig mit der Migration des X-<strong>WiN</strong> ist auch der europäische Wissenschafts-<br />
Backbone GÉANT mit Terabit-Technologie ausgestattet worden. Auf sämtlichen Dark-<br />
Fibre-Verbindungen des 50.000-km-Backbone-Netzes, mit dem die nationalen<br />
Forschungsnetze europaweit verknüpft sind, ist seit diesem Jahr eine neue Switchingund<br />
Multiplexing-Infrastruktur im Einsatz.<br />
Text: Kai Hoelzner (<strong>DFN</strong>-<strong>Verein</strong>)<br />
Foto: © Mia11 - photocase<br />
GÉANT 2013: Terabit-<br />
Technologie im Einsatz<br />
Seit Jahren ist ein exponentielles Wachstum<br />
des Datenaufkommens in den Forschungsnetzen<br />
zu beobachten, das mit<br />
einer zunehmenden Internationalisierung<br />
des Datenverkehrs einhergeht. Forschungskollaborationen<br />
und international<br />
aufgestellte Projekte und Infrastrukturen<br />
wie das CERN oder zukünftig das Square<br />
Kilometer Array generieren enorme Datenmengen,<br />
die über viele nationale Domains<br />
hinweg verteilt, analysiert und gespeichert<br />
werden müssen. Damit wachsen nicht nur
INTERNATIONAL | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
19<br />
die Anforderungen an die nationalen Forschungsnetze,<br />
sondern auch an den europäischen<br />
Forschungs-Backbone GÉANT.<br />
Seit Anfang 2013 ist im X-<strong>WiN</strong> eine neue<br />
Technologie-Generation auf der optischen<br />
Übertragungsebene des Wissenschaftsnetzes<br />
im Einsatz. Bedingt durch einen ähnlichen<br />
Beschaffungs-Zyklus wurde nun auch<br />
das GÉANT mit neuester Übertragungstechnik<br />
ausgestattet. Ebenso wie das Deutsche<br />
Forschungsnetz hält GÉANT seitdem Kapazitäten<br />
bereit, die bis in den Terabit-Bereich<br />
gesteigert werden können und die<br />
Bedarfe der Wissenschaft in puncto Übertragungskapazität<br />
für einen längeren Zeitraum<br />
befriedigen werden.<br />
Bereits 2011 war eine massive Investition<br />
in die technische Infrastruktur des GÉANT<br />
angekündigt worden, mit der die Übertragungskapazitäten<br />
bis Ende des Jahrzehnts<br />
in den Multi-Terabit-Bereich gehoben werden<br />
können. Das Rollout des Terabit-Netzwerks<br />
wurde unmittelbar nach Vergabe der<br />
Aufträge im Juli 2012 begonnen und konnte<br />
noch im Frühjahr 2013 abgeschlossen<br />
werden. Dabei wurden 12.000 Kilometer<br />
Glasfaser-Verbindungen des GÉANT-Backbones<br />
mit neuer Multiplexing- und Switching-Technik<br />
ausgestattet. Insgesamt<br />
wurden innerhalb von nur zehn Monaten<br />
an mehr als 170 Standorten zwischen Kopenhagen,<br />
Tallin und Riga im Norden, Moskau<br />
im Osten, Athen im Süden und Dublin<br />
im äußersten Westen des Kontinents Altgeräte<br />
ab- und neue Technologie aufgebaut.<br />
Migration in zwei Phasen<br />
GÉANT-Backbone im Jahr 2013: 12.000 Kilometer Glasfaserstrecke (schwarz) wurden auf 100-Gigabit/s-<br />
Technologie migriert.<br />
Um Unterbrechungen zu vermeiden, wurde<br />
die Migration in zwei Phasen durchgeführt,<br />
wobei zunächst die Switching-Technik<br />
erneuert und anschließend die optische<br />
Übertragungstechnologie der Wellenlängen-Multiplexer<br />
ausgetauscht wurde.<br />
Die bisherige Topologie des GÉANT wurde<br />
dabei um zwei zusätzliche Routen Mailand<br />
– Marseille und Marseille – Genf ergänzt.<br />
Die zusätzlichen Strecken nach Marseille<br />
ermöglichen, eine Fülle dort endender Unterseekabel<br />
aus dem Mittelmeerraum für<br />
das GÉANT zu nutzen. Über diese Unterseekabel<br />
landet nicht nur ein erheblicher<br />
Teil des Datenverkehrs mit Afrika, sondern<br />
auch aus weiten Teilen Asiens.<br />
Eine Reihe parallel bereitgestellter Fasern<br />
entlang bereits existierender Strecken in<br />
GÉANT erhöhen auf den Schlüssel-Verbindungen<br />
des GÉANT die Kapazitäten und<br />
die Stabilität des Netzes. Dies betrifft die<br />
Strecken London – Paris, London – Brüssel<br />
– Amsterdam, Amsterdam – Frankfurt<br />
a.M., Frankfurt a.M. – Genf und Mailand –<br />
Wien. Gleichzeitig ermöglichen die parallelen<br />
Fasern auf den ‚inneren‘, stark beanspruchten<br />
GÉANT-Strecken eine flexiblere<br />
Migration auf die neue Übertragungstechnik<br />
und ein vorheriges Testen der einzelnen<br />
Strecken vor dem finalen ‚Switch-Over‘.<br />
Insbesondere, wenn keine parallele Faser<br />
zur Verfügung stand, wurden die Arbeiten<br />
an den Standorten nur außerhalb der Peak-<br />
Zeiten des Netzes durchgeführt, so dass<br />
mögliche Beeinträchtigungen des Datenverkehrs,<br />
wie etwa die Laufzeitverlängerung<br />
von Paketen auf alternativ gerouteten<br />
Strecken, möglichst wenig Störungen<br />
bei den Anwendern hätten verursachen<br />
können. Anders als bei der Migration des<br />
X-<strong>WiN</strong>, das Dank seiner vollständigen Streckenredundanz<br />
auch während der Migration<br />
immer mindestens eine Kernnetzverbindung<br />
zu einem Standort aufrecht erhielt,<br />
wurde bei der GÉANT-Migration ein Sicherungsseil<br />
für die Umschaltung der Standorte<br />
benötigt: Eine Rollback-Strategie sah<br />
vor, im Falle etwaiger technischer Probleme<br />
unverzüglich auf die alten technischen<br />
Komponenten zurückzuschalten, die erst<br />
bei erfolgreicher und vollständiger Migration<br />
des Netzes abgebaut wurden.
20 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL<br />
„Need for Speed“<br />
Die Ausrüster der neuen GÉANT-Generation<br />
heißen Infinera und Juniper Networks.<br />
Auf der Switching-Plattform kommen seit<br />
Mai Router der MX 3D Serie von Juniper<br />
Networks mit 100-Gigabit/s-Kapazität<br />
zum Einsatz. Die optische Transportebene<br />
des GÉANT ist nun mit Infineras neuester<br />
DTN-X Technik bestückt sein, die „XTC“<br />
Add Drop Multiplexer und „OTC“ Optical<br />
Line Amplifiers mit EDFA/RAMAN Verstärkern<br />
kombiniert. Den mehr als 50 Millionen<br />
Endnutzern, die über die 32 europäischen<br />
NRENs und eine Fülle interkontinentaler<br />
Verbindungen via GÉANT kommunizieren,<br />
steht damit eine annähernd frei skalierbare<br />
und hoch belastbare Netzinfrastruktur<br />
zur Verfügung.<br />
Forschen am Netz<br />
Finanziert wird das GÉANT aus Nutzungsentgelten<br />
der nationalen Forschungsnetze<br />
und aus Mitteln des 7. Rahmenprogramms<br />
der Europäischen Union. Hierzu wurden im<br />
Rahmen des Projektes GN3plus für die kommenden<br />
zwei Jahre 42 Millionen Euro von<br />
der Europäischen Kommission bewilligt,<br />
mit denen neben dem Betrieb des Netzes<br />
auch der Aufbau von Testbeds sowie ein eigenes<br />
Förderprogramm für Entwicklungsprojekte<br />
unterstützt werden. Insbesondere<br />
die Durchführung von netznahen Innovationsprojekten<br />
stellt für GÉANT ein Novum<br />
dar. Die Aufgabe, die die Europäische<br />
Kommission dem GÉANT für die kommenden<br />
beiden Jahre mitgegeben hat, lautet,<br />
über Open Calls eine Reihe von Miniprojekten<br />
auszuschreiben und durchzuführen.<br />
Gesucht werden hierfür Use-Cases, eigenständige<br />
Forschungs- und Technologie-Entwicklungen<br />
zur Unterstützung laufender<br />
Projektaktivitäten sowie innovative Projekte<br />
und Demonstrationen in NREN-übergreifenden<br />
Multi-Domain-Umgebungen.<br />
GÉANT Testbeds<br />
Mit dem Schwerpunkt „Testbeds as a Service“<br />
in GN3plus bietet GÉANT Wissenschaftlern<br />
künftig die Möglichkeit, Testbeds<br />
zur Erprobung neuer Netztechnologien<br />
und innovativer Anwendungen zu nutzen.<br />
Hierzu stehen im GÉANT zwei Typen<br />
von Testbed-Ressourcen zur Verfügung:<br />
Ein ‚Dynamic Packet Testbed‘ ermöglicht<br />
Untersuchungen und Technologieerprobungen<br />
auf den höheren Netzwerk-Ebenen,<br />
während ein ‚Dark Fibre Testbed‘ eine<br />
Infrastruktur für Feldversuche mit optischen<br />
und photonischen Technologien<br />
bereitstellt, auf der sich technologische Innovationen<br />
in realistischen Weitverkehrsverbindungen<br />
erproben lassen. Nicht zuletzt<br />
werden davon eine Reihe nationaler<br />
NRENs profitieren, die in den kommenden<br />
Jahren mit dem Umstieg von 10- auf 100<br />
-Gigabit-Technologie befasst sein werden.<br />
Das ‚GÉANT Dark Fibre Testbed‘ besteht<br />
aus Faserverbindungen, die nach dem Abschluss<br />
der aktuellen Netzwerk-Migration<br />
des GÉANT verfügbar bleiben. Fünf solcher<br />
Routen mit einer Gesamtlänge von 2.500<br />
Kilometern können von Oktober 2013 an<br />
bis Ende Juni 2015 für Tests genutzt werden:<br />
Die Strecken London – Paris, Frankfurt<br />
– Genf, Amsterdam – Frankfurt, Amsterdam<br />
– Brüssel und Mailand – Wien sind mit<br />
optischen Verstärkern ausgestattet und<br />
werden an den Endpunkten der jeweiligen<br />
Strecken durch das Alcatel DWDM-<br />
System des „alten“ GÉANT beleuchtet. Das<br />
GÉANT Dark Fibre Testbed ermöglicht die<br />
Technologie-Erprobung auf der Transport-<br />
Ebene und wird nicht nur für das GÉANT,<br />
sondern ebenso auch für die nationalen<br />
Forschungsnetze interessant sein, die ihre<br />
Netze in den kommenden Jahren mit einer<br />
neuen Generation von Routern, Switchen,<br />
Multiplexern und Verstärkern ausstatten<br />
werden und in diesem Zusammenhang<br />
Hardwaretests durchführen müssen.<br />
Das ‚GÉANT Dynamic Packet Testbed‘ stellt<br />
interessierten Wissenschaftlern eine Fülle<br />
von Netzwerk-Ressourcen zur Verfügung,<br />
mit denen sich verschiedenste Ansätze für<br />
virtuelle und dynamische Vernetzungen erproben<br />
lassen. Ziel ist, künftige Konzepte<br />
und Technologien wie etwa Software Defined<br />
Networks z.B. auf der Basis von Open-<br />
Flow in einer realistischen Weitverkehrs-<br />
Umgebung und bei Bedarf über mehrere<br />
Domains hin zu erproben und möglichst<br />
zeitnah für die wissenschaftliche Netznutzung<br />
zu erschließen.<br />
Der <strong>DFN</strong>-<strong>Verein</strong> war in jüngster Vergangenheit<br />
in verschiedenen Arbeitsgruppen an<br />
der netztechnischen Weiterentwicklung<br />
des GÉANT beteiligt, unter anderem in den<br />
Bereichen Federated Network Architectures<br />
sowie Virtualisierung von Netzen. Hierbei<br />
wurde untersucht, welche Rolle die Föderierung<br />
von Netzen bzw. das Virtualisieren<br />
von Netzkomponenten spielen werden.<br />
GÉANT Open Call<br />
In einem Open-Call-Verfahren wurden im<br />
April und Mai 2013 Projektvorschläge gesammelt,<br />
die sich mit spezifischen Themen<br />
innovativen Netzwerkens befassen. Die Liste<br />
dieser Themen reicht von Photonic Level<br />
Access – also dem Zugriff auf Netzstrukturen<br />
unterhalb der IP- und Ethernet-Ebene<br />
Software Defined Networking, Bandwith<br />
on Demand oder Terabit Transmission Trials<br />
über eine Fülle von Utility-Themen wie<br />
Network as a Service, hochverfügbare Netze<br />
oder Cloud-Access bis hin zu innovativen<br />
Demonstrationsprojekten.<br />
Für die Durchführung dieser Projekte stehen<br />
in GN3plus 3,3 Millionen Euro bereit.<br />
Formuliertes Ziel ist, möglichst netznahe<br />
Forschungsvorhaben zu unterstützen, die<br />
für die Zukunft des GÉANT und der nationalen<br />
Forschungsnetze relevant werden<br />
können. Dabei wird eine enge Abstimmung<br />
der eingereichten Projekte mit den laufenden<br />
Aktivitäten in GN3plus angestrebt. Die<br />
Laufzeit der Open-Call-Projekte soll von<br />
Oktober 2013 bis zum Ende der Planungszeitraumes<br />
des 7. Rahmenprogramms der<br />
EU reichen, das im März 2015 ausläuft. M
INTERNATIONAL | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
21<br />
ORIENTplus: Boosting EU-<br />
China Collaboration<br />
Between 2007 and 2010 the ORIENT project provided the first direct high-capacity Internet connection<br />
for research and education between Europe and China. Now the successor project ORIENTplus<br />
offers with its 10G link the shortest and fastest data communications route between the GÉANT and<br />
Chinese research networking communities, enabling innovative research and education collaborations<br />
to flourish. <strong>DFN</strong>-Mitteilungen caught up with project representatives in both regions and<br />
asked them what ORIENTplus means for scientists, academics and NRENs at both ends of the link.<br />
Kai Nan, Director<br />
CSTNET<br />
Jiangping Wu, Director<br />
CERNET Center<br />
David West, Dante Ltd.<br />
Project Manager ORIENTplus<br />
Christian Grimm, Director <strong>DFN</strong><br />
Chair ORIENTplus Steering Group<br />
Who is behind ORIENTplus?<br />
DW: ORIENTplus was born out of the successful ORIENT collaboration<br />
between Europe and China. Through the planning<br />
and operation of ORIENTplus the relationship has further developed.<br />
We now have both major Chinese research and education<br />
networks, CERNET and CSTNET, fully involved in the project.<br />
We also have 9 European NREN partners*, though all European<br />
NRENs are connected via GÉANT, and DANTE is co-ordinating<br />
on behalf of the EU and Chinese partners. Operational<br />
management is jointly coordinated by the GÉANT and CNGI-6IX<br />
NOCs. The project is absolutely a partnership of equals between<br />
Europe’s and China’s NRENs - committed to work together to<br />
provide world class e-Infrastructure for world class collaborative<br />
research. The project receives financial backing from the<br />
EC’s FP7 programme and from the Chinese government as well<br />
as from the NREN communities.<br />
JW:CERNET was the Chinese partner in ORIENT and connected<br />
CSTNET in China. CERNET is very pleased CSTNET has become a<br />
full partner in ORIENTplus. The equal funding and project responsibility<br />
from China and Europe symbolises the shared commitment<br />
of both sides.<br />
Aren’t 10Gb connections commonplace these days? What makes<br />
this upgrade so special?<br />
CG: Not at all! I agree we have 10Gb in the European GÉANT footprint<br />
and on our links to the US. This is why most Internet traffic<br />
to Asia still goes the long way round, via the US and through the<br />
Pacific. But with ORIENTplus we now have a direct link between<br />
Europe and China which goes overland through Siberia. Unfortunately,<br />
this comes at a cost which is why we sought EC and<br />
Chinese government funding support. But it has the great advantage<br />
of being the only high-capacity connection between Europe<br />
and China using the shortest route available – a must-have
22 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL<br />
for many data-intensive and time-critical research applications.<br />
The upgrade from 2.5 to 10Gb was clearly needed to keep pace<br />
with the increased user demand we are seeing. To illustrate how<br />
capacity to China has grown I may recall that ORIENTplus e–<br />
volved from a direct 2Mbps peering between the UK and China<br />
to a high-speed inter-regional link over a thousand times that<br />
capacity. Not to mention that in <strong>DFN</strong> we celebrated a 64kbps link<br />
between Germany and China less than 15 years ago.<br />
JW: But ORIENTplus is more than just a link with huge capacity.<br />
Thanks to good co-operation between CERNET, TransPAC3,<br />
and Internet2, and ORIENTplus there is now also an integral element<br />
of “around the globe” connectivity support. A recent mutual<br />
back-up agreement between the four partners guarantees<br />
network reliability and resilience by automatically re-routing<br />
the traffic via the US in the event of any outage. I believe this is<br />
the first-ever global back-up partnership and a great example<br />
of collaboration between network providers.<br />
We understand that link is operated in hybrid mode. What are<br />
the advantages of that?<br />
CG: Indeed. The hybrid nature of the link means that it can carry<br />
both IP and point-to-point traffic. It will allow us to deploy tools<br />
and services, such as PerfSONAR, eduroam and dynamic pointto-point<br />
links. In addition to the upgraded link capacity, this will<br />
give us adequate flexibility to support communities with special<br />
networking requirements.<br />
KN: Let us not forget the good team work to make this happen.<br />
We have set up a joint EU-China technical support team. So we<br />
have the most efficient and simplified troubleshooting process<br />
to ensure reliable and high quality network transmission. And I<br />
agree, the hybrid mode provides the opportunity to deploy different,<br />
innovative techniques and equipment, such as acceleration<br />
devices, to match specific application needs.<br />
Who uses this link today and what are the growth areas?<br />
CG: It comes as no surprise that users from the LHC community<br />
were among the first to fill the increased capacity. But we expect<br />
many more from other disciplines. As an interesting effect,<br />
by making the ORIENTplus capacity available to our users we<br />
learned a lot about the many existing collaborations between<br />
European and Chinese researchers.<br />
KN: We have already seen take-up in the field of radio-astronomy.<br />
eVLBI, for example, relies on a stable network connection<br />
*BASNET, CESNET, <strong>DFN</strong>, e-ARENA, GARR, GRNET, JANET, NORDUNET and PSNC<br />
for correlating massive data in real-time from radio-telescopes<br />
in Europe and on CSTNET’s network in China. Similarly, the AR-<br />
GO-YBJ cosmic ray studies involve the transfer of terabytes of<br />
data every year from a telescope in Tibet to a processing centre<br />
in Italy – thousands of miles away. Real-time processing and<br />
analysis of these data do not work with packet loss or a jittery<br />
connection – so the applications need dedicated R&E network<br />
links, such as ORIENTplus, to deliver this. Genomic research between<br />
China and Europe needs the same strong networking. The<br />
commodity Internet would simply not be able to tackle the data<br />
traffic generated by DNA sequencing and processing by life sciences<br />
institutions, such as the Beijing Genomics Institute (BGI)<br />
and the European Bioinformatics Institute (EBI).<br />
JW: More and more collaborative projects between universities<br />
in China and Europe have increasing bandwidth demands. There<br />
are, for example, many UK universities setting up remote campuses<br />
and offices in China, the online courses, videoconferences and<br />
other forms of virtual meetings and discussions are becoming<br />
a key part of this type of remote education. Certainly, ORIENTplus<br />
is the basic infrastructure to support these collaborations.<br />
What special value does China see in ORIENTplus?<br />
JW: In the late 90’s, before ORIENT and ORIENTplus, CERNET’s first<br />
ORIENTplus<br />
Between 2007 and 2010 the ORIENT project provided the<br />
first high capacity link between GÉANT and China with<br />
FP6 funding support and successfully enabled many innovative<br />
EU-China research and application collaborations<br />
to flourish.<br />
ORIENTplus is created to maintain and further develop<br />
infrastructure between GÉANT and China that is open for<br />
use by all European and Chinese researchers. The main focus<br />
of the this project is to support the infrastructure link.<br />
To mark the significant upgrade of the ORIENTplus link to<br />
10 Gbps, project partners, senior EC and Chinese government<br />
officials, media representatives as well as members<br />
of the user community gathered on 12 April for a commemorative<br />
event networked over the ORIENTplus link,<br />
with a main venue in London connected by high-quality<br />
video-conferencing to 14 sites across Europe and China.<br />
The launch event provided an opportunity to hear and see<br />
first-hand from scientists how this high-speed China-EU<br />
link makes a real difference in advancing collaborative<br />
research.
INTERNATIONAL | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
23<br />
direct links to Europe were with JANET and <strong>DFN</strong> only. With ORI-<br />
ENT and now ORIENTplus, China’s researchers can now reach<br />
the whole of Europe with just one link. As the link capacity<br />
grows and our researchers can collaborate more, the relationships<br />
get stronger and lead to new discoveries and innovation.<br />
On China’s side we have the vision of global networking<br />
since research challenges are global. We are very pleased<br />
this is Europe’s vision too. It leads to good partnership and<br />
success.<br />
KN: ORIENTplus brings the best Chinese and European minds<br />
together. In addition to our major science programmes, there<br />
are important applications for all our people, such as e-health<br />
and environmental monitoring. During the Sichuan earth quake<br />
in 2008, for example, the ORIENT link was able to distribute highresolution<br />
satellite images of the damaged region for immediate<br />
analysis to help plan rescue, relief and recovery.<br />
How do you see the EU-China collaboration develop in the coming<br />
years?<br />
DW: We already see China is the EU’s 2nd largest trading partner<br />
and the EU is China’s biggest trading partner. The current ORI-<br />
ENTplus project runs to the end of 2014.The growing research<br />
and technology development programmes between Europe<br />
and China mean there is a clear need for the world class e-Infrastructure<br />
links to continue to be provided and further developed.<br />
So we are now starting to discuss not ‘if’ but ‘how’ this is<br />
done, building on the already excellent working relationships.<br />
As well as the connectivity we would like to broaden this in to<br />
further service and user collaborations.<br />
We have some way to go, but I hope it will not be too long before<br />
the project that follows on from ORIENTplus is able to tell<br />
<strong>DFN</strong>-Mitteilungen of its latest upgrade to 100Gb or higher! M<br />
Global R&E Network CEO Forum<br />
take next steps in Asia’s Global City<br />
of Hong Kong<br />
Following their first retreat in September 2012, the Global R&E Network CEO Forum met in<br />
Hong Kong on May 9th and 10th to review and further develop the four key global initiatives<br />
which they had defined as a part of a wider global Research and Education ICT strategy.<br />
The CEOs critically reviewed the common strategic challenges<br />
they face in delivering advanced ICT services to the Research and<br />
Education communities they serve. Outcomes of this meet ing<br />
include significant progress on the four major challenges the<br />
CEOs defined at their first meeting as well as developing new<br />
areas of common strategic interest.<br />
The four challenges are as follows:<br />
1. Global Network Architecture – While clear principles for a coherent<br />
global R&E network architecture continue to take form,<br />
the CEOs decided to refine these principles by commissioning<br />
a high-level action group to study and report back on key areas<br />
such of procurement, the relationships with intercontinental<br />
carriers and new intercontinental fiber builds, and federated<br />
operations. A subgroup of the CEO Forum has also been formed<br />
to develop a common view on the political approach to funding<br />
the Global Network Architecture. Both these groups will have<br />
strict timetables to ensure close alignment and delivery across<br />
our multiple global boundaries.<br />
2. Global Realtime Communications Exchange – The CEOs endorsed<br />
the work done so far to develop a global dialing directory<br />
for audio and video collaboration tools using NRENUM.net, SIP,<br />
and H.323 as the major technical direction. Each participating<br />
NREN, if not have already done so, will begin implementation<br />
of this before the end of the 2013. The level of global interoperability<br />
resulting from this project will be a key enabler for the<br />
collaboration goals of the sector globally during the next five<br />
year horizon in order to enhance both research and teaching &<br />
learning growth.
24 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL<br />
3. Global Service Delivery – An initial group of seven of the CEO<br />
Forum’s NRENs are aligning their efforts on Global Service Delivery<br />
and are collaborating on creating business models and<br />
developing contracts to work with cloud providers on a global<br />
scale. This initiative is not without significant challenge, specifically<br />
with respect to achieving common global legal agreements.<br />
The progress of this project requires rapid global development<br />
and implementation in order for the sectors across the world<br />
to seize immediate cost and efficiency benefits in the effective<br />
delivery of market leading technology solutions.<br />
4. Global Federated Identity Management – To support the effective<br />
global use of cloud services and on-line learning environments<br />
such as MOOCs, the CEOs committed to interconnect<br />
each of their federations before the end of 2013. This effort will<br />
be aligned such that the Global Realtime Communications Exchange<br />
and the Global Service Delivery can build on the interfederation<br />
work. This interfederation platform is a fundamental<br />
building block ensuring seamless linkages of both people and<br />
projects across both national and regional boundaries. It was<br />
recognized that if the global NREN community did not pursue<br />
this approach as a matter of urgency there was a risk that less<br />
appropriate and fragmented solutions would be adopted which<br />
would be highly detrimental to the coherence of global research<br />
and educational collaboration.<br />
In addition to these four challenge areas, there also was significant<br />
discussion around the areas of both security and mobility,<br />
particularly with the exponential growth in BYOD (bring your<br />
own device) and the increased risk profile as big data hits extraordinary<br />
growth rates. The CEOs created two new groups. The<br />
first one to determine how we can keep our networks and services<br />
both open and secure. The second one on how to take away<br />
barriers in global mobile communications for our community,<br />
leading to clearly developed action plans in order to assess and<br />
address any R&E market failure.<br />
On the area of working with existing global or regional expert<br />
groups, the CEOs acknowledged their commitment to work with<br />
these groups to determine how their efforts can contribute to<br />
the initiatives of the Global R&E Network CEO Forum.<br />
The CEO Forum will continue to move forward with regular video<br />
conferences and will meet again face to face to ensure progress<br />
against the specific project milestones. The strategic importance<br />
of countries with emerging NRENs was clearly recognized<br />
by the group with the next face to face meeting scheduled<br />
to be held in South Africa at the end of 2013, a location which exemplifies<br />
with a view to exploring further the advanced needs<br />
of the global research community with the Square Kilometer<br />
Array and the specific needs of developing NREN communities.<br />
The Global R&E Network CEO Forum consists of the Chief Executive<br />
Officers of AARNet (Australia), CANARIE (Canada), CERNET<br />
(China), CUDI (Mexico), DANTE (Europe), <strong>DFN</strong> (Germany), Internet2<br />
(USA), Janet (UK), NORDUnet (European Nordics), REANNZ (New<br />
Zealand), RedCLARA (Latin America), RENATER (France), RNP (Brazil),<br />
and SURFnet (The Netherlands). (kh) M<br />
Foto: © R_by_PD bearb.GS_pixelio.de
INTERNATIONAL | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
25<br />
Kurzmeldungen<br />
CERN bekommt erste 100-Gigabit/s-Verbindung<br />
Das neue in Budapest angesiedelte Data Centre des CERN gehört<br />
zu den ersten Nutzern, die vom neuen Terabit-Netz des GÉANT<br />
profitieren. Das „Wigner Research Centre for Physics“ wird in Zukunft<br />
in großem Umfang ‚remote‘ Experimentaldaten des Large<br />
Hadron Collider (LHC) speichern. Um die extremen Datenmengen,<br />
die beim neuen Storage-Konzept des CERNs transportiert werden<br />
müssen zu bewältigen, erhalten das CERN in Genf und das ungarische<br />
Wigner Centrum eine direkte 100-Gigabit/s-Verbindung.<br />
Das LHC generiert derzeit Daten im Umfang von 30 Petabyte pro<br />
Jahr. Die schnelle weltweite Verteilung dieser Daten zu den Wissenschaftsgruppen<br />
in verschiedenen Ländern stellt eine Voraussetzung<br />
für die Durchführung der Experimente am CERN dar. Die<br />
Basis für die Distribution der Experimentaldaten bilden die nationalen<br />
Forschungsnetze und das GÉANT als pan-europäischer<br />
Backbone mit leistungsfähigen weltweiten Links. Neben dem<br />
GÉANT ist auch das ungarische Forschungsnetz NIIF/Hungarnet<br />
involviert, das die Verbindung vom GÉANT-PoP in Budapest bis<br />
zum Wigner Centre bereitstellt. M<br />
Partnerschaft zwischen GÉANT und Helix<br />
Nebula Cloud<br />
GÉANT-Betreiber Dante Ltd. und das europäische Grid-Projekt<br />
„Helix Nebula Cloud“ haben im Dezember 2012 eine Partnerschaft<br />
vereinbart, innerhalb derer GÉANT eine aktive Rolle bei<br />
der Weiterentwicklung der Wissenschafts-Cloud für internationale<br />
Großforschungsprojekte einnehmen wird. Führende europäische<br />
Wissenschaftseinrichtungen hatten im vergangenen<br />
Jahr das nach einem Planetennebel im Sternbild Wassermann<br />
benannte europäische Wissenschafts-Grid Helix Nebula Cloud<br />
gegründet. Zu den Initiatoren der Helix Nebula Cloud gehören<br />
neben der Europäischen Raumfahrtagentur ESA, dem europäischen<br />
Kernforschungszentrum CERN und dem Europäischen Laboratorium<br />
für Molekularbiologie EMBL auch eine Reihe von Industrie-Partnern<br />
aus dem IT-Bereich.<br />
In der Helix Nebula Cloud wird die Nutzung zentraler Rechenund<br />
Speicherkapazitäten für aufwendige wissenschaftliche Berechnungen<br />
zwischen internationalen Partnern in einer Cloud-<br />
Umgebung erprobt. Die Partnerschaft mit dem europäischen<br />
Forschungsbackbone GÉANT bedeutet nicht nur eine massive<br />
Stärkung des Projektes. GÉANT, das sein Netz soeben auf 100-Gigabit-Technologie<br />
umgerüstet hat und über leistungsfähige Verbindungen<br />
in alle Kontinente verfügt, bringt nicht nur die weltweit<br />
leistungsfähigste Netz-Infrastruktur für die Wissenschaft<br />
in die Partnerschaft ein, sondern auch den direkten Zugang zu<br />
den Forschungsnetzen der nationalen Wissenschafts-Communities<br />
in Europa, die das GÉANT als gemeinsame Netz-Infrastruktur<br />
initiiert haben. M<br />
Erste transatlantische 100-Gigabit/s-Verbindung<br />
angekündigt<br />
Gemeinsam mit GÉANT haben die nordamerikanische Internet2-<br />
Intiative und ESnet (beide USA), das skandinavische NORDUnet,<br />
das niederländische SURFnet und Kanadas CANARIE eine Public<br />
Private Partnership mit kommerziellen Dienstleistern zum Ausbau<br />
der interkontinentalen Verbindung zwischen Forschungsnetzen<br />
in Europa und Nordamerika angekündigt. Ziel des auf dem „Internet2<br />
Annual Meeting“ Ende April angekündigten Vorhabens<br />
ist die Etablierung einer ersten interkontinentalen 100-Gigabit/s-<br />
Verbindung über den Atlantik. Unter dem Arbeitstitel „Advanced<br />
North Atlantic 100G Pilot“ (ANA-100G) sollen bereits im Juni<br />
2013 anlässlich der TERENA Networking Conference in Maastricht<br />
Anwendungen zwischen den USA und Europa demonstriert werden.<br />
Hintergrund ist, dass mehrere NRENs auf beiden Seiten des Atlantik<br />
auf 40- bzw. 100 Gbit/s-Technologie aufrüsten werden. Neben<br />
dem X-<strong>WiN</strong> und GÉANT sind hier auch das britische JANET,<br />
SURFnet und NORDUnet sowie die Internet2-Initiative und ESnet<br />
zu nennen. Die transkontinentalen Verbindungen allerdings<br />
sind dieser Entwicklung auch bedingt durch die Angebotspolitik<br />
kommerzieller Provider bislang nicht oder nur unzureichend<br />
gefolgt. ANA 100G soll nicht nur die internationalen Kooperationen<br />
in der Wissenschaft beflügeln, sondern auch einen Anstoß<br />
in Richtung der am internationalen Markt tätigen Carrier und<br />
Netzausrüster geben. M
26 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS<br />
Gemeinsam sicher<br />
Nordrhein-Westfalens Hochschulen setzen auf<br />
gemeinsames Informationssicherheitsmanagement<br />
Um den stetig wachsenden Anforderungen an die Hochschulen im Bereich Informationssicherheit<br />
zu begegnen, setzen Nordrhein-Westfalens Hochschulen seit 2011 auf<br />
eine gemeinsame Strategie. Synergie statt individueller Anstrengungen lautet das<br />
Motto, mit dem das Projekt PRISMA (Programm für ein gemeinsames Informationssicherheitsmanagement<br />
der Fachhochschulen NRW) die Einführung eines Information<br />
Security Management Systems (ISMS) in den Hochschulen ermöglichen will. Gemeinsames<br />
Ziel ist der Aufbau einer dauerhaften Kooperation zur Verbesserung der<br />
Informationssicherheit, die Synergieeffekte mit sich bringt.<br />
Text: Irene Weithofer (Fachhochschule Köln), Henning Mohren (Fachhochschule Düsseldorf)<br />
ISMS – vom einsamen Helden zur<br />
hochschulweiten Strategie<br />
Informationssicherheit ist längst keine<br />
Aufgabe mehr für den einsamen Helden<br />
im Rechenzentrum, der sich mit der lästigen<br />
Materie Datensicherheit auskennt<br />
Anforderungen<br />
und<br />
Erwartungen<br />
an ein ISMS<br />
Do<br />
ISMS<br />
umsetzen<br />
und<br />
betreiben<br />
Plan<br />
ISMS<br />
planen<br />
und<br />
festlegen<br />
Kontinuierliche<br />
Umsetzung,<br />
Überwachung,<br />
Verbesserung<br />
und Betrieb<br />
ISMS<br />
überwachen<br />
und<br />
überprüfen<br />
Check<br />
und seinen mehr oder minder einsichtigen<br />
Kollegen und Kolleginnen ins Gewissen<br />
redet, wenn es darum geht, Passworte<br />
nicht länger unter der Schreibtischunterlage<br />
zu ‚verstecken’. Informationssicherheit<br />
an Hochschulen erfordert heute sowohl<br />
ein professionelles Management als<br />
ISMS<br />
instandhalten<br />
und<br />
verbessern<br />
Informations-<br />
sicherheits-<br />
Managementsystem<br />
(ISMS)<br />
Abb. 1: Ein ISMS soll als Bestandteil eines übergreifenden Managementsystems die Entwicklung, Implementierung,<br />
Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der<br />
Informationssicherheit abdecken. Dabei folgt das ISMS einem kontinuierlichen Verbesserungsprozess.<br />
Act<br />
auch eine personelle Verankerung auf Leitungsebene.<br />
Letztlich geht es zwar auch<br />
um die Frage, ob in den Browsern und Betriebssystemen<br />
die jeweils aktuellen Patches<br />
eingespielt wurden, im Kern jedoch<br />
darum, ob alle Management-, Kern- und<br />
Supportprozesse der Hochschule auf Informationssicherheit<br />
ausgerichtet sind.<br />
Dies stellt nicht nur kleinere Einrichtungen<br />
vor Probleme. Zwar existieren mit der<br />
ISO/IEC Normen „ISO/IEC 27001 und 27002“<br />
und dem vom Bundesamt für Sicherheit<br />
in der Informationstechnik entwickelten<br />
„BSI-Standard“ Leitfäden, die detailliert<br />
regeln, welche Maßnahmen auf dem Weg<br />
zu mehr Informationssicherheit getroffen<br />
werden müssen. Die Umsetzung des umfangreichen<br />
Regelwerks an den Hochschulen<br />
ist allerdings nicht trivial und mit erheblichem<br />
Organisations- und Arbeitsaufwand<br />
verbunden.<br />
Die Fachhochschulen des Landes NRW haben<br />
aus diesem Grund bereits im Jahr 2011<br />
einen gemeinsamen Fördermittelantrag<br />
zur Einführung eines Managementsystems
CAMPUS | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
27<br />
für Informationssicherheit bei der zuständigen<br />
Landesregierung gestellt. Im Rahmen<br />
des durch Mitglieder des Arbeitskreises<br />
der Kanzlerinnen und Kanzler und der<br />
DVZ-Leiter gesteuerten „Programms für<br />
ein gemeinsames Informationssicherheitsmanagement<br />
der Fachhochschulen NRW“,<br />
kurz PRISMA, wurde ein Referenzmodell<br />
für die Einführung eines Information Security<br />
Management Systems (ISMS) entwickelt,<br />
das derzeit auf die teilnehmenden<br />
Hochschulen transferiert wird.<br />
PRISMA sorgt dabei nicht nur für den lokalen<br />
Aufbau des ISMS an den teilnehmenden<br />
Hochschulen, zu dem auch die Benennung<br />
eines CISOs (Chief Information<br />
Security Officer) an jeder Hochschule gehört,<br />
vielmehr legt das Projekt auch den<br />
Grundstein für eine dauerhafte Kooperation<br />
mit der Bezeichnung ISKo (Kooperation<br />
zur Informationssicherheit).<br />
ISKo versteht sich als offene Kooperation,<br />
d.h., jede Hochschule in NRW kann an der<br />
Kooperation teilnehmen und Mitglied werden.<br />
Das schließt explizit auch Hochschulen<br />
ein, die nicht am Projekt PRISMA teilgenommen<br />
haben. Inzwischen liegen auch<br />
Beitrittsabsichten von Universitäten vor.<br />
Das Projekt PRISMA gliedert sich in mehrere<br />
Projektphasen (Arbeitspakete). Dem<br />
Deming-Zyklus „Plan – Do – Check – Act“<br />
folgend wurden im Projekt zunächst übergreifende<br />
Dokumente zum Informationssicherheitsmanagement<br />
erstellt.<br />
Dokumente zum Informationssicherheitsmanagement<br />
Die Leitlinie zur Informationssicherheit<br />
(IS-Leitlinie) definiert verbindlich die Ziele,<br />
die die Fachhochschulen in NRW gemeinsam<br />
verfolgen wollen. Sie ist die Grundlage<br />
für die Kooperation der Hochschulen,<br />
die auch nach Projektende zur Verbesserung<br />
der Informationssicherheit<br />
fortgeführt werden soll. In der IS-Leitlinie<br />
werden der Geltungsbereich, die Ziele<br />
und die Organisation der Kooperation<br />
Abb. 2: Der Basis-Sicherheitscheck verlief orientiert am Schichtenmodell und den zugeordneten Bausteinen,<br />
wie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben. In den Referenzhochschulen<br />
wurde im Projekt PRISMA die Schicht I „Übergreifende Aspekte“ mit 14 der insgesamt<br />
17 Bausteine überprüft:<br />
B 1.0 Sicherheitsmanagement<br />
B 1.1 Organisation<br />
B 1.2 Personal<br />
B 1.3 Notfallmanagement<br />
B 1.4 Datensicherungskonzept<br />
B 1.5 Datenschutz<br />
B 1.6 Schutz vor Schadprogrammen<br />
B 1.8 Behandlung von Sicherheitsvorfällen<br />
B 1.9 Hard- und Softwaremanagement<br />
B 1.10 Standardsoftware<br />
B 1.13 Sensibilisierung und<br />
Schulung zur Informationssicherheit<br />
B 1.14 Patch- und Änderungsmanagement<br />
B 1.15 Löschen und Vernichten von Daten<br />
B 1.16 Anforderungsmanagement<br />
festgelegt. Im grundlegenden Textteil, der<br />
für alle Hochschulen gleichermaßen gilt,<br />
ist auch der Kooperationsvertrag verankert.<br />
Darüber hinaus kann jede Hochschule<br />
eigene Ziele und lokale Organisationsformen<br />
für ihr spezifisch ausgeprägtes Management<br />
der Informationssicherheit ergänzen.<br />
Auf diese Weise besitzt jede Hochschule<br />
ihre eigene IS-Leitlinie – gestaltet<br />
mit dem eigenen Logo – und setzt diese<br />
verbindlich in Kraft.<br />
Mit dem Ziel, die Zusammenarbeit auch<br />
nach Ende des Projekts im Bereich des Informationssicherheitsmanagements<br />
fortzusetzen,<br />
sind die Fachhochschulen dabei,<br />
eine Kooperation zum Informationssicherheitsmanagement<br />
(ISKo) zu gründen.<br />
Die Bedingungen zur Teilnahme an<br />
dieser Kooperation regelt der ISKo-Kooperationsvertrag.<br />
Er wurde im Rahmen des<br />
Projekts entworfen und darüber hinaus<br />
auch im Arbeitskreis der Kanzlerinnen und<br />
Kanzler und gegenüber den DVZ-Leitern<br />
vorgestellt.<br />
Die an der Kooperation teilnehmenden<br />
Hochschulen verschreiben sich zu:<br />
gemeinsamen, in der IS-Leitlinie verbindlich<br />
definierten Zielen der Informationssicherheit:<br />
• Berücksichtigen der Informationssicherheit<br />
und des Datenschutzes<br />
in jedem Geschäftsprozess.<br />
Schicht I<br />
Schicht II<br />
Schicht III<br />
Schicht IV<br />
Schicht V<br />
Übergreifende Aspekte<br />
Infrastruktur<br />
IT-Systeme<br />
Netze<br />
Anwendungen<br />
• Schützen von Informationen über<br />
die Sicherstellung ihrer Verfügbarkeit,<br />
Integrität und Vertraulichkeit,<br />
Authentizität, Revisionsfähigkeit<br />
und Transparenz.<br />
gemeinsamen Elementen der Organisation:<br />
• Benennen eines CISO (Chief Information<br />
Security Officer) durch jede<br />
ISKo-Hochschule.<br />
• Aktive Mitarbeit im ISKo-Team.<br />
den Standards<br />
• der BSI 2-Standardreihe zur Informationssicherheit<br />
(100-1 – Managementsysteme<br />
für Informationssicherheit<br />
(ISMS), 100-2 – IT-Grundschutz-Vorgehensweise, 100-3<br />
–<br />
Risikoanalyse auf der Basis von<br />
IT-Grundschutz, 100-4 – Notfallmanagement<br />
und Normen)<br />
Diese Punkte definieren den allgemeinen<br />
Konsens aller Hochschulen.<br />
Das Management der Informationssicherheit<br />
wird neben der IS-Leitlinie in weiteren<br />
Dokumenten detaillierter festgelegt<br />
und beschrieben. Im Projekt PRISMA entstand<br />
eine erste Fassung eines Handbuchs<br />
zur Informationssicherheit (IS-Handbuch),<br />
das anschließend vom ISKo-Team laufend<br />
fortentwickelt werden soll. Das IS-Handbuch<br />
richtet sich an CISOs und andere<br />
Beteiligte im Management der Informationssicherheit<br />
und enthält eine Anleitung<br />
zur Entwicklung einer IS-Strategie
28 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS<br />
B 1.16<br />
Anforderungsmanagement<br />
B 1.0<br />
Sicherheitsmanagement<br />
B 1.1<br />
Organisation<br />
Bester Umsetzungsgrad<br />
Durchschnittlicher Umsetzungsgrad<br />
Schlechtester Umsetzungsgrad<br />
B 1.15<br />
Löschen und Vernichten von Daten<br />
B 1.2<br />
Personal<br />
B 1.14<br />
Patch- und Änderungsmanagement<br />
B 1.3<br />
Notfallmanagement<br />
B 1.13<br />
Sensibilisierung und Schulung<br />
zur Informationssicherheit<br />
B 1.4<br />
Datensicherungskonzept<br />
B 1.10<br />
Standardsoftware<br />
B 1.5<br />
Datenschutz<br />
B 1.9<br />
Hard- und Software-Management<br />
B 1.6<br />
Schutz vor Schadprogrammen<br />
B 1.8<br />
Behandlung von Sicherheitsvorfällen<br />
Der Basis-Sicherheitschecks an den drei Referenzhochschulen zeigte kurz vor Abschluss im September 2012 in vielen Aspekten einheitlich gute und schlechte<br />
Werte mit nur wenigen Abweichungen zwischen bestem und schlechtestem Ergebnis.<br />
sowie zahlreiche weitere Informationen<br />
zum Informationssicherheitsprozess und<br />
seinen Prinzipien, zu den Rollen im ISMS,<br />
zu Schutzbedarfskategorien, zum IT-Risikomanagement<br />
etc. Ein gesonderter Abschnitt<br />
beschreibt die möglichen Maßnahmen<br />
zur Initialisierung des lokalen ISMS<br />
auch für die Hochschulleitung.<br />
Einführung des ISMS an den<br />
Referenzhochschulen<br />
Im Projekt PRISMA wurde auch der Umsetzungsgrad<br />
des ISMS an drei Referenzhochschulen,<br />
den Fachhochschulen Aachen,<br />
Düsseldorf und Köln, in Form von<br />
Audits überprüft. Ziel war es, Gemeinsamkeiten<br />
und Unterschiede im Bereich der<br />
Umsetzung von Informationssicherheit<br />
an den Referenzhochschulen zu ermitteln<br />
und zu prüfen, ob sich daraus Synergieeffekte<br />
für die Gesamtheit der Fachhochschullandschaft<br />
in NRW ergeben können.<br />
Die Audits an den Referenzhochschulen<br />
wurden entsprechend der Prüfkataloge<br />
des BSI durchgeführt. Dabei wurden bestimmte<br />
sicherheitsrelevante Abläufe in<br />
Hinblick auf die Informationssicherheit<br />
exemplarisch bewertet. Die nach der IT-<br />
Grundschutz-Methode des BSI angewendete<br />
Form der Überprüfung nennt sich Basis-<br />
Sicherheitscheck – sie wurde in Form von<br />
Interviews durchgeführt. Ziel war, einen<br />
ausgewogenen Soll-Ist-Vergleich durchzuführen.<br />
Gemeinsam mit den Interview-Teilnehmerinnen<br />
und -Teilnehmern wurden<br />
zunächst die relevanten Gefährdungssituationen<br />
herausgearbeitet. Danach wurde<br />
das vorhandene Sicherheitsniveau (Ist)<br />
anhand gefährdungsabwehrender Maßnahmen<br />
aus den BSI-Grundschutzkatalogen<br />
(Soll) festgestellt.<br />
Die Audits wurden in offener Form durchgeführt,<br />
so dass an den jeweiligen Terminen<br />
auch Beschäftigte anderer Hochschulen<br />
des Landes NRW teilnehmen konnten.<br />
Dadurch hat das PRISMA-Projekt sichergestellt,<br />
dass die gewonnenen Erfahrungen<br />
bei der Einführung des ISMS allen Einrichtungen<br />
zugutekommen können.<br />
Im Ergebnis hat sich gezeigt, dass die Referenzhochschulen<br />
einen ähnlichen Umsetzungsgrad<br />
des Informationssicherheitsmanagements<br />
vorweisen. Während Bereiche<br />
wie Organisation und Personal<br />
durchweg gut abgeschnitten haben, wurde<br />
Verbesserungspotenzial in den Bereichen<br />
Notfallmanagement und Sicherheitsmanagement<br />
festgestellt. Die Ergebnisse<br />
aus den Referenzhochschulen wurden<br />
im September 2012 im Rahmen eines eintägigen<br />
Workshops vorgestellt, zu dem<br />
alle teilnehmenden Hochschulen eingeladen<br />
waren. Im November 2012 wurde<br />
ebenfalls der Arbeitskreis der Kanzlerinnen<br />
und Kanzler der teilnehmenden Hochschulen<br />
über den Stand des Projektes und<br />
den baldigen Beginn der Transferphase<br />
unterrichtet.
CAMPUS | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
29<br />
Die Transferphase<br />
In der bereits angelaufenen Transferphase<br />
wird das im Projekt erarbeitete und an<br />
den Referenzhochschulen verifizierte Wissen<br />
auf möglichst viele Hochschulen in<br />
NRW übertragen – nicht zuletzt als Basis<br />
der langfristigen Kooperation. Der Transfer<br />
wird in mehreren Runden in unterschiedlicher<br />
Zusammensetzung der Teilnehmerkreise<br />
durchgeführt, um sowohl<br />
die Hochschulleitungen als auch die operativ<br />
tätigen Bereiche sachgerecht zum<br />
Informationssicherheitsmanagement zu<br />
informieren und für die Kooperation zu<br />
gewinnen.<br />
Für die Transferphase ist der Zeitraum<br />
von April bis September 2013 vorgesehen.<br />
Schließlich wird das Projekt mit der Gründung<br />
der Kooperation zum Informationssicherheitsmanagement<br />
(ISKo) enden, die<br />
das Thema an jeder einzelnen teilnehmenden<br />
Hochschule sowie in der Gesamtheit<br />
aller Hochschulen als Daueraufgabe vorantreiben<br />
soll.<br />
Kooperation zur Informationssicherheit<br />
(ISKo)<br />
In der Kooperation ISKo soll das Management<br />
der Informationssicherheit gerade<br />
dort, wo Synergieeffekte zu erwarten sind,<br />
kontinuierlich und gemeinsamen verbessert<br />
werden. Denn die grundlegende Kooperationsidee<br />
ist ja ein möglichst schonender<br />
Ressourceneinsatz, geschaffen<br />
durch die Zusammenarbeit der Hochschulen<br />
untereinander. Auf Basis gleichartiger<br />
Anforderungen zu abgestimmten Sicherheitsthemen<br />
sollen für alle Hochschulen<br />
möglichst gleichermaßen anwendbare Basiskonzepte<br />
und Lösungen entwickelt werden.<br />
Ebenso sollen Erfahrungen bei der Anwendung<br />
von Sicherheitsmaßnahmen und<br />
im Umgang mit Sicherheitsvorfällen miteinander<br />
ausgetauscht werden, um wirkungsvolle<br />
Prävention zu schaffen.<br />
In diesem Sinne sollen die zu benennenden<br />
CISOs sowie die Datenschutzbeauftragten<br />
der teilnehmenden Hochschulen als Team<br />
zusammenarbeiten und wesentlich dazu<br />
beitragen, dass die oben genannten Ziele<br />
der Kooperation verbindlich verfolgt werden.<br />
Dieses Team soll die Bezeichnung IS-<br />
Ko-Team erhalten. Das ISKo-Team soll sich<br />
eine Geschäftsordnung auf Basis des Kooperationsvertrages<br />
geben.<br />
Mitglieder von ISKo sind zur aktiven Kooperation<br />
und Umsetzung der gemeinsamen<br />
Ziele in ihrer Hochschule verpflichtet.<br />
Die Verantwortung für die Informationssicherheit<br />
verbleibt dabei bei den jeweiligen<br />
Hochschulleitungen. M<br />
Das „Managementsystem für Informationssicherheit“ (ISMS)<br />
Informationen sind das Kerngeschäft einer jeden Hochschule.<br />
Forschung generiert Informationen, Lehre und Weiterbildung<br />
vermitteln Informationen. Auch in der Verwaltung und<br />
Organisation der Hochschulen in NRW spielen Informationen<br />
eine zentrale Rolle. Sie werden von den zahlreichen Professorinnen<br />
bzw. Professoren, Lehrbeauftragten, weiteren Beschäftigten<br />
sowie den Studierenden erstellt und bearbeitet.<br />
Informationen sind zum Beispiel Forschungsergebnisse, Prüfungsdaten,<br />
Finanz- oder Personaldaten. Sehr oft handelt<br />
es sich dabei auch um personenbezogene Informationen.<br />
Die Mitglieder und Angehörigen der Hochschulen sind damit<br />
gleichzeitig Betroffene personenbezogener Daten und<br />
Akteure der Informationsverarbeitung.<br />
Die Schutzziele der Informationssicherheit beziehen sich auf<br />
unterschiedliche Arten von Daten und Zustände, die abgesichert<br />
werden müssen. Hierbei spielen Fragen des Schutzes<br />
vor Missbrauch persönlicher Daten genauso eine Rolle wie<br />
die Gewährleistung der informationellen Selbstbestimmung<br />
der Hochschulangehörigen, der Vertraulichkeit und Integrität<br />
von Daten und Kommunikationsvorgängen oder der Verfügbarkeit,<br />
etwa durch Verhinderung von Systemausfällen.<br />
Ebenfalls gilt es, die Authentizität, Überprüfbarkeit und Vertrauenswürdigkeit<br />
von Daten sicherzustellen.<br />
Informationssicherheit ist nicht allein Voraussetzung für den<br />
Erfolg in Lehre, Forschung und Weiterbildung, sondern stellt<br />
sich für viele Prozesse in der Wissenschaft zunehmend als<br />
Grundlage dar. Nicht zuletzt ist Informationssicherheit auch<br />
Bedingung für die gesetzeskonforme Arbeit von und an Hochschulen.<br />
Betroffen sind davon alle Informationen, die erhoben,<br />
genutzt und weitergegeben werden.<br />
Die Komplexität dieser Aufgabe ist geprägt von der zunehmenden<br />
Abhängigkeit der meisten Arbeitsabläufe von der IT,<br />
ihrer schnellen Entwicklung und den immer kürzeren Lebenszyklen<br />
der Anwendungen und Systeme. Zusätzlich haben die<br />
Möglichkeiten, die die neuen Medien und soziale Netzwerke<br />
bieten, zu einem veränderten Nutzungs- und Kommunikationsverhalten<br />
geführt. Hochschulen und ihre Angehörigen<br />
vernetzen sich mit Hochschulen, Unternehmen und anderen<br />
Organisationen regional und global.<br />
Die Sicherung der Qualität, Zuverlässigkeit und Nachhaltigkeit<br />
der Informationsverarbeitung an den Hochschulen erfordert<br />
ein bewusstes und umsichtiges Handeln aller. Eine<br />
konsequente und geeignete Anwendung der Informationssicherheit<br />
und des Datenschutzes bietet hierzu Hilfestellungen<br />
und Vorgaben.
30 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
SICHERHEIT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
31<br />
Sicherheit<br />
Audit der <strong>DFN</strong>-PKI<br />
von Jürgen Brauckmann, Dr. Ralf Gröper<br />
Sicherheit aktuell<br />
von Heike Ausserfeld, Dr. Ralf Gröper
32 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT<br />
Audit der <strong>DFN</strong>-PKI<br />
Im vergangenen Jahr hat die <strong>DFN</strong>-PKI einen weiteren großen Schritt nach vorne gemacht:<br />
Die Zertifizierungsdienste der <strong>DFN</strong>-PKI im Sicherheitsniveau „Global“ wurden<br />
nach einem umfangreichen Auditprozess erfolgreich gemäß dem ETSI-Standard TS 102<br />
042 zertifiziert. Hierdurch kann das hohe Sicherheitsniveau der <strong>DFN</strong>-PKI auch Dritten<br />
gegenüber nachvollziehbar dargestellt und so die Browserverankerung der ausgestellten<br />
Zertifikate für die Zukunft sichergestellt werden.<br />
Text: Jürgen Brauckmann (<strong>DFN</strong>-CERT GmbH), Dr. Ralf Gröper (<strong>DFN</strong>-<strong>Verein</strong>)<br />
Foto: © RioPatuca Images - Fotolia.com
SICHERHEIT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
33<br />
Hintergrund<br />
Digitale Zertifikate aus der <strong>DFN</strong>-PKI sind an vielen Einrichtungen<br />
im <strong>DFN</strong> nicht mehr wegzudenken. Von der Absicherung von<br />
Webservern per HTTPS über die Signatur und Verschlüsselung<br />
von E-Mails per S/MIME bis zu chipkartenbasierten Authentifizierungsmechanismen<br />
für Mitarbeiter und Studierende spielen<br />
Zertifikate eine entscheidende Rolle. Hierfür wurde der Dienst<br />
über viele Jahre entwickelt und immer wieder veränderten Gegebenheiten<br />
angepasst.<br />
Entwicklung<br />
Die <strong>DFN</strong>-PKI begann mit dem 1996 gestarteten Projekt „PCA im<br />
<strong>DFN</strong> – Aufbau einer Policy Certification Authority für das Deutsche<br />
Forschungsnetz“ an der Universität Hamburg. Im Projekt<br />
wurde zunächst davon ausgegangen, dass praktisch alle Einrichtungen<br />
im <strong>DFN</strong> ihre Zertifizierungsstellen selbst betreiben würden.<br />
Daher lag der Schwerpunkt der Arbeit auf der Ausstellung<br />
von CA-Zertifikaten und der Bereitstellung von Unterlagen zum<br />
Aufbau einer eigenen CA, wie z.B. dem <strong>DFN</strong>-PCA Handbuch „Aufbau<br />
und Betrieb einer Zertifizierungsinstanz“. Die ersten Policy-<br />
Dokumente wurden 1997 fertiggestellt, und regeln hauptsächlich<br />
das Ausstellen von CA-Zertifikaten und die Anforderungen<br />
an von einer Einrichtung selbst betriebene CA. Die Ausstellung<br />
von Zertifikaten für Anwender, die noch keine eigene CA betreiben,<br />
war aber ebenfalls schon vorgesehen.<br />
Nachdem sich im Laufe der Zeit herausstellte, wie groß der technische<br />
und organisatorische Aufwand zum Betrieb einer eigenen<br />
Zertifizierungsstelle in der Praxis wirklich ist, stellte der <strong>DFN</strong>-<br />
<strong>Verein</strong> dann ab 2005 eine Erweiterung des Konzepts vor: Mit der<br />
neuen Zertifizierungsrichtlinie vom Februar 2005 konnten in der<br />
<strong>DFN</strong>-PKI die Aufgaben der Registrierungs- und der Zertifizierungsstelle<br />
von unterschiedlichen Parteien wahrgenommen werden.<br />
Dadurch konnten die Einrichtungen im <strong>DFN</strong> die technisch komplexen<br />
und personalintensiven Aufgaben eines CA-Betriebs an<br />
die <strong>DFN</strong>-PCA abgeben und nur die Aufgaben selbst wahrnehmen,<br />
die sinnvollerweise bei ihnen verbleiben sollten, wie z.B. die Identifizierung<br />
von Zertifikatinhabern. Mit diesem neuen Konzept<br />
konnte der Aufwand zur Nutzung der <strong>DFN</strong>-PKI deutlich gesenkt<br />
werden, so dass die Zahl der Teilnehmer und der ausgestellten<br />
Zertifikate deutlich stieg.<br />
Root-Integration<br />
Ein weiterer Grund für den Erfolg der <strong>DFN</strong>-PKI ist die Browserverankerung<br />
der ausgestellten Zertifikate durch die Root-Integration.<br />
Nur so können Betriebssysteme und Webbrowser automatisch<br />
die Vertrauenswürdigkeit der Zertifikate überprüfen.<br />
Andernfalls würden Warnmeldungen die Nutzer verunsichern<br />
und das einfache „Wegklicken“ dieser Warnungen das Vertrauensniveau<br />
unterlaufen.<br />
Die Root-Integration des Sicherheitsniveaus „Global“ der <strong>DFN</strong>-<br />
PKI wurde 2007 durch eine Verkettung mit der „Deutsche Telekom<br />
Root CA 2“ umgesetzt. Hierdurch benötigt der <strong>DFN</strong> keine eigene<br />
„Root im Browser“, sondern erbt diese Eigenschaft durch<br />
die bereits browserverankerte Telekom CA.<br />
Struktur der <strong>DFN</strong>-PKI im Sicherheitsniveau Global<br />
Die Browserverankerung der <strong>DFN</strong>-PKI erfolgt über ein Wurzelzertifikat<br />
der T-Systems (Deutsche Telekom Root CA 2), von dem ein<br />
Sub-CA-Zertifikat für unsere PCA (<strong>DFN</strong>-<strong>Verein</strong> PCA Global – G01)<br />
ausgestellt wurde. Die Struktur ist in Abbildung 1 dargestellt.<br />
Von der PCA sind dann die einzelnen CAs für die teilnehmenden<br />
Einrichtungen ausgestellt – derzeit sind dies knapp 350. Die eigentlichen<br />
End-Entity-Zertifikate, also z.B. Server- und Nutzerzertifikate,<br />
werden dann schließlich von diesen CAs ausgestellt.<br />
HS Pellworm<br />
www.hs-pellworm.de<br />
www.hs-pellworm.de<br />
Deutsche Telekom<br />
Root CA2<br />
<strong>DFN</strong>-<strong>Verein</strong> PCA<br />
Global - G01<br />
Universität<br />
Musterstadt<br />
Max Mustermann<br />
Max Mustermann<br />
Max Mustermann<br />
Abb. 1: Struktur der <strong>DFN</strong>-PKI „Global“<br />
Legende<br />
CA-Zertifikat<br />
End-Entity-Zertifikat<br />
Forschungszentrum<br />
Beispielhausen<br />
GRP:<br />
Serveradministration<br />
GRP: GRP:<br />
Serveradministration<br />
Serveradministration<br />
Neue Anforderungen an browserverankerte CAs<br />
Angriffe auf Zertifizierungsstellen<br />
War sichere Kommunikation Anfang der neunziger Jahre noch ein<br />
Hobby von begeisterten Informatikern, so ist die verschlüsselte<br />
und authentische Übermittlung von Daten inzwischen Grundvoraussetzung<br />
für praktisch alle ernstzunehmenden Anwendungen.<br />
Daher stehen SSL, X.509-Zertifikate und CAs als System zur<br />
Kommunikationssicherung seit einigen Jahren verstärkt im Blickpunkt,<br />
z.B. durch Vorträge auf der Blackhat-Konferenz wie „New<br />
Tricks for Defeating SSL in Practice“ von Moxie Marlinspike. Es<br />
lassen sich drei Themenbereiche unterscheiden, die besonderes<br />
öffentliches Interesse finden:<br />
• Fehler in den zugrundeliegenden (kryptographischen)<br />
Protokollen
34 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT<br />
• Lücken in Anwendungssoftware<br />
• Sicherheitslücken bei CAs<br />
In allen drei Bereichen gab es spektakuläre Veröffentlichungen,<br />
z.B. die sogenannte BEAST Attacke im Herbst 2011, die mit einem<br />
Angriff auf die kryptographischen Grundfunktionen von TLS 1.0<br />
die Entschlüsselung von Teilen von verschlüsseltem Netzwerk-<br />
Traffic ermöglicht. Diese kryptographischen Angriffe betreffen<br />
aber nicht die zugrundeliegende RSA-Verschlüsselung und so<br />
gab es jeweils schnelle Abhilfe durch entsprechende Updates<br />
für die beteiligte Software.<br />
Besonders viel Aufsehen haben aber einige verheerende Angriffe<br />
auf browserverankerte CAs in den Jahren 2011 und 2012 erregt,<br />
bei denen nicht autorisierte Zertifikate ausgestellt wurden,<br />
die dann auch zum Abhören vermeintlich sicher verschlüsselter<br />
Verbindungen eingesetzt wurden. Im Nachgang dieser Angriffe<br />
stellte sich heraus, dass teilweise haarsträubende organisatorische<br />
und technische Mängel bei den betroffenen CAs diese Angriffe<br />
ermöglichten.<br />
So wurde am 17. März 2011 eine externe Registrierungsstelle<br />
von Comodo kompromittiert und unautorisierte Zertifikate für<br />
u.a. login.live.com und mail.google.com ausgestellt. Durch eine<br />
schnelle Reaktion von Comodo wurden die Zertifikate in Zusammenarbeit<br />
mit den Browserherstellern innerhalb weniger<br />
Stunden gesperrt.<br />
Im Juni 2011 musste mit StartSSL eine weitere CA für mehrere Tage<br />
ihren Betrieb einstellen, ohne dass die betreffende Firma die<br />
Ursache der Betriebseinstellung kommunizierte.<br />
Im August 2011 wurde dann bekannt, dass die niederländische<br />
CA DigiNotar für mehrere Wochen kompromittiert war, und mehrere<br />
hundert unautorisierte Zertifikate, u.a. wieder für google.<br />
com, ausgestellt wurden. DigiNotar stellte nicht nur normale<br />
SSL-Zertifikate aus, sondern war auch eine Zertifizierungsstelle<br />
für qualifizierte Zertifikate für eGovernment-Services in den<br />
Niederlanden. Der Einbruch scheint durch ein veraltetes Content<br />
Management System ermöglicht worden zu sein. Die erbeuteten<br />
Zertifikate von DigiNotar wurden nachweislich für Man-in-themiddle-Angriffe<br />
auf Internet-Nutzer im Iran verwendet, um deren<br />
E-Mail-Kommunikation über Google Mail abzuhören. DigiNotar<br />
wurde als vertrauenswürdige CA aus allen Webbrowsern per<br />
Software-Update entfernt und ging wenig später in die Insolvenz.<br />
Für all diese Angriffe gibt es sogar eine Art Bekennerschreiben<br />
Foto: © PaulFleet - iStockphoto.de
SICHERHEIT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
35<br />
auf pastebin.com. Dort wurde auch behauptet, dass eine weitere<br />
CA namens GlobalSign komplett gehackt wurde. Hier stellte<br />
sich aber heraus, dass „lediglich“ der Webauftritt, nicht aber die<br />
eigentliche CA-Infrastruktur kompromittiert wurde.<br />
Organisatorische Unzulänglichkeiten<br />
Nach den gezielten Angriffen wurden weitere Vorfälle bekannt,<br />
die ihre direkte Ursache in organisatorischen Unzulänglichkeiten<br />
hatten: Anfang November 2011 musste eine malaysische CA<br />
zugeben, dass sie mehrere Zertifikate mit zu schwachen Schlüsseln<br />
(512 Bit RSA!) und mit fehlerhaften Zertifikatnutzungen ausstellte.<br />
Auch diese CA wurde aus Webbrowsern entfernt.<br />
Ende Januar 2012 wurde bekannt, dass eine im Browser verankerte<br />
CA namens TrustWave mindestens ein Zertifikat verkauft<br />
hat, mit dem in Produkten zur Data Loss Prevention ein Man-inthe-middle-Angriff<br />
auf Nutzer ermöglicht wurde.<br />
Im Dezember 2012 entdeckte das Security Team von Google ein<br />
Zertifikat, das von der CA Turktrust ausgestellt wurde, und mit<br />
dem ein Man-in-the-middle-Angriff möglich gewesen wäre. Es<br />
stellte sich heraus, dass aufgrund eines Konfigurationsfehlers<br />
in der CA ein eigentlich für Webserver gedachtes Zertifikat auch<br />
als Sub-CA-Zertifikat nutzbar war und anscheinend versehentlich<br />
in einer SSL Inspection Appliance eingesetzt wurde.<br />
Turktrust und TrustWave konnten darlegen, dass es sich um einmalige<br />
Vorfälle handelte, und es wurde vermutlich auch niemand<br />
geschädigt. Daher behielten beide CAs ihre Browser-Verankerung.<br />
Reaktion der Betriebssystem- und Browserhersteller<br />
Die beschriebenen Vorfälle fanden ein großes öffentliches Echo.<br />
Auch abseits der Fachpresse erschienen Berichte über das Thema<br />
und brachten es so in den Blickpunkt einer breiten Öffentlichkeit.<br />
Als Reaktion auf die Angriffe und Unzulänglichkeiten verschärften<br />
die Betriebssystem- und Browserhersteller die Anforderungen<br />
ihrer jeweiligen Root-CA-Programme. Die meisten Hersteller<br />
haben dabei zum einen ihre eigenen Regeln verändert und der<br />
neuen Bedrohungslage angepasst, und zum anderen die „Baseline<br />
Requirements“ des CA/Browser-Forums (siehe Kasten) als<br />
verbindlich vorgeschrieben.<br />
Die T-Systems als Betreiber der Root-CA der <strong>DFN</strong>-PKI muss diese<br />
Anforderungen an ihre Sub-CAs und damit auch an den <strong>DFN</strong>-<br />
<strong>Verein</strong> weiterreichen.<br />
Zwei Änderungen betreffen die <strong>DFN</strong>-PKI im Besonderen: Erstens<br />
mussten früher Sub-CAs unterhalb von im Browser verankerten<br />
Root-CA nicht nach einem vorgegebenen Standard<br />
auditiert werden. Das hat sich jetzt geändert, auch Sub-CAs<br />
benötigen nun ein externes Audit durch einen akkreditierten<br />
Auditor nach einem vorgegebenen Standard.<br />
Und zweitens müssen die „Baseline Requirements“ eingehalten<br />
werden, was kleinere Anpassungen an den Prozessen und der<br />
Technik der <strong>DFN</strong>-PKI zur Folge hatte.<br />
ETSI und Webtrust<br />
In den letzten 15 Jahren haben sich mehrere Verfahren herausgebildet,<br />
nach denen der Betrieb eine CA auditiert werden kann.<br />
Betriebssystem- und Browserhersteller verlangen immer ein Audit<br />
der bei ihnen verankerten CAs nach einem von mehreren gebräuchlichen<br />
Standards. Mozilla akzeptiert beispielsweise folgende<br />
Standards:<br />
• ETSI TS 101 456 „Electronic Signatures and Infrastructures<br />
(ESI); Policy requirements for certification authorities issu -<br />
ing qualified certificates“<br />
• ETSI TS 102 042 „Policy requirements for certification<br />
authorities issuing public key certificate“<br />
• ISO 21188:2006 „Public key infrastructure for financial<br />
services – Practices and policy framework“<br />
• WebTrust „Principles and Criteria for Certification<br />
Authorities 2.0“<br />
• WebTrust „SSL Baseline Requirements Audit Criteria V1.1“<br />
• WebTrust „Principles and Criteria for Certification<br />
Authorities – Extended Validation Audit Criteria 1.4“<br />
Diesen Standards ist gemein, dass es sich um umfangreiche Regelwerke<br />
handelt, in denen Leitlinien zum Zertifizierungsbetrieb<br />
in abstrakter Form aufgelistet sind. Im Rahmen eines Audits<br />
muss dann eine Abbildung zwischen diesen Leitlinien und<br />
den tatsächlich existierenden Verfahren der untersuchten CA<br />
gefunden werden. Dabei muss nicht nur die Policy betrachtet<br />
werden, sondern die gesamte Dokumentationsstruktur: Interne<br />
Betriebshandbücher, Administrationsdokumente, Dokumente<br />
für Zertifikatinhaber, Risikoanalysen, Zertifikatantragsformulare<br />
und vieles mehr.<br />
Es ist nicht zu erwarten, dass jede Leitlinie sofort eine offensichtliche<br />
Entsprechung in der Dokumentation hat, und so muss<br />
zu jedem Punkt aus den Audit-Standards einzeln argumentiert<br />
werden, wieso dieser abgedeckt ist.<br />
Ablauf des Audits der <strong>DFN</strong>-PKI<br />
Klärung „Audit nach welchem Standard?“<br />
Am Anfang eines Auditprozesses steht die Frage nach dem Standard,<br />
nach dem das Audit durchgeführt werden soll. Im Fall der<br />
<strong>DFN</strong>-PKI ergeben sich die Optionen aus den Anforderungen der<br />
Root-CA Programme der Browserhersteller (siehe oben). In Fra-
36 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT<br />
ge kommen aus diesen Optionen nur ETSI TS 102 042 sowie Web-<br />
Trust „Principles and Criteria for Certification Authorities 2.0“,<br />
da die anderen Standards nur für CAs mit speziellen Aufgaben<br />
bzw. für CAs zur Ausstellung von Extended Validation Zertifikaten<br />
geeignet sind.<br />
Im Jahr 2011 wurde mit der TÜV Informationstechnik GmbH (TÜ-<br />
ViT) ein Audit nach ETSI TS 102 042 gestartet. Dieser Standard ist<br />
zur Auditierung der <strong>DFN</strong>-PKI sehr gut geeignet, da der Fokus des<br />
Audits auf den technischen und organisatorischen Sicherheitsmaßnahmen<br />
im CA-Betrieb und der Konformität der Policy liegt.<br />
Erstes Voraudit<br />
Der Auditierungsprozess der <strong>DFN</strong>-PKI begann Mitte 2011 mit einem<br />
ersten Voraudit. Hierbei wird die bestehende Situation vom<br />
Auditor mit dem Ziel geprüft, Abweichungen vom Standard zu<br />
erkennen und eine entsprechende Liste zu erstellen. Im Audit<br />
werden die Aspekte „Policy“, „Bauliche Sicherheit“ und „IT-Sicherheit“<br />
getrennt betrachtet.<br />
Um eines vorwegzunehmen: Das Ergebnis des ersten Voraudits<br />
war sehr positiv und die <strong>DFN</strong>-PKI hat vom TÜViT einen sehr guten<br />
Ausgangszustand bescheinigt bekommen. Der Großteil der<br />
festgestellten Abweichungen vom Standard folgte nicht aus einem<br />
mangelhaften Sicherheitsniveau der <strong>DFN</strong>-PKI, sondern daraus,<br />
dass viele Dinge zwar anders gemacht wurden, als es im<br />
ETSI-Standard vorgesehen ist, nicht aber schlechter. Das Ergebnis<br />
des ersten Voraudits soll hier anhand von einigen Beispielen<br />
erläutert werden.<br />
Die Policy einer PKI wird vom Auditor mit dem zugrundeliegenden<br />
Prüfstandard verglichen. Hierbei muss der Prüfer für jede Anforderung<br />
aus dem Standard eine Entsprechung beim Prüfling finden.<br />
Im Bereich Policy mussten nach der ersten Sichtung der Dokumente<br />
fast 100 Punkte einzeln mit TÜViT abgeklärt werden, z.B.:<br />
• „Im CP, CPS fehlt gemäß ETSI 7.1 a) der Verweis auf ETSI TS<br />
102 042 und die zugehörige certificate policy.“<br />
• „Im CP/CPS fehlt gemäß ETSI 7.2.5 a) die Angabe, dass<br />
CA-Schlüssel nicht für andere Zwecke verwendet werden.“<br />
• „Wie wird der Zertifikatnehmer nach ETSI 7.3.6 f) darüber<br />
informiert, dass eine Sperrung seines Zertifikates erfolgt ist?“<br />
Die allermeisten Punkte konnten entweder direkt geklärt werden<br />
oder benötigten lediglich eine kurze Ergänzung der Beschreibung.<br />
Nur bei zehn Punkten mussten tatsächlich Prozesse oder<br />
Technik leicht modifiziert werden.<br />
Im Bereich „Bauliche Sicherheit“ untersuchte TÜViT in erster Linie<br />
die Brand- und Einbruchschutzmaßnahmen der Räumlichkeiten,<br />
in denen die CA-Infrastruktur betrieben wird. Die zu beantwortenden<br />
Fragen betrafen hauptsächlich Nachweise für bereits getroffene<br />
Maßnahmen, die noch beschafft werden mussten. Natürlich<br />
mussten auch kleinere Ergänzungen der Infrastruktur<br />
vorgenommen werden wie z.B. zusätzliche Brandmelder oder<br />
ein weiteres Schloss für einen Schaltkasten. Darüber hinaus wurden<br />
Sensoren zur Brandfrühesterkennung eingebaut, die bereits<br />
auslösen, wenn am anderen Ende des Raumes mit einem Lötkolben<br />
gearbeitet wird.<br />
Der Bereich „IT-Sicherheit“ umfasst alle Sicherheitsmaßnahmen<br />
auf Netzwerk- und Server-Ebene. Es werden sowohl die organisatorischen<br />
als auch die technischen Aspekte betrachtet, beispielsweise<br />
das Patch-Management, die Netzwerk- und Firewallkonfiguration,<br />
die organisatorischen und technischen Maßnahmen<br />
zur Begrenzung des administrativen Zugriffs auf Server. In diesem<br />
Bereich waren am wenigsten Fragen der Auditoren zu klären.<br />
Neue Policy 2.3 der <strong>DFN</strong>-PKI im Sicherheitsniveau Global<br />
Nach dem ersten Voraudit musste die <strong>DFN</strong>-PKI aufgrund der Anforderungen<br />
der Browser- und Betriebssystemhersteller erst einmal<br />
die Baseline Requirements des CA/Browserforums umsetzen.<br />
Hierzu musste neben einigen technischen Änderungen bis<br />
zum 1. Juli 2012 eine neue Policy in Kraft gesetzt werden, die die<br />
entsprechenden Umsetzungen der Anforderungen enthält. Hierbei<br />
wurde gleichzeitig ein Großteil der aufgrund der Erkenntnisse<br />
aus dem ersten ETSI-Voraudit notwendigen Änderungen mit<br />
berücksichtigt. Die Policy in der Version 2.3 wurde am 26. Juni<br />
2012 in Kraft gesetzt.<br />
Die auffälligsten Änderungen betreffen die Verwendung von Begriffen<br />
in der Policy. Dies wurde notwendig, da in ETSI TS 102 042,<br />
aber auch in den Baseline Requirements, die Verwendung bestimmter<br />
Begriffe genau definiert ist, und die <strong>DFN</strong>-PKI hier teilweise<br />
andere Bezeichnungen verwendete oder in einer etwas<br />
anderen Bedeutung eingesetzt hat:<br />
• Die Registrierungsstellen (RA) bei den Teilnehmern der<br />
<strong>DFN</strong>-PKI heißen nun Teilnehmerservice, die dort arbeitenden<br />
Personen Teilnehmerservice-Mitarbeiter (bisher: RA-<br />
Operator).<br />
• Die einzige Registrierungsstelle (engl. Registration Authority)<br />
der <strong>DFN</strong>-PKI wird von der <strong>DFN</strong>-PCA selber in Hamburg<br />
betrieben.<br />
• Aus dem Zertifikatnehmer wird der Zertifikatinhaber (engl.<br />
Subject)<br />
• Der Anwender heißt nun „Teilnehmer“ (engl. Subscriber).<br />
• Darüber hinaus wurden die RA-Operatorzertifikate, welche<br />
zur Authentifizierung der Mitarbeiter mit Prüfaufgaben<br />
(wie die persönliche Identifizierung von Antragstellern)<br />
dienen, auf persönliche Zertifikate anstelle der vorher verwendeten<br />
Gruppenzertifikate umgestellt.
SICHERHEIT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
37<br />
Weitere wichtige Änderungen, die auch jede Einrichtung betreffen,<br />
sind:<br />
• Zertifikate mit lokalen Hostnamen oder internen IP-Adressen<br />
dürfen nur noch mit einem Ablaufdatum bis Oktober<br />
2015 ausgestellt werden. Nach diesem Termin gibt es keine<br />
Zertifikate mit lokalen Hostnamen oder internen IP-Adressen<br />
mehr in der <strong>DFN</strong>-PKI (und auch nicht von anderen Zertifizierungsstellen,<br />
die im Browser verankert sind).<br />
• Viele Prüfungen sind nach 39 Monaten zu wiederholen,<br />
z.B. persönliche Identifizierungen oder der Nachweis über<br />
den Besitz an einer Domain, die in Zertifikaten erscheint.<br />
• Bisher gab es für jede teilnehmende Einrichtung ein eigenes<br />
Certification Practice Statement (CPS). Dieses wird<br />
jetzt nicht mehr benötigt und durch ein gemeinsames CPS<br />
sowie die neuen Dokumente „Informationen für Zertifikatinhaber“<br />
und „Pflichten der Teilnehmer“ ersetzt.<br />
Darüber hinaus gab es viele kleinere Änderungen, die beispielsweise<br />
die Aufbewahrungsfristen von Papierdokumenten betreffen.<br />
Zweites Voraudit<br />
Im zweiten Voraudit im Jahr 2012 wurde die <strong>DFN</strong>-PKI erneut vom<br />
TÜViT geprüft. Da die <strong>DFN</strong>-PKI nun bereits an die Anforderungen<br />
aus ETSI angepasst war, war ein Prüfergebnis mit deutlich weniger<br />
Fundstellen zu erwarten. Trotzdem hatte die Liste der offenen<br />
Punkte im Bereich „Policy“ immer noch fast siebzig Einträge, also<br />
nur ungefähr ein Drittel weniger als im ersten Voraudit. Dies<br />
war zunächst überraschend. Im Workshop mit dem TÜViT stellte<br />
sich aber heraus, dass es sich fast ausschließlich um Nachfragen<br />
zur Policy handelte, die sich schnell klären ließen. An einigen<br />
Stellen wurde die Policy darauf hin noch ein wenig klarer formuliert,<br />
faktische Änderungen waren aber nicht mehr notwendig.<br />
len Gründen leider noch nicht in die Version 2.3 aufgenommen<br />
werden konnten. Hierfür wurde am 15. November 2012 eine weitere<br />
überarbeitete Policy in Kraft gesetzt. Neben einigen verfeinerten<br />
Formulierungen ist die einzige inhaltliche Änderung der<br />
zusätzliche und formal notwendige Satz „Die <strong>DFN</strong>-PCA und alle<br />
ihre nachgeordneten CAs (Sub-CAs) erfüllen die Anforderungen<br />
von ETSI TS 102 042 nach der LCP Policy.“<br />
Audit<br />
Das eigentliche Audit lief ähnlich ab wie die Voraudits: Die Prüfer<br />
vom TÜViT prüften zuerst die Papierlage, also in erster Linie<br />
die Policy, aber auch die anderen relevanten Dokumente wie<br />
„Pflichten der Teilnehmer“ oder „Informationen für Zertifikatinhaber“.<br />
In einem anschließenden Workshop wurden wieder offene<br />
Fragen geklärt. Diesmal konnten alle Fragen des TÜViT abschließend<br />
beantwortet werden.<br />
In einer beispielhaft durchgeführten Zertifikatbeantragung wurde<br />
überprüft, ob die tatsächlichen Prozesse auch den in der Policy<br />
definierten entsprechen. Hierzu wurde im Beisein des Prüfers<br />
ein Zertifikat beantragt und der gesamte Prüfprozess bis zur Aus-<br />
Bei der Prüfung der IT-Sicherheit ergaben sich keine größeren<br />
Auffälligkeiten. Einziger „Höhepunkt“: Bei Netzwerkscans wurden<br />
zwei Webserver mit gesperrtem bzw. abgelaufenem Serverzertifikat<br />
gefunden. Wir konnten TÜViT erklären, dass es sich dabei<br />
um unsere beiden Testserver https://revoked-demo.pca.dfn.<br />
de/ und https://expired-demo.pca.dfn.de/ handelt, die zum Testen<br />
des Verhaltens von Clientsoftware bei gesperrten oder abgelaufenen<br />
Zertifikaten dienen – also mit voller Absicht ungültige<br />
Zertifikate ausliefern.<br />
Das Fazit des zweiten Voraudits war, dass die <strong>DFN</strong>-PKI für das<br />
eigentliche Audit bereit ist und keine weiteren Voraudits notwendig<br />
waren.<br />
Neue Policy 3.0 der <strong>DFN</strong>-PKI im Sicherheitsniveau Global<br />
Für das Audit der <strong>DFN</strong>-PKI mussten nun noch einige Änderungen<br />
in der Policy der <strong>DFN</strong>-PKI umgesetzt werden, die aus forma-<br />
Abb. 2: Das Zertifikat über die Erfüllung der Anforderungen nach ETSI<br />
TS 102 042
38 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT<br />
stellung des Zertifikats durchgeführt. Dies wurde einmal bei der<br />
<strong>DFN</strong>-PCA in Hamburg selber und am Ende des Audits noch einmal<br />
bei einem Teilnehmer der <strong>DFN</strong>-PKI vor Ort durchgeführt. Die<br />
IT-Sicherheit wird durch die theoretische Bewertung der Sicherheitsmaßnahmen,<br />
aber auch durch konkrete Netzwerkscans und<br />
Penetration Tests überprüft.<br />
Am Ende des dreitägigen Vor-Ort Audits wurde vom Prüfer bereits<br />
vorab das Bestehen in Aussicht gestellt. Das formale positive<br />
Ergebnis war erst einige Zeit später verfügbar: Der TÜViT muss<br />
nach einem Audit erst noch interne Qualitätssicherungsmaßnahmen<br />
durchführen, bei denen ein am bisherigen Audit nicht<br />
beteiligter Mitarbeiter das gesamte Prüfergebnis noch einmal<br />
auf Plausibilität prüft. Diese interne Prüfung wird dann in einem<br />
formalen Akt mit der auch hier sogenannten Zertifizierung abgeschlossen,<br />
und es wird sogar ein Zertifikat ausgestellt: Eine<br />
Urkunde mit einer Unterschrift des Leiters der Zertifizierungsstelle<br />
(nicht zu verwechseln mit einer CA, die digitale Zertifikate<br />
ausstellt). Dieser letzte Schritt konnte dann Anfang Dezember<br />
2012 abgeschlossen werden.<br />
Gültigkeit des Audits<br />
Jedes Zertifikat zu einem Audit hat nur eine beschränkte Gültigkeit<br />
von einem Jahr. Vor Ablauf des Jahres muss in einem erneuten<br />
Audit-Prozess nachgewiesen werden, dass die Prozesse<br />
der CA nicht inzwischen vom Prüfstandard abweichen. Deshalb<br />
wird auch im Herbst 2013 wieder ein Audit bei der <strong>DFN</strong>-PCA stattfinden.<br />
Im Prinzip sollte dieses Re-Audit keinerlei Überraschungen<br />
bieten und mit einem relativ geringen Aufwand und vor allem<br />
ohne weiteren Aufwand bei den Teilnehmern der <strong>DFN</strong>-PKI<br />
zu absolvieren sein.<br />
Vorteile für <strong>DFN</strong>-Anwender<br />
Wo bringt das Audit jetzt Vorteile? Schließlich war der Auditprozess<br />
mit nicht unerheblichen Mehraufwänden beim <strong>DFN</strong>, aber<br />
auch bei den an der <strong>DFN</strong>-PKI teilnehmenden Anwendern verbunden.<br />
Notwendige Änderungen wurden zwar so weit wie möglich<br />
in der <strong>DFN</strong>-PCA intern umgesetzt, um die Aufwände bei den Anwendern<br />
zu minimieren. Trotzdem ließen sich einige Aspekte<br />
nur durch die Änderung von Prozessen bei den Anwendern umsetzen.<br />
Umstellungen durch zwei neue Policy-Versionen, durch<br />
personengebundene Teilnehmerservice-Mitarbeiter-Zertifikate<br />
und durch geänderte Archivierungsfristen haben sicherlich auch<br />
bei den Anwendern für einige Arbeit gesorgt.<br />
Den Mehraufwänden stehen aber viele Vorteile gegenüber: Gerade<br />
in diesem sicherheitskritischen Bereich ist es sehr wertvoll,<br />
eine Bestätigung von unabhängiger Seite über die Güte der<br />
Dienstleistung zu haben. Nur eine Überprüfung der Prozesse und<br />
der eingesetzten Technik durch Dritte gewährleistet einen langfristig<br />
sicheren Betrieb.<br />
Darüber hinaus entwickeln sich die Anforderungen der Softwarehersteller<br />
weiter, so dass ein bestandenes Audit Voraussetzung<br />
für den Selbst-Betrieb einer Zertifizierungsstelle mit Browser-Verankerung<br />
ist. Damit haben wir durch den Audit-Prozess<br />
sichergestellt, dass auch in den kommenden Jahren browserverankerte<br />
Zertifikate in der <strong>DFN</strong>-PKI in der gewohnten Flexibilität<br />
und in dem hohen Volumen ausgestellt werden können.<br />
Fazit<br />
Trotz der auf den ersten Blick recht langen Dauer von eineinhalb<br />
Jahren und dem beträchtlichen Aufwand lief das Audit ohne<br />
größere Schwierigkeiten ab, was auch an dem bereits vorher<br />
realisierten hohen Sicherheitsniveau liegt. Dank der engagierten<br />
Mitarbeit der <strong>DFN</strong>-PKI-Teilnehmer konnten auch aufwändige<br />
Schritte wie der Austausch von Teilnehmerservice-Mitarbeiter-Zertifikaten<br />
in kurzer Zeit durchgeführt werden.<br />
Mit dem Audit und der Zertifizierung nach ETSI TS 102 042 hat<br />
sich die kontinuierliche Weiterentwicklung der <strong>DFN</strong>-PKI der letzten<br />
Jahre fortgesetzt, so dass wir für die Zukunft gut gerüstet<br />
sind. M<br />
„CA/Browser Forum“<br />
Das CA/Browser Forum ist ein Konsortium von Browserherstellern<br />
und CA-Betreibern. Das CA/Browser<br />
Forum legt Richtlinien fest, nach denen browserverankerte<br />
CAs vorgehen sollen, um ein ausreichendes<br />
Sicherheits- und Vertrauensniveau für SSL-Zertifikate<br />
sicherzustellen. Ursprünglich wurde im CA/Browser<br />
Forum das Vorgehen zur Ausstellung von sogenannten<br />
„Extended Validation“-Zertifikaten definiert.<br />
Diese Regelungen hatten somit erst einmal keine Auswirkungen<br />
auf die <strong>DFN</strong>-PKI. Durch die Sicherheitsvorfälle<br />
der Jahre 2011 und 2012 bei browserverankerten<br />
CAs wurden aber auch die Aktivitäten beschleunigt,<br />
Anforderungen für nicht-EV-Zertifikate zu definieren.<br />
Am 1. Juli 2012 traten diese „Baseline Requirements<br />
for the Issuance and Management of Publicly-Trusted<br />
Certificates“ in Kraft. Die Mitglieder des CA/Browserforums<br />
verpflichteten sich selber zur sofortigen<br />
Einhaltung, andere CAs wurden anschließend durch<br />
die Anpassung der Root-Programme der Browserhersteller<br />
hierzu verpflichtet.
SICHERHEIT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
39<br />
Sicherheit aktuell<br />
Text: Heike Ausserfeld, Dr. Ralf Gröper (<strong>DFN</strong>-<strong>Verein</strong>)<br />
IPv6 in der <strong>DFN</strong>-PKI<br />
Im Rahmen der <strong>DFN</strong>-Betriebstagung wurde<br />
Anfang März 2009 das neue <strong>DFN</strong>-CERT<br />
Portal bereitgestellt. Über dieses Portal<br />
erhalten Anwender einfachen Zugriff auf<br />
die Dienste, die im Rahmen des <strong>DFN</strong>-CERT<br />
zur Verfügung gestellt werden. Im ersten<br />
Schritt wurden die bekannten „Automatischen<br />
Warnmeldungen“ funktional<br />
erweitert und in das Portal integriert.<br />
Einen ausführlichen Bericht hierzu gibt es<br />
in diesen <strong>DFN</strong>-Mitteilungen. M<br />
Interne Hostnamen in der<br />
<strong>DFN</strong>-PKI<br />
Viele Einrichtungen haben interne Server-Strukturen,<br />
für die Zertifikate mit<br />
Namen ausgestellt werden, die nur eine<br />
interne Bedeutung haben: Beispielsweise<br />
CN=exchange.local oder CN=mail, oder<br />
aber interne IP-Adressen wie 10.0.0.1. Bis<br />
2012 konnten diese Namen in der <strong>DFN</strong>-PKI<br />
und bei kommerziellen Zertifizierungsstellen<br />
uneingeschränkt verwendet werden.<br />
Dieses Vorgehen ist in Zukunft durch die<br />
Baseline Requirements des CA/Browser Forums<br />
nicht mehr zulässig. Daher werden<br />
seit der Version 2.3 der Policy der <strong>DFN</strong>-PKI<br />
vom 26.6.2012 Server-Zertifikate mit solchen<br />
Namen automatisch nur noch mit einem<br />
Ablaufdatum bis zum 01.11.2015 ausgestellt.<br />
Bereits ausgestellte Zertifikate dieser<br />
Art müssen durch die <strong>DFN</strong>-PCA spätestens<br />
am 01.10.2016 gesperrt werden. Diese<br />
Regelung betrifft nicht nur die <strong>DFN</strong>-PKI,<br />
sondern auch alle anderen CAs mit einer<br />
Browser-Verankerung.<br />
Für die <strong>DFN</strong>-Anwender bedeutet das, dass<br />
sie ihre internen Dienste, die nicht mit weltweit<br />
auflösbaren FQDNs oder mit registrierten<br />
IP-Adressen versehen sind, ab 2015<br />
nicht mehr mit im Browser verankerten<br />
Zertifikaten versehen können. Ein allgemeingültiger<br />
Migrationspfad für Anwender,<br />
die solche Zertifikate verwenden, kann<br />
nicht angegeben werden, aber der <strong>DFN</strong> und<br />
die <strong>DFN</strong>-PCA unterstützen die Anwender<br />
natürlich dabei, eine für ihre Einrichtung<br />
passende Lösung zu finden. M<br />
Vertipper-Domains<br />
Dem <strong>DFN</strong>-CERT wurden im März 2013 mehrere<br />
bei der Denic registrierte ‚Vertipper‘-<br />
Domains gemeldet. Diese beziehen sich auf<br />
unterschiedliche Einrichtungen und sind<br />
immer in der gleichen Art aufgebaut: rz-*.<br />
de, also beispielsweise „rz-uni-musterstadt.<br />
de“. Die Domains wurden von zwei bekannten<br />
Domain-Grabbern registriert und werden<br />
hauptsächlich bei Sedo vermarktet. Eine<br />
mögliche Gefahr besteht, falls die Domains<br />
auf einen Server zeigen, auf dem<br />
beispielsweise eine Phishing-Seite oder<br />
SSH-Zugang eingerichtet ist und die eingegebenen<br />
Daten unbedarfter Nutzer aufgezeichnet<br />
werden. Die betroffenen Einrichtungen<br />
wurden vom <strong>DFN</strong>-CERT informiert<br />
und können über das Widerspruchsverfahren<br />
bei der Denic die Löschung bzw.<br />
Übernahme der Domains beantragen. M<br />
Netzwerkdrucker als<br />
DDoS-Waffe<br />
Im April wurde dem <strong>DFN</strong>-CERT die Beteiligung<br />
von mehreren IP-Adressen an<br />
DDoS-Angriffen gemeldet. Die Untersuchung<br />
zeigte, dass unter diesen IP-Adressen<br />
Drucker und ähnliche Geräte mit<br />
(Web-)Konfigurationsschnittstellen vom<br />
öffentlichen Internet heraus erreichbar<br />
waren. Diese Schnittstellen stellen eine<br />
hohe Einbruchsgefahr dar, da sie oftmals<br />
in der Werkskonfiguration mit bekannten<br />
Standard-Benutzernamen und Passwörtern<br />
versehen sind und zudem häufig ausnutzbare<br />
Schwachstellen enthalten. Solche<br />
von außen erreichbare Geräte werden mit<br />
hoher Wahrscheinlichkeit angegriffen, da<br />
sie von Suchmaschinen indiziert werden<br />
und somit mittels einer einfachen Suchmaschinen-Abfrage<br />
gefunden werden können.<br />
Mit dem Netzwerkprüfer im <strong>DFN</strong>-CERT<br />
Portal können Anwender im Voraus erkennen,<br />
welche Systeme in ihren Netzen von<br />
außen sichtbar sind und so Drucker und<br />
ähnliche Systeme durch entsprechende<br />
Firewall-Regeln gegen derartige Angriffe<br />
schützen. M<br />
Kontakt<br />
Wenn Sie Fragen oder Kommentare<br />
zum Thema „Sicher heit im <strong>DFN</strong>“ haben,<br />
schicken Sie bitte eine Mail an<br />
sicherheit@dfn.de.
40 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | RECHT<br />
Wissenschaftsparagraph geht<br />
in die Verlängerung<br />
Dritter Anlauf für § 52a Urheberrechtsgesetz<br />
Selten wurde eine Vorschrift so heftig und lange diskutiert wie diese: § 52a Urhebergesetz<br />
(UrhG), in Fachkreisen auch „Wissenschafts- bzw. E-Learning-Paragraph“ genannt.<br />
Für Hochschulen ist er eine nicht mehr wegzudenkende Norm. Der Verlagsindustrie<br />
ist er dagegen ein Dorn im Auge. Dessen Reichweite beschäftigt Gerichte seit<br />
Jahren. Nun gewährte der Gesetzgeber eine Verlängerung der Norm bis 2014 – zum<br />
dritten Mal in Folge. Welche Konsequenzen dies unter anderem für den schwelenden<br />
Vergütungsstreit zwischen Wissenschaftseinrichtungen und Verlagsindustrie haben<br />
wird, wird sich innerhalb der nächsten zwei Jahre – hoffentlich – zeigen.<br />
Text: Susanne Thinius (Forschungsstelle Recht im <strong>DFN</strong>)<br />
Die Vorschrift<br />
§ 52a UrhG erlaubt es als sogenannte „Schrankenregelung des Urheberrechts“<br />
Hochschulen und schulischen Einrichtungen, veröffentlichte<br />
Werkteile, Werke geringen Umfangs sowie einzelne<br />
Beiträge aus Zeitungen oder Zeitschriften für einen bestimmt abgegrenzten<br />
Kreis von Unterrichtsteilnehmern zum Online-Abruf<br />
(beispielsweise im Intranet) bereitzustellen. Dies muss zum angestrebten<br />
Zweck geboten und zur Verfolgung nicht kommerzieller<br />
Zwecke gerechtfertigt sein. Für die Bereitstellung muss eine angemessene<br />
Vergütung an die Autoren oder stellvertretend die Verwertungsgesellschaften<br />
gezahlt werden. Insbesondere E-Learning-<br />
Plattformen profitieren von dieser Vorschrift. Denn § 52a UrhG<br />
ermöglicht Hochschulen, ohne die Zustimmung des Urhebers<br />
dessen Werk im Intranet hochzuladen und Studierenden auf diese<br />
Weise zur Verfügung zu stellen.<br />
Durch die Instanzen<br />
Das Landgericht Stuttgart hat als erstes Instanzengericht in seinem<br />
Urteil vom 27.09.2011 (Az.: 17 O 671/10) die Bedeutung des<br />
§ 52a UrhG für die Wissenschaft und die Notwendigkeit des Zugangs<br />
digitaler Studienliteratur hervorgehoben. Noch damals legte<br />
das Gericht fest, dass lediglich 3 Seiten eines Werkes speicherbar<br />
und maximal 10 % eines Werkes zum Lesen und Ausdrucken<br />
für die Nutzer von E-Learning-Plattformen zugänglich gemacht<br />
werden können (siehe dazu ausführlich Herring, „Die Vorschrift<br />
des § 52a Urheberrechtsgesetz – ein Auslaufmodell?“, <strong>DFN</strong>-Infobrief<br />
Recht 1/2012).<br />
Im Anschluss daran urteilte das Oberlandesgericht Stuttgart<br />
am 4.4.2012 (Az.: 4 U 171/11) jedoch, dass stets eine am Einzelfall<br />
orientierte Sichtweise hinsichtlich des Umfangs eines Werkes<br />
anzusetzen sei und verwarf die Beurteilung anhand fester<br />
Prozent- und Seitenzahlen. Vielmehr sei eine Abwägung zwischen<br />
Nutzerinteresse nach öffentlichem Zugang und der<br />
Beeinträchtigung der Rechteinhaber vorzunehmen (eine detaillierte<br />
Urteilsanalyse findet sich bei Fischer, „Es bleibt alles<br />
anders! OLG Stuttgart zur Reichweite des § 52a Urheberrechtsgesetz“,<br />
<strong>DFN</strong>-Infobrief Recht 3/2012). Die Rechtsprechung des<br />
Landgerichts Stuttgart wurde damit zum Teil erheblich abgeändert.<br />
Verlängerung schubweise<br />
Bereits 2003 wurde § 52a UrhG in das UrhG eingefügt. Die Befürchtungen<br />
der wissenschaftlichen Verleger vor unzumutbaren<br />
Beeinträchtigungen berücksichtigend, wurde die Norm zu-
RECHT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
41<br />
nächst bis 31.12.2006 befristet. Eine Verlängerung folgte erstmalig<br />
im Jahr 2006 um zwei Jahre und 2008 um weitere vier Jahre<br />
– bis zum 31.12.2012. Die Auswirkungen der Norm auf die<br />
Praxis konnten trotz mehrfacher Evaluierungen bis dahin nicht<br />
abschließend beurteilt werden.<br />
Nun beschloss die CDU/CSU-Bundestagsfraktion im November<br />
2012 – quasi in letzter Minute vor Fristablauf – einen Gesetzentwurf<br />
zur Verlängerung des § 52a UrhG bis 31.12.2014.<br />
Grund für die erneute Verlängerung ist neben der Hoffnung auf<br />
Aufklärung der Auswirkungen auf die Praxis auch die Tatsache,<br />
dass sich die Hochschulen und die VG Wort (Verwertungsgesellschaft<br />
Wort) nicht auf eine Vergütung für die Nutzung der E-Learning-Materialien<br />
einigen können. Ein weiterer wichtiger Aspekt<br />
ist, dass netzgestützte Lehr- und Forschungsstrukturen (in Form<br />
elektronischer Semesterapparate) ermöglicht werden sollen. Dieses<br />
Ziel wird eben nicht nur durch vertragliche <strong>Verein</strong>barungen<br />
mit den Verlagen direkt erreicht, sondern auch durch die Schrankenregelung<br />
des § 52a UrhG.<br />
Es wird nun Aufgabe des Bundesgerichtshofes sein, dem lang<br />
anhaltenden Vergütungsstreit ein möglichst schnelles Ende zu<br />
bereiten und Licht ins Dunkel der Reichweite dieses umstrittenen<br />
Paragraphen zu bringen. Beim Bundesgerichtshof sind momentan<br />
mehrere Musterprozesse anhängig, die es demnächst<br />
zu entscheiden gilt.<br />
Denn fest steht auch, dass die fortwährende Verlängerung der<br />
Norm eine erhebliche Rechtsunsicherheit mit sich bringt, da<br />
viele Wissenschaftseinrichtungen, darunter auch Hochschulen,<br />
den Betrieb der E-Learning-Plattformen nicht verlässlich planen<br />
können. Sie fordern daher die gänzliche Entfristung der Norm.<br />
Die Wissenschaftsverlage dagegen plädieren für eine komplette<br />
Abschaffung der Norm.<br />
Konsequenzen für die Hochschulpraxis<br />
Für die Hochschulen bringt die erneute Verlängerung neben<br />
Rechtsunsicherheit aber auch immense Vorteile: Digitale Unterstützungsmöglichkeiten<br />
in Unterricht und Vorlesungen sind<br />
kaum mehr aus der Wissenschaftswelt wegzudenken. Modernes<br />
Lernen und Forschen wäre ohne die erwähnten technischen und<br />
didaktischen Mittel nicht mehr möglich. Der Wissenschaftsstandort<br />
Deutschland würde an Wettbewerbsfähigkeit einbüßen.<br />
Bleibt zu hoffen, dass in den kommenden zwei Jahren eine dauerhafte<br />
Regelung für Forschung und Lehre geschaffen wird, die<br />
gleichermaßen den Interessen von Wissenschaft sowie Verlagen<br />
bzw. Autoren dient. M<br />
Foto: © Andres Rodriguez - Fotolia.com
42 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | RECHT<br />
Das Ende für den Newsletter!?<br />
Oberlandesgericht München: E-Mail-Versand mit der Bitte um Bestätigung der<br />
Anmeldung stellt belästigende Reklame dar<br />
Bisher konnte davon ausgegangen werden, dass die Frage, wann die Zusendung von<br />
Newslettern zulässig ist, sich nach dem sogenannten „Double-Opt-In-Verfahren“<br />
bestimmt. Dabei gibt der Adressat zunächst seine E-Mail-Adresse an und erhält daraufhin<br />
einen Bestätigungslink zugeschickt, um sicherzustellen, dass er die Eintragung<br />
auch tatsächlich vorgenommen hat. Diese bisherige Praxis hat das Oberlandesgericht<br />
München mit Urteil vom 27.09.2012 (Az.: 29 U 1682/12) nunmehr in Frage gestellt,<br />
indem es die per E-Mail verschickte Bitte um Bestätigung eines Newsletter-Abos als<br />
belästigende Reklame und somit als Spam angesehen hat. Die Konsequenz dieser<br />
Ansicht wäre, dass das dargestellte Verfahren nicht mehr angewandt werden könnte,<br />
da bereits die Bestätigungs-E-Mail des Anbieters unzulässige Werbung darstellt. Anderweitige<br />
Lösungsvorschläge für den rechtskonformen Versand eines Newsletters<br />
bleibt das Gericht jedoch schuldig. Bedeutet dies das Ende für den elektronischen<br />
Newsletter?<br />
Text: Julian Fischer (Forschungsstelle Recht im <strong>DFN</strong>)<br />
I. Einleitung<br />
Das Versenden von Newslettern ist auch in Zeiten von Social-<br />
Media (Facebook, Twitter etc.) sowie stets aktualisierter Homepageseiten<br />
eine der erfolgreichsten Möglichkeiten, um interessierte<br />
Nutzer stets auf dem aktuellen Stand zu halten. Mittlerweile<br />
gibt es spezielle Rund-E-Mails zu jedem erdenklichen Thema<br />
und für jeden Bereich. Durch die Möglichkeit der Mitteilung<br />
neuer Informationen besteht – speziell für Hochschulen – die<br />
Möglichkeit, über jeden Vortrag, jede Vorlesungsänderung oder<br />
kürzlich zur Verfügung gestellte Materialien schnell und einfach<br />
zu berichten.<br />
E-Mail-Versand nur mit Einwilligung<br />
So informativ der Newsletter-Versand auch ist, so lästig kann er<br />
werden, sofern Newsletter verschickt werden, die den Empfänger<br />
nicht interessieren oder deren zunehmende Anzahl ganze E-<br />
Mail-Postfächer verstopfen. Mit dem Sichten und Aussortieren<br />
von E-Mails ist unzweifelhaft Arbeitsaufwand verbunden und<br />
durch die Übermittlung der E-Mail-Datenmengen können ggf.<br />
zusätzliche Kosten durch den Provider anfallen. Daher muss,<br />
gerade vor dem Hintergrund zunehmender Spam-E-Mails, mehr<br />
denn je die Einhaltung der juristischen Vorgaben Beachtung finden.<br />
Insoweit hat der <strong>DFN</strong>-<strong>Verein</strong> bereits frühzeitig mit dem weit<br />
verbreiteten Irrtum aufgeräumt, dass Newsletter oder Werbeinhalte<br />
auch ohne Zustimmung des Empfängers verschickt werden<br />
dürfen (hierzu: Golla, Zwölf hartnäckige Irrtümer, Die neuen<br />
„Klassiker“ der juristischen Fehleinschätzung bei Homepages in:<br />
<strong>DFN</strong>-Infobrief Recht September 2010, S. 2 – 4). Für den rechtskonformen<br />
Newsletter-Versand gilt dabei zunächst das sog. „Opt-In-<br />
Verfahren“, wonach der Besteller ausdrücklich in den Erhalt der<br />
E-Mail einwilligen muss. Anderenfalls verhält der Versender sich<br />
wettbewerbswidrig und kann schließlich abgemahnt werden, vgl.<br />
§ 7 Abs. 2 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb)<br />
i. V. m. § 8 Abs. 3 UWG. Der Anbieter eines Newsletters darf daher<br />
seine Informationen grundsätzlich nur dann verschicken,<br />
wenn er zunächst eine Einwilligung des Empfängers erhalten<br />
hat („Opt-In“).
RECHT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
43<br />
Foto: © guentermanaus - Fotolia.com<br />
Gefahr der Abmahnung<br />
Zwar stehen Hochschulen nicht zwingend in einem konkreten<br />
Wettbewerbsverhältnis, da sie – was insbesondere auf reine Informations-E-Mails<br />
zutrifft – nicht versuchen, gleichartige Waren<br />
oder Dienstleistungen innerhalb desselben Endverbraucherkreises<br />
abzusetzen (§ 2 Abs. 1 Nr. 3 UWG). Nichtsdestotrotz besteht<br />
auch bei ihnen über die Vorschriften des Bürgerlichen Gesetzbuches<br />
(§§ 823 Abs. 1, 1004 BGB) die Gefahr der Inanspruchnahme<br />
auf Unterlassung, verbunden mit einer meist kostspieligen<br />
Abmahnung. Schließlich sind auch abseits wettbewerbsrechtlicher<br />
Ansprüche noch Ansprüche wegen eines Eingriffs in das allgemeine<br />
Persönlichkeitsrecht des Postfachinhabers oder, sofern<br />
es sich um Firmenadressen handelt, in den ebenfalls geschützten<br />
Gewerbebetrieb möglich.<br />
II. Juristische Vorgaben für den Newsletter-Versand<br />
„Double-Opt-In“-Verfahren<br />
Als gute und abgesicherte Methode beim Versand von Newslettern<br />
hat sich, in Anlehnung an die juristischen Vorgaben, das<br />
sog. „Douple-Opt-In-Verfahren“ herausgebildet, das vor allem<br />
auch von Seiten der Gerichte als rechtskonform akzeptiert wurde.<br />
Hierbei handelt es sich um ein sog. doppeltes Einwilligungsverfahren,<br />
bei der ein interessierter Empfänger zunächst seine<br />
E-Mail-Adresse auf der Homepage des Versenders einträgt und<br />
daraufhin – häufig automatisiert – eine Bitte um Bestätigung<br />
seiner Anmeldung per E-Mail erhält. Damit die einwilligungsbedürftige<br />
Anmeldung des Newsletter-Dienstes rechtskonform<br />
abgeschlossen werden konnte, bedurfte es noch einer entsprechenden<br />
Bestätigung von Seiten des Postfachinhabers, indem<br />
er beispielsweise auf einen Aktivierungslink in der E-Mail klickt.<br />
Erst dann durfte der Anbieter sicher sein, dass der Newsletter-<br />
Beitritt auch wirklich vom Adresseninhaber veranlasst worden<br />
ist und dieser in den entsprechenden Verteiler mit aufgenom-
44 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | Recht<br />
men werden möchte. Durch die Rücksendung/Aktivierung der<br />
Bestätigungs-E-Mail konnte der Anbieter schließlich auch den<br />
ihm obliegenden Beweis der Einwilligung erbringen.<br />
Um hierbei dem Grundsatz der Datensparsamkeit gerecht zu<br />
werden, darf in den Abfragefeldern der Newslettereintragung<br />
nur nach der E-Mail-Adresse gefragt werden. Zusätzliche Angaben<br />
wie Name, Adresse etc. sind für die Versendung der Newsletter-<br />
bzw. Bestätigungs-E-Mail nicht erforderlich und daher datenschutzrechtlich<br />
unzulässig.<br />
Austragungsmöglichkeit und Impressumspflicht<br />
Darüber hinaus muss der Besteller jederzeit die Möglichkeit haben,<br />
den Newsletter wieder abzubestellen. Hierzu genügt es, wenn für<br />
ihn am Ende der E-Mail die Option besteht, sich durch Klicken eines<br />
Abmelde-Links wieder aus dem Verteiler austragen zu lassen.<br />
Zu guter Letzt musste noch der Impressumspflicht genüge getan<br />
werden, da es sich bei dem Newsletter um einen Telemediendienst<br />
handelt. Das Impressum musste dabei – entsprechend<br />
den hierbei geltenden Vorgaben – über zwei Klicks erreichbar<br />
und jederzeit verfügbar sein (siehe hierzu: Recht im <strong>DFN</strong>, Wissensbasis,<br />
Abs. III, Angebot von abrufbaren Inhalten, Informationspflicht<br />
beim Betrieb von Tele- und Mediendiensten (Impressumspflicht)).<br />
Gewährleistet werden konnte dies dadurch, dass im<br />
Newsletter ein Link auf die Homepage des Anbieters gesetzt wird.<br />
III. Zusendung der Bestätigungs-E-Mail im<br />
„Double-Opt-In-Verfahren“<br />
Bisherige Rechtsprechung<br />
Bei dem oben dargestellten Verfahren blieb jedoch stets fraglich,<br />
ob nicht die Zusendung der Bestätigungs-E-Mail im Rahmen<br />
des „Double-Opt-In-Verfahrens“ seinerseits bereits unzulässig<br />
ist. Diese Überlegung und Diskussion beschränkte sich bisher<br />
allerdings allein auf die juristische Literatur. Auf Rechtsprechungsebene<br />
schien die Problematik spätestens beantwortet,<br />
als der Bundesgerichtshof (BGH) am Rande eines Urteils vom 10.<br />
02. 2011 (Az.: I ZR 164/09) zur Zulässigkeit von Werbeanrufen erklärte,<br />
dass derjenige, dessen E-Mail-Adresse mit der vermeintlich<br />
ihm zugehörigen Telefonnummer elektronisch abgegeben<br />
wurde, um eine Bestätigung seines Teilnahmewunsches per E-<br />
Mail gebeten werden darf.<br />
Amts- (AG Hamburg, Urteil vom 11. 10. 2006, Az.: 6 C 404/06; AG<br />
München, Urteil vom 30. 11. 2007, Az.: 161 C 29330/06) und Landgerichte<br />
(LG Berlin, Urteil vom 23. 01. 2007, Az.: 15 O 346/06) hatten<br />
sich bereits zuvor, speziell für den Bereich der Newsletter-<br />
Anmeldung, für die Zulässigkeit des Zusendens einer Bestätigungs-E-Mail<br />
ausgesprochen. Einzige Ausnahme, bei der selbst<br />
der Versand einer Überprüfungs-E-Mail unzulässig blieb, war der<br />
Fall, dass der Versender sicher wusste, dass die E-Mail-Adresse<br />
von jemand anderem eingetragen wurde.<br />
Das Urteil des OLG München<br />
Mit dem oben angegebenen Urteil des OLG München wird die Frage<br />
der rechtlichen Zulässigkeit des Zusendens der Bestätigungs-<br />
E-Mail im Newsletter-Anmeldeverfahren erstmalig auch auf gerichtlicher<br />
Ebene in Frage gestellt. Dem Urteil lag die Klage einer<br />
Steuerberatungsgesellschaft gegen eine Anlageberatungsfirma<br />
zugrunde. Dabei gaben die Richter – entgegen der Vorinstanz (LG<br />
München, Urteil vom 13. 03. 2012, Az.: 33 O 11089/11) – der Klägerin<br />
Recht, indem sie den Versand der E-Mail mit der Bitte um Bestätigung<br />
der (kostenlosen) Newsletter-Anmeldung als rechtlich<br />
unzulässig einstuften. Das Gericht erklärte, dass es für die Zusendung<br />
von E-Mails stets der Einwilligung des Postfachinhabers –<br />
hier der Steuerkanzlei – bedürfe („Opt-In-Verfahren“). Für deren<br />
Vorliegen sei die Anlageberatung beweispflichtig und könne diesen<br />
Beweis nicht antreten. Daher sei die gleichwohl erfolgte Zusendung<br />
sowohl als Wettbewerbsverstoß als auch als Eingriff in<br />
den Gewerbebetrieb einzustufen. Daran könne schließlich auch<br />
die Tatsache nichts ändern, dass es sich um eine E-Mail handele,<br />
mit der zur Bestätigung einer Bestellung im Rahmen des „Double-Opt-In-Verfahrens“<br />
aufgefordert wird. Diese Vorgehensweise<br />
stelle konsequentermaßen eine unbestellte Dienstleistung dar<br />
und sei folglich als unzulässige Werbung im Sinne des § 7 Abs.<br />
2 Nr. 3 UWG einzustufen. Immerhin verfolge die Beklagte damit<br />
das Ziel, die Erbringung ihrer Dienstleistung (Anlageberatung) zu<br />
fördern. Ebenfalls keine Änderung könne sich aus der Tatsache<br />
ergeben, dass es bei dem Versand der Bestätigungs-E-Mail lediglich<br />
um das Bestreben gehe, eine ausdrückliche Einwilligung des<br />
Adressaten für weitere Werbemaßnahmen zu erlangen. Auch die<br />
Bestätigungs-E-Mail sei eine unmittelbar in Zusammenhang mit<br />
der Förderung ihrer Anlageberatungstätigkeit stehende Maßnahme.<br />
Für das geltende Einwilligungserfordernis sei es nun einmal<br />
auch nicht erforderlich, dass bereits die (Bestätigungs-)E-Mail<br />
selbst eine Werbebotschaft enthalte. Der Aufwand zur Durchsicht<br />
und Löschung unbestellter E-Mails sei hiervon unabhängig.<br />
Die Zusendung der E-Mail sei insoweit auch deswegen als rechtswidrig<br />
anzusehen, da mit ihr ein unzumutbar belästigender Charakter<br />
einhergehe. Das Gericht betont in diesem Zusammenhang,<br />
dass im Hinblick auf die billige, schnelle und aufgrund der Automatisierung<br />
auch arbeitsparende Versendungsmöglichkeit der<br />
E-Mail-Werbung mit einem immer weiteren Umsichgreifen dieser<br />
Werbeart zu rechnen sei, sofern hier keinerlei Einschränkungen<br />
vorgenommen werden.
RECHT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
45<br />
IV. Einordnung des Urteils und Konsequenz<br />
Das Urteil des OLG München stellt die gesamte bisher ergangene<br />
instanzgerichtliche Rechtsprechung zum zulässigen Versand<br />
einer Bestätigungs-E-Mail in Frage. Nach Ansicht der OLG-Richter<br />
lässt sich nicht zwischen einer Bestätigungs-E-Mail und einer<br />
üblichen Werbe-E-Mail differenzieren.<br />
Offensichtlich wollte das OLG München darauf hinweisen, dass<br />
es keinen Unterschied machen dürfe, um welche Art der zugestellten<br />
und dann im Postfach befindlichen E-Mail es sich handelt,<br />
sofern es an einer vorherigen rechtskonform erteilten<br />
Einwilligung fehlt. Anderenfalls würde letztlich zwischen den<br />
transportierten Dateninhalten (Überprüfungs- oder Werbe-<br />
E-Mail) unterschieden, was wiederum zu weiterführenden unlösbaren<br />
Widersprüchen führen könnte. Das Gericht sieht vor<br />
allem auch den wirksamen Schutz vor zunehmenden Spam-E-<br />
Mails in Frage gestellt, dessen große Bedeutung es an verschiedenen<br />
Stellen des Urteils herausstellt.<br />
Praxisuntauglich<br />
Auf der anderen Seite scheinen die Richter die praktische Notwendigkeit<br />
des Newsletter-Anbieters zu vergessen, sich über die<br />
Bestätigungs-E-Mail Gewissheit darüber zu verschaffen, ob der<br />
Postfachinhaber tatsächlich an der Aufnahme des Newsletter-<br />
Versands interessiert ist. Das Problem liegt darin, dass die meist<br />
auf der Homepage befindliche Eintragungsmaske sich eben nicht<br />
als Einwilligung einstufen lässt, da dort jeder die E-Mail-Adresse<br />
eines beliebigen Postfachinhabers eintragen kann. Der Newsletter-Anbieter<br />
darf aus datenschutzrechtlichen Gründen aber keine<br />
anderweitigen (Überprüfungs-)Angaben als die der E-Mail-Adresse<br />
vom Nutzer erfragen. Dies führt zu der Konsequenz, dass<br />
er sich auch nur auf diesem Wege die Gewissheit über die Frage<br />
der tatsächlich gewollten Aufnahme in den Newsletter verschaffen<br />
kann. Daher besteht für den Versender des Newsletters<br />
keine andere Möglichkeit der Überprüfung, als per E-Mail<br />
den Postfachinhaber der angegebenen E-Mail-Adresse um eine<br />
entsprechende Bestätigung zu bitten. Insoweit gehen die Vorgaben<br />
des OLG München an den praktischen Gegebenheiten vorbei.<br />
Jeder Anbieter eines Newsletters würde sich der Gefahr aussetzen,<br />
dass er eine Bestätigungs-E-Mail verschickt, aufgrund<br />
derer er zulässigerweise abgemahnt werden könnte. Dieses Ri-<br />
Foto: © Tiniiiii - photocase.de
46 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | RECHT<br />
siko würden vermutlich die wenigsten – die ihr Angebot ohnehin<br />
zumeist als benutzerfreundlichen Service verstehen – eingehen.<br />
Am Ende würde der elektronische Newsletter daher quasi<br />
vor dem Aus stehen.<br />
Alternative: Verzicht auf ein automatisiertes Verfahren<br />
Als denkbare Alternative, die auch mit den Vorgaben der Richter<br />
aus München in Einklang zu bringen wäre, käme die Möglichkeit<br />
in Betracht, auf einen automatisierten Bestellvorgang des<br />
Newsletter-Versandes zu verzichten und das Erfordernis einer<br />
eigenhändigen Bestellung von Seiten des Postfachinhabers einzuführen.<br />
Hierdurch wäre die Gefahr gebannt, dass Unbekannte<br />
durch bloße Angabe der E-Mail-Adresse das Zusenden der Bestätigungs-E-Mail<br />
auslösen könnten. Diese wäre vor dem Hintergrund<br />
der ausschließlich individuellen Anforderung auch überhaupt<br />
nicht mehr erforderlich. Inwieweit diese Variante dem,<br />
auf unkomplizierte Eintragung und Versand angelegten, Newsletter<br />
dann noch gerecht wird, ist allerdings höchst zweifelhaft.<br />
Schließlich müsste – anstelle eines automatisierten Verfahrens<br />
– jede E-Mail einzeln bearbeitet und die E-Mail-Adressen in den<br />
Newsletter-Versand mit aufgenommen werden. Darüber hinaus<br />
würde mit großer Sicherheit durch die Umstellung die Zahl der<br />
Interessenten deutlich reduziert. Ob Ertrag und Aufwand des<br />
Newsletter-Angebots dann noch in einem vernünftigen Verhältnis<br />
zueinander stehen, darf stark bezweifelt werden.<br />
Dokumentationsmöglichkeit mittels Logfile ratsam<br />
Hoffnung verspricht daher die zugelassene Revision zum BGH,<br />
der bereits in einem ähnlichen Fall den Versand einer Bestätigungs-E-Mail<br />
für zulässig erachtet hat. Eine Änderung dieser<br />
höchstrichterlichen Sichtweise dürfte – vor allem aus Praktikabilitätsgründen<br />
– nicht zu erwarten sein. Nicht zuletzt wäre eine<br />
Bestätigung der Ansicht des OLG München ein bedenklicher<br />
Rückschritt des Online-Rechts um viele Jahrzehnte. Vor diesem<br />
Hintergrund und der Tatsache, dass es sich bisher um ein äußerst<br />
fragwürdiges Einzelurteil handelt, erscheint eine Veränderung<br />
des Newsletter-Versands in der Hochschulpraxis nicht<br />
zwingend erforderlich zu sein. Auch hat sich im Anschluss an das<br />
Urteil weder eine Abmahnwelle noch eine Umstellung bei anderweitigen<br />
(kommerziellen) Newsletter-Angeboten ergeben, bei<br />
denen durch das Bestehen einer Wettbewerbssituation die Gefahr<br />
einer Abmahnung als wesentlich höher einzuschätzen ist.<br />
Wichtiger denn je ist in jedem Fall die Dokumentation, um zumindest<br />
belegen zu können, dass eine Newsletter-Anforderung<br />
tatsächlich erfolgt ist und dem Versand der Bestätigungs-E-Mail<br />
eine vorherige Aufforderung zu Grunde lag. Dies lässt sich beispielsweise<br />
dadurch erreichen, dass die IP-Adresse mittels eines<br />
Logfiles festgehalten wird. Die beklagte Anlageberatungsfirma<br />
konnte einen derartigen Beweis während des gesamten Verfahrens<br />
jedenfalls nicht erbringen.<br />
V. Fazit<br />
Das Urteil des OLG München lässt sich aus juristischer Sichtweise<br />
nicht zwingend als Fehlurteil einstufen. Es macht vielmehr<br />
darauf aufmerksam, dass jeder E-Mail-Versand der vorherigen<br />
Einwilligung des Postfachinhabers bedarf. Konsequenterweise<br />
gilt dieses Erfordernis auch für den Versand einer E-Mail, mit der<br />
der Postfachinhaber aufgefordert wird, eine zuvor im Newsletter-Angebot<br />
eingetragene E-Mail-Adresse zu bestätigen.<br />
Allerdings scheinen die Richter die Konsequenz zu ignorieren,<br />
dass dem Anbieter eines Newsletters keine andere Daten als die<br />
der E-Mail-Adresse zur Verfügung stehen und er sich demzufolge<br />
auch nur auf diesem Weg Gewissheit darüber verschaffen kann,<br />
ob der Postfachinhaber tatsächlich in den Newsletter-Versand<br />
aufgenommen werden möchte. Das dahinter stehende Einwilligungserfordernis<br />
kann nicht dazu führen, dass jeglicher Verkehr<br />
auf elektronischem Wege derart risikobehaftet ist, dass er faktisch<br />
durch die Gerichte verhindert wird. Es muss möglich sein,<br />
erwünschte E-Mails und Newsletter weiterhin an Interessenten<br />
zu versenden und gleichzeitig die missbräuchliche Eintragung<br />
in E-Mail-Verteilern herauszufiltern.<br />
Das insoweit bislang für rechtsprechungskonform angesehene<br />
„Double-Opt-In-Verfahren“ hat sich vor diesem Hintergrund absolut<br />
bewährt. Somit bestand auch überhaupt keine Veranlassung<br />
derart weitgehende Zweifel aufkommen zu lassen. Bei der<br />
Bestätigungs-E-Mail handelt es sich schließlich um einen Schutz<br />
vor unerwünschten E-Mails und um eine Absicherung, dass die<br />
erste Anforderung tatsächlich von dem Adressaten stammt. Der<br />
Aufwand des Löschens einer unerwünschten Bestätigungs-E-Mail<br />
ist zudem sehr gering. Diese Sichtweise scheint den, allein juristisch<br />
argumentierenden, Richtern des OLG München jedoch<br />
nicht zugänglich.<br />
Um den von ihrer Seite aufgestellten Anforderungen gerecht zu<br />
werden, käme als einzig denkbare Alternative der Verzicht auf<br />
ein automatisiertes Verfahren und die damit verbundene Umstellung<br />
auf eine individuelle Anforderung der Newsletter-Zusendung<br />
in Betracht. Ob dieser Rückschritt im Internet-Zeitalter<br />
vom BGH geteilt wird, ist aber ausgesprochen zweifelhaft. Es ist<br />
vielmehr zu erwarten, dass der BGH – ganz im Sinne der praktischen<br />
Notwendigkeit – die Zulässigkeit des jahrelang praktizierten<br />
„Douple-Opt-In-Verfahrens“ bestätigt. Der Zeitpunkt hierfür<br />
könnte jedenfalls nicht besser sein. M
RECHT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
47<br />
Wer sich auf Facebook präsentiert,<br />
muss viel preisgeben<br />
Zur Impressumspflicht für öffentliche Facebook-Fanseiten<br />
Sogenannte Facebook- Fanseiten sind stark in Mode – diesem Trend können sich<br />
deutsche Hochschulen schon seit einiger Zeit nicht mehr widersetzen. Doch auch bei<br />
dieser Form des öffentlichen Auftritts müssen gewisse Regeln beachtet werden – wie<br />
die Impressumspflicht. Ist das Impressum einer solchen „geschäftsmäßigen Webseite“<br />
unvollständig oder gänzlich nicht vorhanden, so kann das für die Webseitenbetreiber<br />
erhebliche Konsequenzen haben – u.a. einen Verstoß gegen das Wettbewerbsrecht.<br />
Dies entschied kürzlich das Landgericht (LG) Regensburg. Doch was droht den Betreibern<br />
im Falle eines Verstoßes und welche Angaben sind nun zwingend erforderlich?<br />
Text: Susanne Thinius (Forschungsstelle Recht im <strong>DFN</strong>)<br />
I. Rechtlicher Hintergrund der Impressumspflicht<br />
§ 5 Telemediengesetz (TMG) postuliert die Informations-<br />
(„Impressums“-)pflicht für Diensteanbieter von „geschäftsmäßigen,<br />
in der Regel gegen Entgelt angebotenen Telemedien“. Es müssen<br />
demnach Angaben wie Name und Anschrift sowie Rechtsform<br />
und Vertretungsberechtigter (Nr. 1), Informationen zur schnellen<br />
Kontaktaufnahme inklusive E-Mail-Adresse (Nr.2), die zuständige<br />
Aufsichtsbehörde (Nr. 3), Handelsregister und entsprechende<br />
Registernummer (Nr. 4), Umsatzidentifikationsnummer NR.
48 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | RECHT<br />
6) etc. leicht erkennbar, unmittelbar erreichbar und ständig verfügbar<br />
gehalten werden.<br />
Die Definition des Begriffes „Diensteanbieter“ und damit des<br />
Adressaten der Impressumspflicht aus § 5 TMG findet sich in § 2<br />
Nr. 1 TMG: darunter ist jede „natürliche oder juristische Person“<br />
zu verstehen, die „eigene oder fremde Telemedien zur Nutzung<br />
bereithält oder den Zugang zur Nutzung vermittelt“. Das sind an<br />
erster Stelle Anbieter von Inhalten wie Webseiten.<br />
Ein Diensteanbieter handelt „geschäftsmäßig“, wenn er Telemedien<br />
aufgrund einer nachhaltigen Tätigkeit mit oder ohne Gewinnerzielungsabsicht<br />
erbringt. „Nachhaltigkeit“ bedeutet in<br />
diesem Zusammenhang, dass die Tätigkeit auf einen längeren<br />
Zeitraum ausgerichtet ist und sich nicht auf einen Einzelfall beschränkt.<br />
Private Gelegenheitsgeschäfte fallen somit nicht unter<br />
den Begriff der Geschäftsmäßigkeit, wohl aber Hochschulauftritte<br />
in sozialen Netzwerken, die ihre Studenten, Mitarbeiter und<br />
Externe über ihre Angebote und Dienstleistungen informieren<br />
wollen und Raum für Meinungsaustausch und Diskussion bieten<br />
– und zwar auf Dauer angelegt.<br />
Die Informationspflichten des § 5 TMG dienen dem Verbraucherschutz<br />
und der Transparenz von geschäftsmäßig erbrachten Telediensten.<br />
Sie stellen aus diesem Grund sog. „Marktverhaltensregeln“<br />
i.S.d. § 4 Nr. 11 des Gesetzes gegen unlauteren Wettbewerb<br />
(UWG) dar. Ein Verstoß gegen § 5 TMG beziehungsweise die<br />
Nichteinhaltung der Voraussetzungen kann mithin ein unlauteres<br />
und gleichzeitig wettbewerbswidriges Verhalten darstellen.<br />
Dies wiederum kann Ansprüche aus dem UWG begründen, wie<br />
beispielsweise Unterlassungsansprüche nach § 8 UWG und Schadensersatzansprüche<br />
aus § 12 UWG. Im Rahmen dessen wird von<br />
der Beklagtenpartei nicht selten gefordert, strafbewährte Unterlassungserklärungen<br />
abzugeben, bei deren Zuwiderhandlungen<br />
Ordnungsgelder oder gar Ordnungshaft fällig werden können.<br />
Schadensersatzansprüche können in Gestalt von vorgerichtlichen<br />
Anwalts- bzw. Abmahnkosten geltend gemacht werden.<br />
II. Entwicklung der Rechtsprechung in den<br />
vergangenen Jahren<br />
In den vergangenen Jahren gab es einige interessante Urteile<br />
und Beschlüsse zur Impressumspflicht von sozialen Netzwerken,<br />
insbesondere zu Facebook, unter anderem zu Adressat und<br />
Umfang dieser Pflicht. Ein eindeutiger Trend lässt sich erkennen:<br />
Geschäftsmäßige Webseiten-Betreiber werden stärker in<br />
die Pflicht genommen. Der augenscheinliche Grund dafür: Der<br />
„Kunde“ beziehungsweise Nutznießer einer Webseite soll umfassend<br />
darüber aufgeklärt werden, wer für deren Inhalte verantwortlich<br />
ist und an wen er sich im Zweifel zu wenden hat.<br />
So beschloss das Oberlandesgericht (OLG) Celle im vergangenen<br />
Jahr (Az. 13 U 72/12), dass Diensteanbieter derjenige ist, der die<br />
„Funktionsherrschaft“ über die Domain beziehungsweise das<br />
Telemedium hat. Das Telemedium war in diesem Fall eben auch<br />
eine zumindest geschäftsmäßige Webseite. Für eine solche bedeutet<br />
dies, dass der Unternehmer beziehungsweise der Arbeitgeber<br />
– und nicht etwa der einzelne Mitarbeiter – Diensteanbieter<br />
ist und somit die Verantwortung für die Richtigkeit des Impressums<br />
übernimmt.<br />
Das Landgericht Aschaffenburg hatte bereits mit Urteil aus dem<br />
Jahr 2011 (Az. 2 HK O 4/11) entschieden, dass im Falle einer (auch)<br />
geschäftsmäßigen beziehungsweise kommerziellen Nutzung eines<br />
Facebook-Profils oder sog. Facebook- Fanseiten eine Impressumspflicht<br />
nach § 5 TMG entsteht. Das gelte ebenfalls für Nutzer<br />
von (einfachen) Facebook- Accounts, wenn diese nicht nur<br />
rein privat genutzt werden. Die Weiterleitung via Link auf die unternehmenseigene<br />
Webseite mit dortigem Impressum genüge<br />
nicht, um das Fehlen des Impressums auf der Facebook-Seite zu<br />
kompensieren, so die Aschaffenburger Richter. Auch die Angabe<br />
von Anschrift und Telefonnummer allein genüge nicht den Impressums-Anforderungen.<br />
Wer sich also zu Marketingzwecken<br />
Facebook, Twitter und Co. bedient, den treffen strenge Impressumspflichten.<br />
Der Grundstein für das Urteil des LG Regensburg<br />
wurde damit gelegt.<br />
III. Urteil des Landgerichts Regensburg<br />
Das LG Regensburg hat in seiner jüngsten Entscheidung vom<br />
31.1.2013 (Az. 1 HK O 1884/12) nunmehr bestätigt, dass auch geschäftsmäßige<br />
Facebook-Seiten, die als Eingangskanal in Webseiten<br />
dienen, der allgemeinen Impressumspflicht nach § 5 TMG<br />
unterliegen. Das Fehlen einer solchen sei sogar wettbewerbswidrig,<br />
so die Regensburger Richter. Im konkreten Fall ging es<br />
um zwei IT-Systemhäuser, die ein sich ähnelndes Betriebsspektrum<br />
aufwiesen (Entwicklung von Software, Schulungen etc.).<br />
Das Gericht sah beide Parteien aufgrund der Gleichartigkeit des<br />
Leistungsangebots als Mitbewerber i.S.v. § 2 Nr. 3 UWG an, die in<br />
einem konkreten Wettbewerbsverhältnis stehen. Diesen Mitbewerbern<br />
stehen grundsätzlich wettbewerbsrechtliche Ansprüche<br />
zu, so § 8 Abs. 3 Nr. 1 UWG.<br />
Es kam, wie es kommen musste: Ein IT-Unternehmen klagte gegen<br />
das andere, weil es sich am Impressum des anderen Unternehmens<br />
auf dessen Facebook-Webseite störte. Das LG gab der<br />
Klage statt, da die Angaben im Impressum den Anforderungen<br />
des § 5 TMG tatsächlich nicht genügten. Konkret seien Name und<br />
Anschrift unvollständig gewesen und auch die Angabe über den<br />
Geschäftsführer und die zuständige Aufsichtsbehörde fehlten.<br />
Dies stelle laut Gericht einen Wettbewerbsverstoß i.S.d. § 4 Nr.<br />
11 UWG bzw. wettbewerbswidriges Verhalten dar. Nach § 4 Nr.
RECHT | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
49<br />
Foto: © ProMotion - Fotolia.com<br />
11 UWG sind Handlungen unlauter, die einer gesetzlichen Vorschrift<br />
(in diesem Falle § 5 TMG) zuwiderhandeln, die Marktverhaltensregeln<br />
darstellt. Diese Voraussetzungen erfüllt § 5 TMG.<br />
Das Gericht stellte nun fest, dass die Klägerin aus § 8 UWG einen<br />
Unterlassungsanspruch gegen die Beklagten und einen Anspruch<br />
auf Ersatz ihrer Aufwendungen (für entstandene Abmahnkosten)<br />
habe. Zudem verneinte das Gericht ein mögliches missbräuchliches<br />
Verhalten der Klägerin (i.S.d. § 8 Abs. 4 UWG) durch sog.<br />
Massenabmahnungen. Massenabmahnungen liegen nur dann<br />
vor, wenn die Tätigkeit der Klägerin hauptsächlich im Abmahnen<br />
selbst und nicht im angegebenen Betriebsfeld liege. Vielfach-<br />
oder Massenabmahnungen können dann einen Hinweis auf<br />
Rechtsmissbrauch geben, wenn mehr als 180 Mal innerhalb einer<br />
Woche durch dieselbe Person abgemahnt wird. Andere Umstände<br />
müssten allerdings noch hinzutreten, um einen Rechtsmissbrauch<br />
anzunehmen, z.B. eine überhöhte Vertragsstrafe, überhöhte<br />
Abmahngebühren etc.<br />
Die Entscheidung bestätigt also, was seit mindestens 2 Jahren<br />
diskutiert wird: Social-Media-Angebote sind zumindest dann impressumspflichtig,<br />
wenn sie geschäftsmäßig genutzt werden.<br />
IV. Auswirkungen auf die Hochschulpraxis<br />
Für Hochschulen sind diese Entscheidungen von aktueller Bedeutung,<br />
da es mittlerweile zum guten Ton einer jeden Hochschule,<br />
aber auch Einrichtungen, Instituten und Fakultäten gehört,<br />
sich in sozialen Netzwerken zu präsentieren und so eine<br />
neue Kommunikationsplattform anzubieten. Wie eingangs erwähnt,<br />
treten sie damit geschäftsmäßig auf. Die erwähnten Urteile<br />
finden somit Anwendung auf Hochschulen.<br />
Aus dem Regensburger Urteil lässt sich der Schluss ziehen, dass<br />
Mitbewerber von Hochschulen im wettbewerbsrechtlichen Sinne<br />
auch andere Hochschulen sein können, da sie gleichermaßen um<br />
Studenten werben und Dienstleistungen rund um Studium und<br />
Lehre anbieten. Sie stehen somit zueinander im konkreten Wettbewerbsverhältnis.<br />
Im Falle von unvollständigen Impressumsangaben<br />
– auch und gerade bei öffentlichen Facebook-Auftritten<br />
– kann deshalb jederzeit eine Abmahnung einer anderen Hochschule<br />
ins Haus flattern – je nachdem, wie gewissenhaft andere<br />
Hochschulen ihre Ordnungshüter-Eigenschaft wahrnehmen.<br />
Zu beachten für die Hochschulen ist, dass ein Impressum auch<br />
dann unvollständig ist, wenn lediglich eine gültige Adresse sowie<br />
Telefonnummer und E-Mail-Adresse angegeben werden. Auch<br />
die schnelle elektronische Kontaktaufnahme und die unmittelbare<br />
Kommunikationsmöglichkeit sind bereitzustellen. Korrekte<br />
und vollständige Impressumsangaben sind eben unverzichtbar,<br />
wenn kostspielige Abmahnungen oder gar Klagen vermieden<br />
werden sollen. Vorsicht ist also geboten!<br />
Es darf auf der anderen Seite jedoch nicht vergessen werden,<br />
dass letztlich eine Pflicht zur elektronischen Kommunikation<br />
nicht besteht. Angesichts der rechtlichen (Impressums- und anderen)<br />
Pflichten, die mit der Entscheidung zum Auftritt in sozialen<br />
Netzwerken wie Facebook einhergehen, sowie hinsichtlich<br />
datenschutzrechtlicher Bedenken sollte jede Einrichtung<br />
selbst über ihre öffentlichen Auftritte im Netz entscheiden können<br />
und müssen. M
50 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | <strong>DFN</strong>-VEREIN<br />
Übersicht über die Mitgliedseinrichtungen<br />
und Organe des <strong>DFN</strong>-<strong>Verein</strong>s (Stand: 05/2013)<br />
• Dr.-Ing. Christa Radloff (Univ. Rostock)<br />
• Prof. Dr. Peter Schirmbacher (HU zu<br />
Berlin)<br />
• Dr. Wolfgang A. Slaby (Kath. Univ.<br />
Eichstätt-Ingolstadt)<br />
• Prof. Dr. Horst Stenzel (FH Köln)<br />
Laut Satzung fördert der <strong>DFN</strong>-<strong>Verein</strong> die<br />
Schaffung der Voraussetzungen für die<br />
Errichtung, den Betrieb und die Nutzung<br />
eines rechnergestützten Informations- und<br />
Kommunikationssystems für die öffentlich<br />
geförderte und gemeinnützige Forschung<br />
in der Bundesrepublik Deutschland. Der<br />
Satzungszweck wird verwirklicht insbesondere<br />
durch Vergabe von Forschungsaufträgen<br />
und Organisation von Dienstleistungen<br />
zur Nutzung des Deutschen<br />
Forschungsnetzes.<br />
Als Mitglieder werden juristische Personen<br />
aufgenommen, von denen ein wesentlicher<br />
Beitrag zum <strong>Verein</strong>szweck zu erwarten<br />
ist oder die dem Bereich der institutionell<br />
oder sonst aus öffentlichen Mitteln<br />
geförderten Forschung zuzurechnen<br />
sind. Sitz des <strong>Verein</strong>s ist Berlin.<br />
Die Organe des <strong>DFN</strong>-<strong>Verein</strong>s sind:<br />
• die Mitgliederversammlung<br />
• der Verwaltungsrat<br />
• der Vorstand<br />
Die Mitgliederversammlung ist u. a. zuständig<br />
für die Wahl der Mitglieder des Verwal-<br />
tungsrates, für die Genehmigung des Jahreswirtschaftsplanes,<br />
für die Entlastung<br />
des Vorstandes und für die Festlegung der<br />
Mitgliedsbeiträge. Derzeitiger Vorsitzender<br />
der Mitgliederversammlung ist Prof.<br />
Dr. Gerhard Peter, HS Heilbronn.<br />
Verwaltungsrat<br />
Der Verwaltungsrat beschließt alle wesentlichen<br />
Aktivitäten des <strong>Verein</strong>s, insbesondere<br />
die technisch-wissenschaftlichen Arbeiten,<br />
und berät den Jahreswirtschaftsplan.<br />
Für die 10. Wahlperiode sind Mitglieder<br />
des Verwaltungsrates:<br />
• Prof. Dr. Hans-Joachim Bungartz (TU<br />
München)<br />
• Prof. Dr. Rainer W. Gerling (MPG München)<br />
• Prof. Dr. Ulrike Gutheil (TU Berlin)<br />
• Dir. u. Prof. Dr. Siegfried Hackel (PTB<br />
Braunschweig)<br />
• Dr.-Ing.habil. Carlos Härtel (GE Global<br />
Research)<br />
• Prof. Dr.-Ing. Ulrich Lang (Univ. zu Köln)<br />
• Prof. Dr. Joachim Mnich (DESY)<br />
• Prof. Dr. Wolfgang E. Nagel (TU Dresden)<br />
• Prof. Dr. Bernhard Neumair (KIT)<br />
Der Verwaltungsrat hat als ständige<br />
Gäste:<br />
• einen Vertreter der KMK: gegenwärtig<br />
Herrn Grothe, SMWK Sachsen<br />
• einen Vertreter der HRK: gegenwärtig<br />
Prof. Dr. Metzner, Präsident der FH Köln<br />
• einen Vertreter der Hochschulkanzler:<br />
gegenwärtig Herrn Schöck, Kanzler<br />
der Universität Erlangen-Nürnberg<br />
• den Vorsitzenden des ZKI: gegenwärtig<br />
Prof. Dr. Lang, Universität zu Köln<br />
• den Vorsitzenden der Mitgliederversammlung:<br />
gegenwärtig Prof. Dr. Peter,<br />
HS Heilbronn<br />
Vorstand<br />
Der Vorstand des <strong>DFN</strong>-<strong>Verein</strong>s im Sinne des<br />
Gesetzes wird aus dem Vorsitzenden und<br />
den beiden stellvertretenden Vorsitzenden<br />
des Verwaltungsrates gebildet. Derzeit<br />
sind dies Prof. Dr. Hans-Joachim Bungartz,<br />
Vorsitz, sowie Prof. Dr. Ulrike Gutheil<br />
und Prof. Dr. Bernhard Neumair.<br />
Der Vorstand wird beraten von einem Technologie-Ausschuss<br />
(TA), einem Betriebsausschuss<br />
(BA) und einem Ausschuss für Recht<br />
und Sicherheit (ARuS), der zugleich auch<br />
als Jugendschutzbeauftragter für das <strong>DFN</strong><br />
fungiert.<br />
Der Vorstand bedient sich zur Erledigung<br />
laufender Aufgaben einer Geschäftsstelle<br />
mit Standorten in Berlin und Stuttgart.<br />
Sie wird von einer Geschäftsführung geleitet.<br />
Als Geschäftsführer wurden vom Vorstand<br />
Jochem Pattloch und Dr. Christian<br />
Grimm bestellt.
<strong>DFN</strong>-VEREIN | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
51<br />
Aachen<br />
Aalen<br />
Albstadt<br />
Amberg<br />
Ansbach<br />
Aschaffenburg<br />
Augsburg<br />
Bamberg<br />
Bayreuth<br />
Berlin<br />
Biberach<br />
Bielefeld<br />
Bingen<br />
Bochum<br />
Bonn<br />
Fachhochschule Aachen<br />
Rheinisch-Westfälische Technische Hochschule Aachen (RWTH)<br />
Hochschule Aalen<br />
Hochschule Albstadt-Sigmaringen (FH)<br />
Hochschule Amberg-Weiden für angewandte Wissenschaften<br />
Hochschule für angewandte Wissenschaften, Fachhochschule Ansbach<br />
Hochschule Aschaffenburg<br />
Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg<br />
Universität Augsburg<br />
Otto-Friedrich-Universität Bamberg<br />
Universität Bayreuth<br />
Alice Salomon Hochschule Berlin<br />
BBB Management GmbH<br />
Beuth Hochschule für Technik Berlin – University of Applied Sciences<br />
Bundesamt für Verbraucherschutz und Lebensmittelsicherheit<br />
Bundesanstalt für Materialforschung und -prüfung<br />
Bundesinstitut für Risikobewertung<br />
Deutsche Telekom AG Laboratories<br />
Deutsches Herzzentrum Berlin<br />
Deutsches Institut für Normung e. V. (DIN)<br />
Deutsches Institut für Wirtschaftsforschung (DIW)<br />
Fachinformationszentrum Chemie GmbH (FIZ Chemie)<br />
Forschungsverbund Berlin e. V.<br />
Freie Universität Berlin (FUB)<br />
Helmholtz-Zentrum Berlin für Materialien und Energie GmbH<br />
Hochschule für Technik und Wirtschaft – University of Applied Sciences<br />
Hochschule für Wirtschaft und Recht<br />
Humboldt-Universität zu Berlin (HUB)<br />
International Psychoanalytic University Berlin<br />
IT-Dienstleistungszentrum<br />
Konrad-Zuse-Zentrum für Informationstechnik (ZIB)<br />
Robert Koch-Institut<br />
Stanford University in Berlin<br />
Stiftung Deutsches Historisches Museum<br />
Stiftung Preußischer Kulturbesitz<br />
Technische Universität Berlin (TUB)<br />
T-Systems International GmbH<br />
Umweltbundesamt<br />
Universität der Künste Berlin<br />
Wissenschaftskolleg zu Berlin<br />
Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)<br />
Hochschule Biberach<br />
Fachhochschule Bielefeld<br />
Universität Bielefeld<br />
Fachhochschule Bingen<br />
ELFI Gesellschaft für Forschungsdienstleistungen mbH<br />
Evangelische Fachhochschule Rheinland-Westfalen-Lippe<br />
Hochschule Bochum<br />
Hochschule für Gesundheit<br />
Ruhr-Universität Bochum<br />
Technische Fachhochschule Georg Agricola für Rohstoff,<br />
Energie und Umwelt zu Bochum<br />
Bundesministerium des Innern<br />
Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit<br />
Deutsche Forschungsgemeinschaft (DFG)<br />
Deutscher Akademischer Austauschdienst e. V. (DAAD)<br />
Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)<br />
GESIS – Leibniz-Institut für Sozialwissenschaften e. V.<br />
Rheinische Friedrich-Wilhelms-Universität Bonn<br />
Zentrum für Informationsverarbeitung und Informationstechnik<br />
Borstel<br />
FZB, Leibniz-Zentrum für Medizin und Biowissenschaften<br />
Brandenburg Fachhochschule Brandenburg<br />
Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen<br />
GmbH<br />
Helmholtz-Zentrum für Infektionsforschung GmbH<br />
Hochschule für Bildende Künste Braunschweig<br />
Johann-Heinrich von Thünen-Institut, Bundesforschungsinstitut<br />
für Ländliche Räume, Wald und Fischerei<br />
Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen<br />
Physikalisch-Technische Bundesanstalt (PTB)<br />
Technische Universität Carolo-Wilhelmina zu Braunschweig<br />
Bremen<br />
Hochschule Bremen<br />
Hochschule für Künste Bremen<br />
Jacobs University Bremen gGmbH<br />
Universität Bremen<br />
Bremerhaven Alfred-Wegener-Institut, Helmholtz-Zentrum für Polar- und<br />
Meeresforschung (AWI)<br />
Hochschule Bremerhaven<br />
Stadtbildstelle Bremerhaven<br />
Chemnitz Technische Universität Chemnitz<br />
Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)<br />
Technische Universität Clausthal-Zellerfeld<br />
Coburg<br />
Hochschule für angewandte Wissenschaften, Fachhochschule Coburg<br />
Cottbus<br />
Brandenburgische Technische Universität Cottbus<br />
Darmstadt European Space Agency (ESA)<br />
Evangelische Hochschule Darmstadt<br />
GSI Helmholtzzentrum für Schwerionenforschung GmbH<br />
Hochschule Darmstadt<br />
Merck KGaA<br />
Technische Universität Darmstadt<br />
T-Systems International GmbH<br />
Deggendorf Hochschule für angewandte Wissenschaften,<br />
Fachhochschule Deggendorf<br />
Dortmund Fachhochschule Dortmund<br />
Technische Universität Dortmund<br />
Dresden Helmholtz-Zentrum Dresden-Rossendorf e. V.<br />
Hannah-Arendt-Institut für Totalitarismusforschung e. V.<br />
Hochschule für Bildende Künste Dresden<br />
Hochschule für Technik und Wirtschaft<br />
Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.<br />
Leibniz-Institut für Polymerforschung Dresden e. V.<br />
Sächsische Landesbibliothek – Staats- und Universitätsbibliothek<br />
Technische Universität Dresden<br />
Düsseldorf Fachhochschule Düsseldorf<br />
Heinrich-Heine-Universität Düsseldorf<br />
Information und Technik Nordrhein-Westfalen (IT.NRW)<br />
Eichstätt<br />
Katholische Universität Eichstätt-Ingolstadt<br />
Emden<br />
Hochschule Emden/Leer<br />
Erfurt<br />
Fachhochschule Erfurt<br />
Universität Erfurt
52 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | <strong>DFN</strong>-VEREIN<br />
Erlangen<br />
Friedrich-Alexander-Universität Erlangen-Nürnberg<br />
Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V.<br />
Universität Duisburg-Essen<br />
Esslingen Hochschule Esslingen<br />
Flensburg Fachhochschule Flensburg<br />
Universität Flensburg<br />
Frankfurt/M. Bundesamt für Kartographie und Geodäsie<br />
Deutsche Nationalbibliothek<br />
Deutsches Institut für Internationale Pädagogische Forschung<br />
Fachhochschule Frankfurt am Main<br />
Johann Wolfgang Goethe-Universität Frankfurt am Main<br />
KPN EuroRings B.V.<br />
Philosophisch-Theologische Hochschule St. Georgen e.V.<br />
Senckenberg Gesellschaft für Naturforschung<br />
Stonesoft Germany GmbH<br />
Frankfurt/O. IHP GmbH – Institut für innovative Mikroelektronik<br />
Stiftung Europa-Universität Viadrina<br />
Freiberg<br />
Technische Universität Bergakademie Freiberg<br />
Freiburg<br />
Albert-Ludwigs-Universität Freiburg<br />
Friedrichshafen Zeppelin Universität gGmbH<br />
Fulda<br />
Hochschule Fulda<br />
Furtwangen Hochschule Furtwangen – Informatik, Technik, Wirtschaft, Medien<br />
Garching<br />
European Southern Observatory (ESO)<br />
Gesellschaft für Anlagen- und Reaktorsicherheit mbH<br />
Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften<br />
Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)<br />
Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenforschung<br />
GmbH<br />
Gelsenkirchen Westfälische Hochschule<br />
Gießen<br />
Technische Hochschule Mittelhessen<br />
Justus-Liebig-Universität Gießen<br />
Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)<br />
Verbundzentrale des Gemeinsamen Bibliotheksverbundes<br />
Greifswald Ernst-Moritz-Arndt-Universität Greifswald<br />
Friedrich-Loeffler-Institut, Bundesforschungsinstitut für Tiergesundheit<br />
Hagen<br />
Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft<br />
FernUniversität in Hagen<br />
Halle/Saale Institut für Wirtschaftsforschung Halle<br />
Martin-Luther-Universität Halle-Wittenberg<br />
Hamburg Bundesamt für Seeschifffahrt und Hydrographie<br />
Datenlotsen Informationssysteme GmbH<br />
Deutsches Elektronen-Synchrotron (DESY)<br />
Deutsches Klimarechenzentrum GmbH (DKRZ)<br />
<strong>DFN</strong> – CERT Services GmbH<br />
HafenCity Universität Hamburg<br />
Helmut-Schmidt-Universität, Universität der Bundeswehr<br />
Hochschule für Angewandte Wissenschaften Hamburg<br />
Hochschule für Bildende Künste Hamburg<br />
Hochschule für Musik und Theater Hamburg<br />
Technische Universität Hamburg-Harburg<br />
Universität Hamburg<br />
Hameln<br />
Hochschule Weserbergland<br />
Hamm<br />
SRH Hochschule für Logistik und Wirtschaft Hamm<br />
Hannover Bundesanstalt für Geowissenschaften und Rohstoffe<br />
Hochschule Hannover<br />
Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische<br />
Landesbibliothek<br />
Heide<br />
Heidelberg<br />
Heilbronn<br />
Hildesheim<br />
Gottfried Wilhelm Leibniz Universität Hannover<br />
HIS Hochschul-Informations-System GmbH<br />
Hochschule für Musik, Theater und Medien<br />
Landesamt für Bergbau, Energie und Geologie<br />
Medizinische Hochschule Hannover<br />
Technische Informationsbibliothek und Universitätsbibliothek<br />
Stiftung Tierärztliche Hochschule<br />
Fachhochschule Westküste, Hochschule für Wirtschaft und Technik<br />
Deutsches Krebsforschungszentrum (DKFZ)<br />
European Molecular Biology Laboratory (EMBL)<br />
Network Laboratories NEC Europe Ltd.<br />
Ruprecht-Karls-Universität Heidelberg<br />
Hochschule für Technik, Wirtschaft und Informatik Heilbronn<br />
Hochschule für angewandte Wissenschaft und Kunst<br />
Fachhochschule Hildesheim/Holzminden/Göttingen<br />
Stiftung Universität Hildesheim<br />
Hof<br />
Hochschule für angewandte Wissenschaften Hof – FH<br />
Ilmenau<br />
Bundesanstalt für IT-Dienstleistungen im Geschäftsbereich des BMVBS<br />
Technische Universität Ilmenau<br />
Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen<br />
Hochschule für angewandte Wissenschaften FH Ingolstadt<br />
Jena<br />
Ernst-Abbe-Fachhochschule Jena<br />
Friedrich-Schiller-Universität Jena<br />
Institut für Photonische Technologien e. V.<br />
Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)<br />
Jülich<br />
Forschungszentrum Jülich GmbH<br />
Kaiserslautern Fachhochschule Kaiserslautern<br />
Technische Universität Kaiserslautern<br />
Karlsruhe Bundesanstalt für Wasserbau<br />
Fachinformationszentrum Karlsruhe (FIZ)<br />
Karlsruher Institut für Technologie – Universität des Landes Baden-<br />
Württemberg und nationales Forschungszentrum in der Helmholtz-<br />
Gemeinschaft (KIT)<br />
FZI Forschungszentrum Informatik<br />
Hochschule Karlsruhe – Technik und Wirtschaft<br />
Zentrum für Kunst und Medientechnologie<br />
Kassel<br />
Universität Kassel<br />
Kempten<br />
Hochschule für angewandte Wissenschaften, Fachhochschule Kempten<br />
Kiel<br />
Christian-Albrechts-Universität zu Kiel<br />
Fachhochschule Kiel<br />
Institut für Weltwirtschaft an der Universität Kiel<br />
Helmholtz-Zentrum für Ozeanforschung Kiel (GEOMAR)<br />
Koblenz<br />
Hochschule Koblenz<br />
Köln<br />
Deutsche Sporthochschule Köln<br />
Fachhochschule Köln<br />
Hochschulbibliothekszentrum des Landes NRW<br />
Katholische Hochschule Nordrhein-Westfalen<br />
Kunsthochschule für Medien Köln<br />
Rheinische Fachhochschule Köln gGmbH<br />
Universität zu Köln<br />
Konstanz Hochschule Konstanz Technik, Wirtschaft und Gestaltung (HTWG)<br />
Universität Konstanz<br />
Köthen<br />
Hochschule Anhalt<br />
Krefeld<br />
Hochschule Niederrhein<br />
Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.<br />
Landshut Hochschule Landshut, Fachhochschule
<strong>DFN</strong>-VEREIN | <strong>DFN</strong> Mitteilungen Ausgabe 84 |<br />
53<br />
Leipzig<br />
Deutsche Telekom, Hochschule für Telekommunikation Leipzig<br />
Helmholtz-Zentrum für Umweltforschung – UFZ GmbH<br />
Hochschule für Grafik und Buchkunst Leipzig<br />
Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“<br />
Hochschule für Technik, Wirtschaft und Kultur Leipzig<br />
Leibniz-Institut für Troposphärenforschung e. V.<br />
Mitteldeutscher Rundfunk<br />
Universität Leipzig<br />
Lemgo<br />
Hochschule Ostwestfalen-Lippe<br />
Lübeck<br />
Fachhochschule Lübeck<br />
Universität zu Lübeck<br />
Ludwigsburg Evangelische Hochschule Ludwigsburg<br />
Ludwigshafen Fachhochschule Ludwigshafen am Rhein<br />
Lüneburg Leuphana Universität Lüneburg<br />
Magdeburg Hochschule Magdeburg-Stendal (FH)<br />
Leibniz-Institut für Neurobiologie Magdeburg<br />
Mainz<br />
Fachhochschule Mainz<br />
Johannes Gutenberg-Universität Mainz<br />
Universität Koblenz-Landau<br />
Mannheim Hochschule Mannheim<br />
TÜV SÜD Energietechnik GmbH Baden-Württemberg<br />
Universität Mannheim<br />
Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW)<br />
Marbach a. N. Deutsches Literaturarchiv<br />
Marburg<br />
Philipps-Universität Marburg<br />
Merseburg Hochschule Merseburg (FH)<br />
Mittweida Hochschule Mittweida<br />
Mülheim an der Hochschule Ruhr West<br />
Ruhr<br />
Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V.<br />
München Bayerische Staatsbibliothek<br />
Hochschule München (FH)<br />
Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V.<br />
Helmholtz Zentrum München Deutsches Forschungszentrum für<br />
Gesundheit und Umwelt GmbH<br />
ifo Institut – Leibniz-Institut für Wirtschaftsforschung e. V.<br />
Ludwig-Maximilians-Universität München<br />
Max-Planck-Gesellschaft<br />
Technische Universität München<br />
Universität der Bundeswehr München<br />
Münster<br />
Fachhochschule Münster<br />
Westfälische Wilhelms-Universität Münster<br />
Neubrandenburg<br />
Hochschule Neubrandenburg<br />
Neu-Ulm<br />
Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm<br />
Nordhausen Fachhochschule Nordhausen<br />
Nürnberg Kommunikationsnetz Franken e. V.<br />
Technische Hochschule Nürnberg Georg Simon Ohm<br />
Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen<br />
Nuthetal<br />
Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke<br />
Oberursel Dimension Data Germany AG & Co. KG<br />
Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH<br />
Offenbach/M. Deutscher Wetterdienst (DWD)<br />
Offenburg Hochschule Offenburg, Fachhochschule<br />
Oldenburg Carl von Ossietzky Universität Oldenburg<br />
Landesbibliothek Oldenburg<br />
Osnabrück Hochschule Osnabrück (FH)<br />
Universität Osnabrück<br />
Paderborn<br />
Passau<br />
Peine<br />
Potsdam<br />
Regensburg<br />
Rosenheim<br />
Rostock<br />
Saarbrücken<br />
Salzgitter<br />
Sankt Augustin<br />
Schmalkalden<br />
Schwäbisch<br />
Gmünd<br />
Schwerin<br />
Senftenberg<br />
Siegen<br />
Speyer<br />
Straelen<br />
Stralsund<br />
Stuttgart<br />
Tautenburg<br />
Trier<br />
Tübingen<br />
Ulm<br />
Vechta<br />
Wadern<br />
Weidenbach<br />
Weimar<br />
Weingarten<br />
Wernigerode<br />
Weßling<br />
Wiesbaden<br />
Wildau<br />
Wilhelmshaven<br />
Fachhochschule der Wirtschaft Paderborn<br />
Universität Paderborn<br />
Universität Passau<br />
Deutsche Gesellschaft zum Bau und Betrieb von Endlagern<br />
für Abfallstoffe mbH<br />
Fachhochschule Potsdam<br />
Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ<br />
Hochschule für Film und Fernsehen „Konrad Wolf“<br />
Potsdam-Institut für Klimafolgenforschung (PIK)<br />
Universität Potsdam<br />
Hochschule für angewandte Wissenschaften – Fachhochschule<br />
Regensburg<br />
Universität Regensburg<br />
Hochschule für angewandte Wissenschaften – Fachhochschule<br />
Rosenheim<br />
Leibniz-Institut für Ostseeforschung Warnemünde<br />
Universität Rostock<br />
Universität des Saarlandes<br />
Bundesamt für Strahlenschutz<br />
Hochschule Bonn Rhein-Sieg<br />
Fachhochschule Schmalkalden<br />
Pädagogische Hochschule Schwäbisch Gmünd<br />
Landesbibliothek Mecklenburg-Vorpommern<br />
Hochschule Lausitz (FH)<br />
Universität Siegen<br />
Deutsche Universität für Verwaltungswissenschaften Speyer<br />
GasLINE Telekommunikationsnetzgesellschaft deutscher<br />
Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft<br />
Fachhochschule Stralsund<br />
Cisco Systems GmbH<br />
Duale Hochschule Baden-Württemberg<br />
Hochschule der Medien Stuttgart<br />
Hochschule für Technik Stuttgart<br />
NextiraOne Deutschland GmbH<br />
Universität Hohenheim<br />
Universität Stuttgart<br />
Thüringer Landessternwarte Tautenburg<br />
Hochschule Trier<br />
Universität Trier<br />
Eberhard Karls Universität Tübingen<br />
Leibniz-Institut für Wissensmedien<br />
Hochschule Ulm<br />
Universität Ulm<br />
Universität Vechta<br />
Private Fachhochschule für Wirtschaft und Technik<br />
Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH (LZI)<br />
Hochschule Weihenstephan<br />
Bauhaus-Universität Weimar<br />
Hochschule Ravensburg-Weingarten<br />
Pädagogische Hochschule Weingarten<br />
Hochschule Harz (FH)<br />
T-Systems Solutions for Research GmbH<br />
Hochschule RheinMain<br />
Statistisches Bundesamt<br />
Technische Hochschule Wildau (FH)<br />
Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth
54 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | <strong>DFN</strong>-VEREIN<br />
Wismar<br />
Witten<br />
Wolfenbüttel<br />
Worms<br />
Wuppertal<br />
Würzburg<br />
Zittau<br />
Zwickau<br />
Hochschule Wismar<br />
Private Universität Witten/Herdecke gGmbH<br />
Ostfalia Hochschule für angewandte Wissenschaften<br />
Herzog August Bibliothek<br />
Fachhochschule Worms<br />
Bergische Universität Wuppertal<br />
Hochschule für angewandte Wissenschaften – Fachhochschule<br />
Würzburg-Schweinfurt<br />
Julius-Maximilians-Universität Würzburg<br />
Hochschule Zittau/Görlitz<br />
Internationales Hochschulinstitut<br />
Westsächsische Hochschule Zwickau