X-WiN Confidential - DFN-Verein

Deutsches Forschungsnetz Mitteilungen Ausgabe 84 | Mai 2013
www.dfn.de
Mitteilungen
X-WiN Confidential
Potenziale der neuen DWDM-Technik
Audit
DFN-PKI gemäß ETSI-
Standard zertifiziert
GÉANT
Europäischer
Forschungsbackbone
schaltet um auf
Terabit-Technologie

Impressum
Herausgeber: Verein zur Förderung
eines Deutschen Forschungsnetzes e. V.
DFN-Verein
Alexanderplatz 1, 10178 Berlin
Tel.: 030 - 88 42 99 - 0
Fax: 030 - 88 42 99 - 70
Mail: dfn-verein@dfn.de
Web: www.dfn.de
ISSN 0177-6894
Redaktion: Kai Hoelzner (kh)
Gestaltung: Labor3 | www.labor3.com
Druck: Rüss, Potsdam
© DFN-Verein 05/2013
Fotonachweis:
Titel © Ljupco Smokovski - Fotolia.com
Seite 6/7 © 77SG - Fotolia.com
Seite 30/31 © chris-m - Fotolia.com

Niels Hersoug and Matthew Scott,
DANTE Joint General Managers
The need for speed
The creation and sharing of data is increasing exponentially, impacting research networks, high
performance computing and grids – collectively known as e-infrastructures. Major projects involving
global partners, such as CERN‘s Large Hadron Collider and the forthcoming Square Kilometer
Array, generate enormous amounts of data that need to be distributed, analysed, stored
and made accessible for research. This need for fast, stable transfer of data depends heavily on
the high speed and dedicated bandwidth offered by research networks such as X-WiN or GÉANT.
GÉANT (GN3plus) is the latest in a series of projects comprising the pan-European GÉANT network
and associated services, and is a 2 year project co-funded by the European Union comprising 41
partners including DFN. GÉANT’s overall objectives are to meet the communications needs of European
and world-wide research communities in all fields. Such needs include both a transport facility
for production data and also a network environment where experiments can be conducted.
Addressing the exponential growth in data, DANTE – the organisation that on behalf of Europe’s
NRENs has built and operates the network – is presently implementing a major upgrade to support
capacity of up to 2 Terabits per second across its core network, due for completion in July 2013.
In continually striving for networking excellence, GÉANT relies heavily on strong relationships
with its NREN partners, together delivering the robust data communications infrastructure that
serves the international research community. DFN has long been an essential and highly valued
partner in providing powerful national and global research and education connectivity.
Within GN3plus, the project is introducing a new production Service Activity: „Testbeds as a Service

4 | DFN Mitteilungen Ausgabe 84 | Mai 2013
1
2
3
4
5
6
7
8
9
10
11
12
Unsere Autoren dieser Ausgabe im Überblick
1 Kai Hoelzner, DFN-Verein (hoelzner@dfn.de); 2 Kai Ramsch,
Regionales Rechenzentrum Erlangen (RRZE) (kramsch@dfn.de); 3 Birgit Kraft,
Regionales Rechenzentrum Erlangen (RRZE) (birgit.kraft@fau.de); 4 Yitzhak Aizner,
ECI Telecom Ltd. (Yitzhak.Aizner@ecitele.com); 5 Sharon Rozov, ECI Telecom Ltd.
(Sharon.rozov@ecitele.com); 6 Amitay Melamed, ECI Telecom Ltd. (amitay.melamed@
ecitele.com); 7 Irene 13 Weithofer, Fachhochschule 14
Köln (irene.weithofer@fh-koeln.de);
15
8 Henning Mohren, Fachhochschule Düsseldorf (henning.mohren@fh-duesseldorf.de);
9 Jürgen Brauckmann, DFN-CERT Services GmbH (brauckmann@dfn-cert.de),
10 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de); 11 Julian Fischer, Forschungsstelle
Recht im DFN (recht@dfn.de); 12 Susanne Thinius, Forschungsstelle Recht im DFN
(recht@dfn.de)

DFN Mitteilungen Ausgabe 84 |
5
Inhalt
Wissenschaftsnetz
X-WiN Confidential
Potenziale der neuen DWDM-Technik im
Wissenschaftsnetz
von Kai Hoelzner, Birgit Kraft, Kai Ramsch ............................ 8
Looking at the future. Today.
von Yitzhak Aizner, Amitay Melamed, Sharon Rozov ...... 11
Kurzmeldungen .............................................................................. 16
International
GÉANT schaltet um auf Terabit-Technologie
von Kai Hoelzner ............................................................................ 18
ORIENTplus:
Boosting EU-China Collaboration
Ein Gespräch mit Kai Nan, Jiangping Wu,
David West und Christian Grimm ............................................ 21
Global R&E Network CEO Forum
take next steps in Asia’s Global
City of Hong Kong ......................................................................... 23
Kurzmeldungen .............................................................................. 25
Campus
Gemeinsam sicher – Nordrhein-Westfalens
Hochschulen setzen auf gemeinsames
Informationssicherheitsmanagement
von Irene Weithofer, Henning Mohren.................................. 26
Sicherheit
Audit der DFN-PKI
von Jürgen Brauckmann, Dr. Ralf Gröper .............................. 32
Sicherheit aktuell
von Heike Ausserfeld, Dr. Ralf Gröper .................................... 39
Recht
Wissenschaftsparagraph geht in die
Verlängerung – Dritter Anlauf für § 52a
Urheberrechtsgesetz
von Susanne Thinius .................................................................... 40
Das Ende für den Newsletter!?
Oberlandesgericht München: E-Mail-Versand
mit der Bitte um Bestätigung der Anmeldung
stellt belästigende Reklame dar
von Julian Fischer .......................................................................... 42
Wer sich auf Facebook präsentiert, muss
viel preisgeben
Zur Impressumspflicht für öffentliche
Facebook-Fanseiten
von Susanne Thinius .................................................................... 47
DFN-Verein
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins .................................................... 50

6 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 |
7
Wissenschaftsnetz
X-WiN Confidential
Potenziale der neuen DWDM-Technik im
Wissenschaftsnetz
von Kai Hoelzner, Birgit Kraft, Kai Ramsch
Looking at the future. Today.
von Yitzhak Aizner, Amitay Melamed,
Sharon Rozov
Kurzmeldungen

8 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
X-WiN Confidential
Potenziale der neuen DWDM-Technik im Wissenschaftsnetz
Mit der Migration des X-WiN auf eine neue, auf Wellenlängen-Multiplexern des Netzwerkausrüsters
ECI Telecom basierenden Infrastruktur, ergeben sich neue Perspektiven für Nutzung und Betrieb des
Wissenschaftsnetzes. Neben dem Upgrade des Super-Core auf 100-Gigabit/s-Technik und der Möglichkeit,
native 100-Gigabit-Anschlüsse in der obersten Kategorie des DFN-Internetdienstes zu nutzen,
sind es vor allem die Potenziale zur Optimierung von Betriebsprozessen, die das neue Netz für
Anwender wie Betreiber interessant machen.
Text: Kai Hoelzner (DFN-Verein), Birgit Kraft (RRZE),
Kai Ramsch (RRZE)
Mehr Netzintelligenz auf optischer
Ebene
Am 20. Dezember 2012 wurde die letzte
Kernnetz-Strecke des X-WiN mit neuer
DWDM-Technik des israelischen Netzwerkausrüsters
ECI Telecom in Betrieb
genommen. Sieben Monate waren seit
dem Zuschlag an ECI vergangen und hinter
den Aufbauteams lag ein halbes Jahr
intensiver Arbeit an den 111 Standorten im
X-WiN. Inzwischen befindet sich die neue
DWDM-Plattform des Wissenschaftsnetzes
seit fünf Monaten im Produktionsbetrieb
und die Erfahrungen mit der noch
jungen optischen Plattform des Wissenschaftsnetzes
sind mehr als positiv.
Nicht nur technologisch, sondern auch für
die Organisation und das Netzmanagement
war die Migration ein echter Paradigmenwechsel.
Zwar betreibt der DFN-
Verein bereits seit vielen Jahren die IP-Ebene
des Wissenschaftsnetzes, doch war der
Zugriff auf die optische Ebene bislang nur
eingeschränkt möglich. Mit dem Wechsel
auf ECI-Technik besteht erstmals voller Zugriff
auch auf die unterste Schicht des Netzes.
Gegenüber den klassischen Wellenlängen-Multiplexern,
die die Transport-Arbeit
auf den Glasfaser-Netzen des vergangenen
Jahrzehnts erledigt haben, ermöglichen
Geräte wie die im X-WiN eingesetzten
Apollo-Multiplexer von ECI nicht nur eine
Vervielfachung der Kapazitäten, sondern
verlagern auch ein Stück weit Netzintelligenz
auf die optische Ebene.
Die neue optische Technik ermöglicht es,
das Netzwerk komfortabler zu betreiben
und Funktionalitäten der IP-Plattform optisch
zu ersetzen bzw. zu ergänzen. Das
optische Transportnetz (OTN, engl.: optical
transport network) ist eine von der ITU
im Standard G.709/G.872 vereinheitlichte
DWDM-Multiplexer – „klassisch“
DWDM-Multiplexer – „modern“
Add/Drop
North
T
/R
T
/R
DWDM-
Knoten
DWDM-
Knoten
Add/Drop
West
T
/
R
T
/
R
X
T
/
R
T
/
R
Add/Drop
East
T
/
R
T
/
R
T
/
R
T
/
R
Add/Drop
colored: für jede „Farbe“ ein spezifischer Port je Add/Drop-Block
directed: genau eine Ausgangsrichtung erreichbar je Add/Drop-Block
colorless: jede „Farbe“ an jedem Add/Drop-Port
directionless: jede Ausgangsrichtung erreichbar für jeden Add/Drop-Port

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 |
9
Technologie für Netzwerke, mit denen mittels
eines Transportdienstes optisch Daten
übertragen werden. Dabei definiert das
OTN optische und elektrische Schichten,
in denen die zu übertragenden Daten eingepackt
werden, um von der technischen
Realisierung abstrahieren zu können. Die
drei rein optischen Schichten Optical Transmission
Section (OTS), Optical Multiplex
Section (OMS) und Optical Channel Layer
(OCh) werden vereinfacht zum Optical
Channel Layer (OCh) zusammengefasst und
gewährleisten den optischen Transport.
ENS
DUI
FZJ
AAC
BON
EWE
AWI
KIE
DKR
DES
HAM
BRE
HAN
MUE
BIE
PAD
BRA
BOC
GOE
DOR
WUP
KAS
MAR
BIR
GIE
FRA
ILM
GSI
WUE
ROS
LEI
JEN
PEP
POT
ZIB
MAG
BAY
CHE
GRE
FFO
SLU
TUB
ZEU
HUB
ADH
DRE
Grundvoraussetzung ist dabei die Verschaltung
von optischen Leitern, so dass
an den Netzwerkknoten die Daten verschiedener
Kommunikationsverbindungen
aus der Glasfaser entnommen (Add/
Drop) bzw. zur nächsten optischen Komponente
weitergeleitet werden. Der Einsatz
von rekonfigurierbaren Add-Drop-Multiplexern
(ROADM – Reconfigurable Optical
Add-Drop Multiplexer) verbessert dabei
die Neu- und Umschaltung von Verbindungen
und gleichzeitig auch die Verfügbarkeit
bei Glasfaserwartungen und nicht geplanten
Unterbrechungen.
Diese neue Generation von Add-Drop-Multiplexern
bietet im Gegensatz zur alten Technologie
die Möglichkeit, Wellenlängen „colorless“
und „directionless“ ein- und auszukoppeln.
„Colorless“ bezeichnet die Eigenschaft,
verschiedene Wellenlängen im
Gegensatz zu einem festen Port beliebigen
Ports zuzuordnen, „directionless“ bedeutet,
dass jeder Add/Drop-Port mit allen
möglichen Richtungen durch den Multiplexer
verbunden werden kann. Somit ist an
jedem Add/Drop-Port jede Farbe und jede
Ausgangsrichtung möglich und dies kann
im laufenden Betrieb „aus der Ferne“ konfiguriert
werden (siehe Abb. 1).
In Kombination mit umfangreichen remote-Funktionalitäten
ermöglicht die DWDM-
Technik eine flexible Wegeführung von Verbindungen
und ein intelligentes Ausnutzen
von Netzkapazitäten ohne technologische
Beschränkungen. Lange Vorlaufzeiten bei
SAA
STB
KAI
KIT
KEH
BAS
HEI
STU
der Schaltung neuer Wellenlängen oder
Konfigurationsarbeiten am Netz gehören
seit der Migration des X-WiN der Vergangenheit
an. Nicht zuletzt bringt die Verfügungsgewalt
über die DWDM-Technik auf
lange Sicht auch erhebliche Kostenvorteile.
Wo früher ganze Wellenlängen inklusive
Service durch den Betreiber geleast
werden mussten, wird künftig remote eine
Wellenlänge zugeschaltet.
Datenströme gebündelt und
verpackt
Der wohl größte Unterschied zur bislang
eingesetzten DWDM-Technologie besteht
in der Möglichkeit, niedrigratige
Datenströme auf den Kernstrecken des
X-WiN gebündelt zu übertragen. Bei diesem
Sammeltransport können bis zu zehn
1-Gigabit/s-Ströme zu einem 10-Gigabit/s-
Strom aggregiert werden, anstatt wie bisher
10 Wellenlängen zu belegen. Auf einer
100-Gigabit/s-Verbindung können dementsprechend
eine Vielzahl von 1- und
10-Gigabit/s-Verbindungen zusammengefasst
werden. Die technische Basis dieses
Verfahrens ist ein OTN-Backbone, der an 14
zentralen Kernnetzknoten mit 2-3 OTU2-
Verbindungen zu je 10 Gbit/s pro Kante aufgespannt
ist (siehe Abb. 2). Oberhalb der
ERL
ESF
GAR
FHM
REG
Das Kernnetz des X-WiN
mit „ODU Cross Connect
Backbone“, der sich über 14
Kernnetzknoten erstreckt.
‚klassischen‘ optischen Schicht des Netzes,
dem „Optical Channel Layer“, befinden sich
im heutigen X-WiN drei „digitale Schichten“,
nämlich die „Optical Channel Transport
Unit“ (OTU), die „Optical Channel Data
Unit“ (ODU) und „Optical Channel Payload
Unit“ (OPU), welche elektrisch verarbeitet
werden. Nutzdaten werden als OPU
Payload in ODU Frames verpackt und bilden
so die logische Dateneinheit, die zwischen
den Eingangsports zweier Standorte
transportiert werden soll. In Form von
OTU Frames werden sie dann an den Optical
Channel Layer zum Transport übergeben.
In den ODUs und OTUs ist definiert, mit
welcher Datenrate bzw. Bandbreite Daten
übertragen werden können. Die neue Hardware
ist in der Lage, verschiedene ODUs
zu kombinieren und in eine OTU zu „verpacken“
(ODU Cross Connect). Damit können
die Daten von Ports unterschiedlicher
Bandbreiten kostengünstig in eine Wellenlänge
integriert werden.
Der Einsatz von Switching-Fabric-Komponenten
ermöglicht es außerdem, Verbindungen
zwischen optischen und elektrischen
Komponenten sowie den Ports der
Anwender bzw. angeschlossenen Router
dynamisch und ohne physische Veränderungen
an der Technik zu schalten. Dadurch

10 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
können beispielsweise VPNs (Virtual Private
Networks) direkt auf dem optischen
Medium ohne Beteiligung von IP-Geräten
eingerichtet werden. Weitere Einsatzmöglichkeiten
dieser Technik sind MPLS (Multiprotocol
Label Switching) zur schnellen Datenübermittlung
auf OSI-Layer 2 und Bandwidth
on Demand zur Provisionierung von
Bandbreiten für zeitlich begrenzte Anforderungen.
Anpassung der Netz-Topologie
Die Migration auf neue optische Übertragungstechnik
machte ein Re-Design der
IP-Plattform des X-WiN sinnvoll. Bereit gegen
Ende der Migration im vergangenen
Jahr wurden neue Faserverbindungen in
das Netz integriert, die im Norden von Rostock
über Greifswald nach Frankfurt/Oder
sowie im Westen von Bonn nach Saarbrücken
führen.
Die wohl wichtigste Neuerung im X-WiN
aber betrifft den Super-Core des X-WiN selber.
Derzeit sind die Mitarbeiter der Geschäftsstellen
des DFN-Vereins gemeinsam
mit den Kollegen von ECI damit befasst,
den inneren Backbone des X-WiN zwischen
Frankfurt/Main, Hannover, Berlin und Erlangen
von bisher 20-Gigabit/s-Technik auf
100 Gigabit/s aufzurüsten.
Monitoring, Rekonfiguration und
Wartung
Die aktuelle Multiplexer-Generation des
X-WiN bringt nicht nur eine Verlagerung
von Intelligenz auf die Transport-Ebene
des Netzes mit sich, sondern auch einen
viel direkteren Zugriff auf die Technologie
durch die Mitarbeiter. Dies wird wiederum
durch ein spezifisches Potenzial der Komponenten
zur Remote-Steuerung ermöglicht,
mit denen das Netzmanagement wesentlich
vereinfacht wird.
Multiplexer der Apollo-Serie sind mit der Fähigkeit
ausgestattet, Leitungs- bzw. Dämpfungseigenschaften
einer Glasfaser automatisch
zu erkennen und das abgegebene
Signal auf die jeweils angesprochene Faser
zu justieren. Wird eine neue Faser in
das Netz integriert oder eine bereits vorhandene
nach einem Leitungsbruch repariert,
mussten bislang Mitarbeiter ausrücken,
die die Eigenschaften der Fasern vor
Ort mit speziellen Messgeräten ermitteln
und die Multiplexer per Hand auf die Eigenschaften
der jeweiligen Faser abstimmen.
Dieser Prozess erfolgt heute remote
und ist in hohem Maße nutzerfreundlich.
Dieses Feature erlaubt dem DFN-Verein,
die Verantwortlichkeit für Wartung und
Management des Netzes weitgehend in
die eigene Hand zu nehmen.
Zur laufenden Überwachung des Netz-Status
kommuniziert die DWDM-Plattform des
X-WiN Fehlerzustände über das Simple Network
Management Protocol (SNMP). Die
Glasfaserstrecken selbst werden dabei
durch eine spezielle Wellenlänge – den Optical-Supervising-Channel
– überwacht, der
auf einem Interface an den Kernnetzstandorten
endet, von wo aus die Mess-Daten
auf zwei Service-Rechner im Netz gesendet
werden. Von hier aus werden sämtliche
Netzparameter laufend an die Netzüberwachung
kommuniziert, die wie in der
Vergangenheit durch einen spezialisierten
Dienstleister durchgeführt wird, der sich in
X-WiN 2013: 8.800 Gbit/s
X-WiN 2006: 400 Gbit/s
G-WiN: 10 Gbit/s
B-WiN: 622 Mbit/s
der Zusammenarbeit mit dem DFN-Verein
bestens bewährt hat. Mit dem entscheidenden
Unterschied allerdings, dass auch
bei der Überwachung eine volle Transparenz
für den DFN-Verein als Auftraggeber
gegeben ist.
Und die Anwender?
Wer einen X-WiN-Anschluss sein Eigen
nennt, hat die Auswirkungen der Migration
auf die neue optische Plattform bereits
in positiver Weise zu spüren bekommen.
Trotz der erheblichen Investitionen
des DFN-Vereins bei der Anschaffung der
DWDM-Technik ist es bereits ein halbes
Jahr nach Abschluss der Migration möglich,
die Leistung sowohl für die VPN-Strecken
im X-WiN als auch für die Anwenderanschlüsse
beim Dienst DFNInternet bei
unverändertem Entgelt zu steigern. Zum 1.
Juli 2013, kurz nach Erscheinen dieses Heftes
also, werden erhebliche Leistungssteigerungen
für die gängigen Nutzungsformen
der Anwender realisiert. Augenfällig
ist dabei, dass die oberste Anschluss-Kategorie
des Dienstes DFNInternet bereits in
der 100-Gigabit-Klasse angesiedelt ist. Wer
bislang einen 40 Gigabit/s-Anschluss sein
Eigen nannte, spielt künftig bandbreitenmäßig
auf Augenhöhe z.B. mit dem CERN,
das vor kurzem den ersten 100-Gigabit-Anschluss
an das GÉANT realisiert hat. (Siehe:
Internationale Kurzmeldungen) M
Dabei fällt zunächst einmal die Fähigkeit
ins Auge, sich selbstständig auf die jeweiligen
Parameter der von den Multiplexern
angesprochenen Glasfasern zu tunen. Die
Abb. 4: Übertragungskapazität der Kernnetzverbindungen des Wissenschaftsnetzes

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 |
11
Looking at the future.
Today.
In the past few years, we have seen the rapid growth of digital content. The amount of
stored information increases at a rate of 40 % – 60 % annually, and we expect this rate to
continue unabated. As human beings and as a society, we depend on this information
and digital content, which became the fabric of the global economy, national economies,
governments, industrial and commercial interests, and private lives.
By: Yitzhak Aizner, Amitay Melamed, Sharon Rozov (ECI Telecom Ltd.)
Foto: © Pgiam - iStockphoto

12 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
As a direct consequence, we are looking
at increased investments in storage units,
data centers and cloud technologies, with
no signs of declining in the foreseeable future.
In fact, according to Gartner Research,
data center expansion is expected to increase
from roughly $90B in 2011 to over
$150B in 2016, including servers, storage
& networking.
We are also witnessing the rapid growth
of cloud service offerings from companies
such as Amazon, Google, Yahoo, Facebook,
Apple, Microsoft, and IBM. These providers
use several geographically distributed data
centers to improve end-to-end performance,
as well as to offer high availability
in case of failures. As such, cloud services
and cloud-based data centers are increasingly
and dramatically changing the
data stream behavior over our networks.
If, once, data and content were relatively
static in terms of storage as enterprises,
organizations and institutions kept their
information locally, they now travel among
data centers for increased reliability and
performance, for the following reasons:
1. Data Center Capacity Expansion
and/or Consolidation
Applications need to be migrated
from one data center to another as
part of data center maintenance or
consolidation, without any downtime.
Conversely, virtual machines
have to be migrated to a secondary
data center as part of expansions to
address power, cooling, and space
constraints in the primary one.
2. Virtualized Server Resource Distribution
over Distances
Virtual machines need to be migrated
between different data center
sites to provide computing power
from a data center closer to the client
(“follow the sun”), or to load-balance
across multiple sites.
3. Disaster Planning Strategies (including
Disaster Avoidance)
Mission-critical application environments,
including their associated data-bases
and virtual machines, must
be proactively migrated from a data
center in the path of natural calamities,
such as hurricanes, to an
alternate location. Disaster planning
strategies and content replications
are often required by regulators in
many countries.
The cloud phenomenon, particularly interdata-center
replication and redundancy,
causes exponentially raised demands for
bandwidth and imposes high-bandwidth
requirements on the wide area network
(WAN).
Leading content service providers are seeing
data center interconnect (DCI) traffic
grow ten times faster than user traffic. The
DCI traffic is characterized by traffic bursts
that need the full peak rate available at run
time, to guarantee coherency of inter-data
center operations. This requirement presents
unique challenges when designing
a DCI network, including performance, efficiency
and cost effectiveness. Therefore,
it is not only the issue of traffic capacity,
but also run-time resource management,
to guarantee network resources will be dynamically
assigned and available, when a
specific DCI operation is being executed.
So we must look at what the future has to
offer in terms of more capacity and more
flexibility, to cope with the sporadic, simultaneous
and independent nature of DCI replication
scenarios, not to mention bursty
broadband consumption.
Which brings us to software-defined networking
and 400G transmission rates…
Software-Defined Networking
(SDN) for Dynamic Data Centers
Until recently, optical networks could rely
on a simple practice to deal with the challenge
of massive traffic growth, by meeting
peak hour demands. However, this becomes
unrealistic as optical networks reach
their physical barrier for capacity, so that
any further expansions are dependent on
digging more fibers, not always a possibility.
In the case of data centers, because
of the bursty nature of traffic, relying on
peak hour demands as the default at all
times is a very costly proposition, economically
and in terms of power consumption
and environmental concerns.
The solution? Introducing network dynamicity
into resource and power consumption
per actual demand, through softwaredefined
networking, or SDN.
Optical networks serve as the infrastructure
for many diverse applications, making
optical planning per application demands
impossible. The introduction of SDN as the
means for dynamic networking is an important
trend, as it supports dynamic resource
provisioning for efficient network
planning and operations.
SDN calls for the decoupling of the control
plane and the data plane of network
nodes. The control plane provides abstraction
of network capabilities, while hiding
the complexity of the underlying transport,
so network resources can be monitored
and programmed per application demand.
An orchestration layer enables a wider network
view and supports multi-layer, multi-domain
and multi-vendor correlations.
Correlation is made possible by mashing
up multiple abstracted resources (see
figure 1.)
In a multi-layer solution, packet-transport
layer services diffuse into the optical network.
Optical transport muxing can be
made more intelligent, inheriting packet
layer capabilities, such as partial rate,

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 |
13
Application
Layer
Control/NMS
Layer
Transport
Layer
Fig. 1: SDN reference architecture
Source: OIF
Service Service Service
Orchestration
Hypervisor Controller NMS
Data Center
Transport
blend 10G, 100G, 400G (and even 1T) with
SDN, for seamless and economically-viable
data transmission.
Towards 400G
Let’s look at transmission rates.
For the past two years, right after the 100G
standardization process was completed,
the telecom industry started looking at
what’s beyond 100G. Back then, the IEEE,
for the first time ever, standardized two
Ethernet rates – 40G and 100G – in the
same document (IEEE802.3ba). In fact, market
acceptance of 100G rates has been far
beyond that of 40G.
So it was natural for the IEEE to start investigating
what’s beyond 100G. The IEEE
Working Group 802.3BWA started to look at
this issue, and its main conclusions were:
asymmetric, on-demand, scheduled and
QoS-based muxing. In the future we may
also be able to dynamically provision wavelengths
to provide optical sub-rates, based
on similar policies and in alignment with
packet network services.
SDN can make the optical network programmable,
for example in the following
contexts:
- Bandwidth-on-demand: immedi
ate provisioning of additional bandwidth
between locations to facilitate
large data transfers or other immediate
bandwidth needs in case
of cloud bursting or cloud disaster
recovery
- Bandwidth scheduling: scheduled
provisioning of additional bandwidth
per pre-planned large data
transfers driven by scheduled applications
and maintenance
- Workload balancing: sharing the
workload, applications and services
among links and servers for maxi-
mum optimization of the network
and cloud resources.
- Multi-tenancy: securing applications
and organizations by isolating
them from each other, while keeping
the underlying physical network hidden
from end customers
The OIF (Optical Interworking Forum) and
the ONF (Open Networking Foundation),
organizations promoting SDN adoption,
have both established optical transport
working groups to address the applicability
of SDN to optical networks and recommend
reference architecture.
However, the introduction of SDN in optical
networks will not be straightforward
as network operators are not expected to
completely replace their working networks
and management systems. Instead, some
type of a transformation process, based on
legacy capabilities, will be built to achieve
the goal of optical network programmability
and unified resource management
for both cloud and transport network resources.
Eventually optical networks will
- By 2015, expected capacity requirements
of 10x the requirements of
2010, i.e., Terabit
- By 2020, expected capacity requirements
of 100x the requirements of
2010, i.e., 10 Terabit
- Higher speed at lower cost per bit
needed by Ethernet interconnect.
Not “can it be done,” but rather “can
it be done at the right cost?”
In March 2013, in a „Call for Interest“ meeting
at the IEEE, there was broad consensus
to form a working group for 400G Ethernet,
with the following issues as the main concerns:
reach, physical layers and architecture
(see figure 2.)
The IEEE sees the ITU-T defined OTN as the
long-reach default solution to carry 400G,
even in non-WDM environment. A common
join effort between the ITU-T and the IEEE
is required to build a working, mature ecosystem.
Since packet is the major source
of traffic at the OTN layer, it is clear that
the next Ethernet rate and the new ITU-T

14 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
Our SCOPE
Our SCOPE
ITU-T defined
„Core OTN Transport“
carrying Ethernet traffic
X.000 km
IEEE defined Ethernet
IEEE defined Ethernet
Fig. 2:
Source: Adapted from IEEE.
400 GbE issues: • Reach
• Types of PHYs
• Architecture
defined OTN need to be correlated to optimally
carry the Ethernet rate.
However, given that the market will demand
1T rates by 2015, how come 400G
met with such broad consensus from
IEEE members?
Looking into the future
The ITU has completely adopted the Ethernet-based
CFP (100G MSA client transceiver
package) package as its basic OTN client interface,
and even for line side, CFP will be
used for coherent transceiver. The new CFP
coherent transceiver includes SD-FEC on
the DSP chip, and will enable carrier Ethernet
switch routers (CESR) to skip the OTN
layer when working at long-reach fiber.
Yet the challenges of Ethernet and OTN
are completely different. Besides the variations
in distance (with Ethernet from
0 – ~40Km, and OTN >~40Km), Ethernet
uses fiber as dark fiber, being able to be
de fined depending on how it is optimized
(line code, number of colors, wavelengths,
optical power…). It is the only single interface
that lives on fiber.
OTN challenges, on the other hand, are
much more complex, as OTN should support
legacy wavelengths with different
rates, amplified optics and power limitation
to prevent non-linearity (NLE). Yet another
major OTN challenge is the Bit/second/
HZ issue. Starting from 100G, fibers used
for WDM transport become bandwidthscarce,
and preserving 88 channels for
beyond 100G is not possible, since the
symbol rate (SR) and the bandwidth are
roughly the same. The SR of standard ITU-
OIF 100G (DP-QPSK) is 33 G Symbol/sec ~ –
which is more than 33Ghz BW. To double
the SR for rate increasing, say to 66GSy/
sec, will exceed the 50 GHz spectrum of
WDM channels.
400 DP-16QAM 4.6 or 5.3 bits/s/Hz
87.5 or 75 Ghz
In addition, to increase line rate and maintain
the 88 channels, higher SR may not
help at all, and we may need to increase
the spectrum density – the amount of bits/
sec that may be transferred on a spectrum
piece (such as 1Hz). Increasing spectrum
density is a well-known technique in radio
technology – microwave or cellular, but it
will always come with penalty of performance.
In the optical space, it basically
means lower distance. Thankfully, 100G
provides us with similar performance as
10G, but as we know from radio, increasing
symbol complexity has ~ 3dB OSNR penalty
for each step – so, for example, moving
from QPSK to QAM16 has ~6dB OSNR penalty
(~0.25 x 100G distance). (See Picture 3.)
Fig. 3: Source: Adapted from IEEE.

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 |
15
To economically achieve the beyond 100G
rate by 2016-2017 timeframe will only be
possible if we rely on technologies that
are “almost here.” Despite the 2015 1T bps
IEEE 802.3BWA challenge, the industry is
still missing the right technology, which
will probably involve some major breakthrough
in the silicon photonic segment.
The lack of such breakthrough technology
was the key driver for the broad 400G
IEEE agreement.
10 Gb/sλ
40 Gb/sλ
10 Gb/sλ
40 Gb/sλ
40 Gb/sλ
100 Gb/sλ
40 Gb/sλ
40 Gb/sλ
1569.59 1569.18 1568.77 1568.36 1567.95 1531.12 1530.72 1530.33 λ nm
C-band, fixed 50 GHz grid
We believe that a joint economic and technologic
approach is required to enhance
the OTN rate, as it mostly serves the packet
world. This joint approach might include
the following ideas:
• Increase spectral density by moving
to QAM16
100 Gb/sλ
100 Gb/sλ
400 Gb/sλ
400 Gb/sλ
1 Tb/sλ
1569.59 1569.18 1568.77 1568.36 1567.95 1531.12 1530.72 1530.33 λ nm
Example of a future C-band, 50 – 200 GHz Flexible Grid (in 25 GHz increments)
Fig. 4: Source: Adapted from IEEE.
• Use supper channel of 2 – two mini
WDM channels, one near the other,
to support increased bandwidth, but
with current ADC technology (4 ADC
in 66G sample/sec in single DSP)
• Use 12.5Ghz granularity with
75/87.5Ghz/100G channel spectrum
width, to increase the spectral
efficiency also known as flexible
grid concept
• Use DAC in the TX path to enable
spectral shaping, and TX preprocessing.
400G with QAM16 will decrease the optical
performance vis-à-vis 100G. However,
the full impact is yet to be understood.
What becomes clear is that we may not talk
about a single OTN rate, but rather about
a family of software-defined OTN rates.
In case the link OSNR will not enable
QAM16, the constellation may be changed
back to QPSK through software, or even to
BPSK or 8PSK – in conjunction with super
channel of two, family of rates would be
enabled, rather than single rate as in the
past. This concept is known as adaptive
OTN or OTN Flex. (See picture 4.)
Elastic network
For the 400G Ethernet, we can be more
open minded and also think of a family
of Ethernet rates, where the higher rate
is 400G, but lower rates are also permitted.
In implementation, that will use parallel
communications built from several
channels (such as several colors), it is not
bad to maintain partial Ethernet traffic, in
case one or more of the channels is down
from some reason. Assuming we will have
Ethernet client interface with 16 x 25G –
why should we have to drop the link, when
only 1 out of 16 has failed?
Flex Ethernet is not new – we already have
VDSL and SHDSL on the copper-Ethernet
under 802.3ah single pair domains, supporting
a variety of rates, rather than the
usual 10X conventional numbers of 10M,
100M, 1G. With the developing of carrier
Ethernet technology, it makes sense to preserve
the same capabilities in both OTN
and Ethernet, including flexibility.
Another issue to consider is system power.
System power consumption, especially
in the transport sector, is growing in di-
rect relation to the interface speed. One
of the ways to be more energy efficient is
to change the link/interface rate based on
real traffic load. Rate adaptive/flex Ethernet/OTN
is one of the interesting ways to
get us there.
While in the future we may have flex Ethernet
and flex OTN layers, we can imagine
new optimized, dynamic mapping layer
between Ethernet/packet to OTN, map packet
under Ethernet over subscription base
on QoS, or asymmetric link rate between
two endpoint.
It looks futuristic, but it is all about using
scarce fiber resources more efficiently, and
understand that the alternative is to light
more fiber.
With these kinds of flex approaches, we
may refresh the transport network with
total new concepts which, along with SDN
at the control layer, will enable a whole
new revolution of elastic power optimized
network to lead data center interconnect
towards the future. M

16 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
Kurzmeldungen
Vom CISO bis zur Hochschul-App: Nutzergruppe Hochschulverwaltung
tagt zum 11. Mal
Bereits zum 11. Mal trafen sich vom 6. bis
zum 8. Mai 2013 die Mitarbeiter der Hochschulverwaltungen
im Rahmen der alle
zwei Jahre stattfindenden Tagung der DFN-
Nutzergruppe Hochschulverwaltung. Unter
dem Motto „Mobiler Campus“ wurden
an der Universität Mannheim neueste Entwicklungen
im Bereich ‚IT an Hochschulen‘
diskutiert. Das Themenspektrum der Veranstaltung
reichte von der titelgebenden
Mobilität in all ihren Aspekten über Fragen
der Risikoanalyse und IT-Sicherheit bis
zum Prozessmanagement und den vielfältigen,
nicht zuletzt sicherheitstechnisch
und juristisch relevanten Fragen rund um
Cloud-Technologien.
Die Hochschulverwalter bilden eine der
dienstältesten Communities im DFN-Verein,
die als Nutzergruppe mit eigenen Ta-
gungen und Informationsveranstaltungen
ihre spezifischen Interessen formulieren.
Die Veranstaltungen der Nutzergruppe
sind von besonderer Relevanz für
das Deutsche Forschungsnetz, da die Verwaltungen
der Hochschulen sich traditionell
in einer Doppelrolle gegenüber ‚dem
Netz‘ befinden. Sie sind zugleich Nutzer
mit höchsten Ansprüchen etwa in den Bereichen
Sicherheit, Usability und Relevanz
für die realen Bedarfe der Wissenschaft,
zum anderen sind die Verwaltungen tief
eingebunden in die Entscheidungsprozesse
im IT-Bereich. Insbesondere die Etablierung
von IT-Entscheidungen auf der Führungsebene
der Hochschule durch CTOs
(Chief Technology Officer) oder die von vielen
Seiten gestellte Forderung nach der
Einführung sogenannter CISO’s (Chief Information
Security Officer) zeigt, wie weitreichend
die administrativen und die wissenschaftlichen
Aspekte der Netznutzung
heute ineinander greifen.
Einen Überblick über die Themen und Arbeitsgebiete
der Nutzergruppe gibt das Tagungsprogramm,
das auf den Webseiten
der Nutzergruppe hinterlegt ist. Zu fast
allen Vorträgen und Präsentationen finden
sich Folien und Abstracts. Wer sich
über den Stand und das Potenzial mobiler
Systeme an den Hochschulen informieren
möchte, wird auf den Webseiten der
Hochschulverwalter ebenso fündig wie derjenige,
der einen Überblick über die derzeit
im Einsatz befindlichen „Hochschul-
Apps“ sucht. M
http://www.hochschulverwaltung.de
Eduroam-Konfigurationsassistent
im Regelbetrieb
DFN-Infobrief Recht als
Kompendium
Einfach einen QR-Code einscannen und von
jeder der mehr als 5.000 Einrichtungen, die
weltweit an eduroam teilnehmen, ins Wissenschaftsnetz
surfen! Wer 2013 als Studierender
oder Wissenschaftler einen eduroam-Account
besitzt, kann Smartphones,
Tablets oder Rechner mit dem ‚eduroam
Configuration Assistent Tool‘ (CAT) in Sekundenschnelle
konfigurieren.
Der Konfigurationsassistent wurde aus
Mitteln der Europäischen Union finanziert
und wesentlich von den Kollegen des
polnischen und des luxemburgischen Forschungsnetzes
entwickelt. Für Nutzer deutscher
Wissenschaftseinrichtungen findet
sich der Konfigurationsassistent unter der
URL: edit.dfn.de
Alternativ zum QR-Code kann mit zwei
Klicks auch über ein Web-Frontend konfiguriert
werden. Einfach die vom System
angebotene Heimateinrichtung auswählen
und anschließend das verwendete Betriebssystem
von Laptop, Smartphone oder
Tablet anklicken. Der Download der Konfigurationsdatei
startet automatisch.
Der Konfigurationsassistent läuft seit kurzem
im Regelbetrieb in der Version 1.0.2
und wird bereits von vierzig Einrichtungen
im Deutschen Forschungsnetz angeboten.
Rechenzentren und DV-Verantwortliche,
die sich für den Assistenten interessieren,
nehmen Kontakt mit der Geschäftsstelle
des DFN-Vereins auf. M
Seit 2011 werden die DFN-Infobriefe Recht
vom DFN- Verein zusätzlich zur laufenden
Publikation über das Netz auch als gedruckter
Jahres-Sammelband herausgegeben. In
den Sammelbänden sind alle Artikel, die
im Laufe eines Jahres veröffentlicht wurden,
enthalten.
Der Jahresband 2012 kann über die Geschäftsstelle
des DFN-Vereins bezogen
werden. Bitte kontaktieren Sie uns per E-
Mail unter sammelband-recht@dfn.de M

WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 |
17
Deutliche Leistungssteigerung im
DFNInternet
250. AAI-Vertrag
Seit Einführung des Gigabit-Wissenschaftsnetzes
im Jahr 2001 ist der DFN-Verein bestrebt,
den steigenden Anforderungen der
an das Wissenschaftsnetz angeschlossenen
Anwender durch Leistungssteigerungen
zu unverändertem Entgelt zu entsprechen.
Mit dem 1. Juli 2013 gelten für alle
Kategorien des Dienstes DFNInternet ab
I02 neue Bandbreiten. Insbesondere in den
unteren Kategorien des Dienstes mit niedrigen
Bandbreiten fällt die Leistungssteigerung
2013 deutlich aus. Wer mit dem
kleinsten Anschluss an DFNInternet in der
Kategorie I02 angeschlossen ist, dessen
Bandbreite vergrößert sich von bislang 40
Mbit/s auf nun 200 Mbit/s. Die 75 bzw. 100
Mbit/s der Kategorien I03 und I04 werden
durch 300 Mbit/s bzw. 400 Mbit/s ersetzt.
In den mittleren Kategorien wird mindestens
eine Verdreifachung der Anschlussbandbreiten
realisiert, während die höchsten
Kategorien des Dienstes mindestens
eine Verdoppelung ihrer bisherigen Bandbreite
erfahren. Die Entgelte pro Kategorie
bleiben unverändert. Die Anschlüsse zum
Dienst DFNInternet werden grundsätzlich
weiterhin mit zwei redundanten Leitungen
ausgeführt (redundante Anbindung
mit einer Hauptleitung und einer Nebenleitung).
Alternativ kann auf die redundante
Anbindung verzichtet und die gesamte
Bandbreite stattdessen über einen einfach
angebundenen Anschluss (einfache Anbindung)
bereitgestellt werden. Das Verfahren
der Leistungssteigerung wurde von
der 65. Mitgliederversammlung des DFN-
Vereins im Dezember 2012 beschlossen.
Grundsätzlich gilt für den Dienst DFNInternet
weiterhin: Keine Installations- oder
Grundgebühr, keine Volumenberechnung,
keine versteckten Kosten. Überall gleich
in Deutschland (außer für Portanschlüsse).
Die Entgelte des Dienstes DFNInternet
sind einfach und transparent. Sie beziehen
sich ausschließlich auf die eingehende
Bandbreite (vom Wissenschaftsnetz
zum Anwender) für den Zugang zu DFNInternet
und sind so ausgelegt, dass die entstehenden
Kosten für den Dienst von den
Anwendern gemeinsam gedeckt werden.
https://www.dfn.de/dienstleistungen/dfninternet/entgelte-ab-juli-2013/
M
Die Hochschule Albstadt-Sigmaringen ist
250ster Vertragspartner innerhalb der DFN-
AAI. Seit Jahren schon hat die DFN-AAI eine
Zuwachsrate von etwa drei Einrichtungen
oder Vertragspartnern, die Monat für Monat
der Föderation beitreten.
Dabei wird die DFN-AAI zunehmend nicht
mehr nur im Verlags- und Bibliotheksbereich
genutzt, sondern kommt immer häufiger
auch beim E-Learning, bei der Software-
Distribution oder bei der Organisation interner
Arbeitsabläufe an den Hochschulen
zum Einsatz. So lässt sich mit der DFN-AAI
der Zugriff auf personalisierte Studenten-
Portale ebenso steuern wie die Gewährung
von Schreibrechten in Typo3.
Wissenschaftlern und Studierenden werden
mit der DFN-AAI inzwischen auch europaweit
Ressourcen zugänglich – seit kurzem
ist die DFN-AAI in die von der TERE-
NA organisierte AAI „edugain“ integriert.
Für Fragen und Anregungen steht die Hotline
unter hotline@aai.dfn.de zur Verfügung.
M
Foto: © vm - iStockphoto

18 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
GÉANT schaltet um auf
Terabit-Technologie
Fast gleichzeitig mit der Migration des X-WiN ist auch der europäische Wissenschafts-
Backbone GÉANT mit Terabit-Technologie ausgestattet worden. Auf sämtlichen Dark-
Fibre-Verbindungen des 50.000-km-Backbone-Netzes, mit dem die nationalen
Forschungsnetze europaweit verknüpft sind, ist seit diesem Jahr eine neue Switchingund
Multiplexing-Infrastruktur im Einsatz.
Text: Kai Hoelzner (DFN-Verein)
Foto: © Mia11 - photocase
GÉANT 2013: Terabit-
Technologie im Einsatz
Seit Jahren ist ein exponentielles Wachstum
des Datenaufkommens in den Forschungsnetzen
zu beobachten, das mit
einer zunehmenden Internationalisierung
des Datenverkehrs einhergeht. Forschungskollaborationen
und international
aufgestellte Projekte und Infrastrukturen
wie das CERN oder zukünftig das Square
Kilometer Array generieren enorme Datenmengen,
die über viele nationale Domains
hinweg verteilt, analysiert und gespeichert
werden müssen. Damit wachsen nicht nur

INTERNATIONAL | DFN Mitteilungen Ausgabe 84 |
19
die Anforderungen an die nationalen Forschungsnetze,
sondern auch an den europäischen
Forschungs-Backbone GÉANT.
Seit Anfang 2013 ist im X-WiN eine neue
Technologie-Generation auf der optischen
Übertragungsebene des Wissenschaftsnetzes
im Einsatz. Bedingt durch einen ähnlichen
Beschaffungs-Zyklus wurde nun auch
das GÉANT mit neuester Übertragungstechnik
ausgestattet. Ebenso wie das Deutsche
Forschungsnetz hält GÉANT seitdem Kapazitäten
bereit, die bis in den Terabit-Bereich
gesteigert werden können und die
Bedarfe der Wissenschaft in puncto Übertragungskapazität
für einen längeren Zeitraum
befriedigen werden.
Bereits 2011 war eine massive Investition
in die technische Infrastruktur des GÉANT
angekündigt worden, mit der die Übertragungskapazitäten
bis Ende des Jahrzehnts
in den Multi-Terabit-Bereich gehoben werden
können. Das Rollout des Terabit-Netzwerks
wurde unmittelbar nach Vergabe der
Aufträge im Juli 2012 begonnen und konnte
noch im Frühjahr 2013 abgeschlossen
werden. Dabei wurden 12.000 Kilometer
Glasfaser-Verbindungen des GÉANT-Backbones
mit neuer Multiplexing- und Switching-Technik
ausgestattet. Insgesamt
wurden innerhalb von nur zehn Monaten
an mehr als 170 Standorten zwischen Kopenhagen,
Tallin und Riga im Norden, Moskau
im Osten, Athen im Süden und Dublin
im äußersten Westen des Kontinents Altgeräte
ab- und neue Technologie aufgebaut.
Migration in zwei Phasen
GÉANT-Backbone im Jahr 2013: 12.000 Kilometer Glasfaserstrecke (schwarz) wurden auf 100-Gigabit/s-
Technologie migriert.
Um Unterbrechungen zu vermeiden, wurde
die Migration in zwei Phasen durchgeführt,
wobei zunächst die Switching-Technik
erneuert und anschließend die optische
Übertragungstechnologie der Wellenlängen-Multiplexer
ausgetauscht wurde.
Die bisherige Topologie des GÉANT wurde
dabei um zwei zusätzliche Routen Mailand
– Marseille und Marseille – Genf ergänzt.
Die zusätzlichen Strecken nach Marseille
ermöglichen, eine Fülle dort endender Unterseekabel
aus dem Mittelmeerraum für
das GÉANT zu nutzen. Über diese Unterseekabel
landet nicht nur ein erheblicher
Teil des Datenverkehrs mit Afrika, sondern
auch aus weiten Teilen Asiens.
Eine Reihe parallel bereitgestellter Fasern
entlang bereits existierender Strecken in
GÉANT erhöhen auf den Schlüssel-Verbindungen
des GÉANT die Kapazitäten und
die Stabilität des Netzes. Dies betrifft die
Strecken London – Paris, London – Brüssel
– Amsterdam, Amsterdam – Frankfurt
a.M., Frankfurt a.M. – Genf und Mailand –
Wien. Gleichzeitig ermöglichen die parallelen
Fasern auf den ‚inneren‘, stark beanspruchten
GÉANT-Strecken eine flexiblere
Migration auf die neue Übertragungstechnik
und ein vorheriges Testen der einzelnen
Strecken vor dem finalen ‚Switch-Over‘.
Insbesondere, wenn keine parallele Faser
zur Verfügung stand, wurden die Arbeiten
an den Standorten nur außerhalb der Peak-
Zeiten des Netzes durchgeführt, so dass
mögliche Beeinträchtigungen des Datenverkehrs,
wie etwa die Laufzeitverlängerung
von Paketen auf alternativ gerouteten
Strecken, möglichst wenig Störungen
bei den Anwendern hätten verursachen
können. Anders als bei der Migration des
X-WiN, das Dank seiner vollständigen Streckenredundanz
auch während der Migration
immer mindestens eine Kernnetzverbindung
zu einem Standort aufrecht erhielt,
wurde bei der GÉANT-Migration ein Sicherungsseil
für die Umschaltung der Standorte
benötigt: Eine Rollback-Strategie sah
vor, im Falle etwaiger technischer Probleme
unverzüglich auf die alten technischen
Komponenten zurückzuschalten, die erst
bei erfolgreicher und vollständiger Migration
des Netzes abgebaut wurden.

20 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
„Need for Speed“
Die Ausrüster der neuen GÉANT-Generation
heißen Infinera und Juniper Networks.
Auf der Switching-Plattform kommen seit
Mai Router der MX 3D Serie von Juniper
Networks mit 100-Gigabit/s-Kapazität
zum Einsatz. Die optische Transportebene
des GÉANT ist nun mit Infineras neuester
DTN-X Technik bestückt sein, die „XTC“
Add Drop Multiplexer und „OTC“ Optical
Line Amplifiers mit EDFA/RAMAN Verstärkern
kombiniert. Den mehr als 50 Millionen
Endnutzern, die über die 32 europäischen
NRENs und eine Fülle interkontinentaler
Verbindungen via GÉANT kommunizieren,
steht damit eine annähernd frei skalierbare
und hoch belastbare Netzinfrastruktur
zur Verfügung.
Forschen am Netz
Finanziert wird das GÉANT aus Nutzungsentgelten
der nationalen Forschungsnetze
und aus Mitteln des 7. Rahmenprogramms
der Europäischen Union. Hierzu wurden im
Rahmen des Projektes GN3plus für die kommenden
zwei Jahre 42 Millionen Euro von
der Europäischen Kommission bewilligt,
mit denen neben dem Betrieb des Netzes
auch der Aufbau von Testbeds sowie ein eigenes
Förderprogramm für Entwicklungsprojekte
unterstützt werden. Insbesondere
die Durchführung von netznahen Innovationsprojekten
stellt für GÉANT ein Novum
dar. Die Aufgabe, die die Europäische
Kommission dem GÉANT für die kommenden
beiden Jahre mitgegeben hat, lautet,
über Open Calls eine Reihe von Miniprojekten
auszuschreiben und durchzuführen.
Gesucht werden hierfür Use-Cases, eigenständige
Forschungs- und Technologie-Entwicklungen
zur Unterstützung laufender
Projektaktivitäten sowie innovative Projekte
und Demonstrationen in NREN-übergreifenden
Multi-Domain-Umgebungen.
GÉANT Testbeds
Mit dem Schwerpunkt „Testbeds as a Service“
in GN3plus bietet GÉANT Wissenschaftlern
künftig die Möglichkeit, Testbeds
zur Erprobung neuer Netztechnologien
und innovativer Anwendungen zu nutzen.
Hierzu stehen im GÉANT zwei Typen
von Testbed-Ressourcen zur Verfügung:
Ein ‚Dynamic Packet Testbed‘ ermöglicht
Untersuchungen und Technologieerprobungen
auf den höheren Netzwerk-Ebenen,
während ein ‚Dark Fibre Testbed‘ eine
Infrastruktur für Feldversuche mit optischen
und photonischen Technologien
bereitstellt, auf der sich technologische Innovationen
in realistischen Weitverkehrsverbindungen
erproben lassen. Nicht zuletzt
werden davon eine Reihe nationaler
NRENs profitieren, die in den kommenden
Jahren mit dem Umstieg von 10- auf 100
-Gigabit-Technologie befasst sein werden.
Das ‚GÉANT Dark Fibre Testbed‘ besteht
aus Faserverbindungen, die nach dem Abschluss
der aktuellen Netzwerk-Migration
des GÉANT verfügbar bleiben. Fünf solcher
Routen mit einer Gesamtlänge von 2.500
Kilometern können von Oktober 2013 an
bis Ende Juni 2015 für Tests genutzt werden:
Die Strecken London – Paris, Frankfurt
– Genf, Amsterdam – Frankfurt, Amsterdam
– Brüssel und Mailand – Wien sind mit
optischen Verstärkern ausgestattet und
werden an den Endpunkten der jeweiligen
Strecken durch das Alcatel DWDM-
System des „alten“ GÉANT beleuchtet. Das
GÉANT Dark Fibre Testbed ermöglicht die
Technologie-Erprobung auf der Transport-
Ebene und wird nicht nur für das GÉANT,
sondern ebenso auch für die nationalen
Forschungsnetze interessant sein, die ihre
Netze in den kommenden Jahren mit einer
neuen Generation von Routern, Switchen,
Multiplexern und Verstärkern ausstatten
werden und in diesem Zusammenhang
Hardwaretests durchführen müssen.
Das ‚GÉANT Dynamic Packet Testbed‘ stellt
interessierten Wissenschaftlern eine Fülle
von Netzwerk-Ressourcen zur Verfügung,
mit denen sich verschiedenste Ansätze für
virtuelle und dynamische Vernetzungen erproben
lassen. Ziel ist, künftige Konzepte
und Technologien wie etwa Software Defined
Networks z.B. auf der Basis von Open-
Flow in einer realistischen Weitverkehrs-
Umgebung und bei Bedarf über mehrere
Domains hin zu erproben und möglichst
zeitnah für die wissenschaftliche Netznutzung
zu erschließen.
Der DFN-Verein war in jüngster Vergangenheit
in verschiedenen Arbeitsgruppen an
der netztechnischen Weiterentwicklung
des GÉANT beteiligt, unter anderem in den
Bereichen Federated Network Architectures
sowie Virtualisierung von Netzen. Hierbei
wurde untersucht, welche Rolle die Föderierung
von Netzen bzw. das Virtualisieren
von Netzkomponenten spielen werden.
GÉANT Open Call
In einem Open-Call-Verfahren wurden im
April und Mai 2013 Projektvorschläge gesammelt,
die sich mit spezifischen Themen
innovativen Netzwerkens befassen. Die Liste
dieser Themen reicht von Photonic Level
Access – also dem Zugriff auf Netzstrukturen
unterhalb der IP- und Ethernet-Ebene
Software Defined Networking, Bandwith
on Demand oder Terabit Transmission Trials
über eine Fülle von Utility-Themen wie
Network as a Service, hochverfügbare Netze
oder Cloud-Access bis hin zu innovativen
Demonstrationsprojekten.
Für die Durchführung dieser Projekte stehen
in GN3plus 3,3 Millionen Euro bereit.
Formuliertes Ziel ist, möglichst netznahe
Forschungsvorhaben zu unterstützen, die
für die Zukunft des GÉANT und der nationalen
Forschungsnetze relevant werden
können. Dabei wird eine enge Abstimmung
der eingereichten Projekte mit den laufenden
Aktivitäten in GN3plus angestrebt. Die
Laufzeit der Open-Call-Projekte soll von
Oktober 2013 bis zum Ende der Planungszeitraumes
des 7. Rahmenprogramms der
EU reichen, das im März 2015 ausläuft. M

INTERNATIONAL | DFN Mitteilungen Ausgabe 84 |
21
ORIENTplus: Boosting EU-
China Collaboration
Between 2007 and 2010 the ORIENT project provided the first direct high-capacity Internet connection
for research and education between Europe and China. Now the successor project ORIENTplus
offers with its 10G link the shortest and fastest data communications route between the GÉANT and
Chinese research networking communities, enabling innovative research and education collaborations
to flourish. DFN-Mitteilungen caught up with project representatives in both regions and
asked them what ORIENTplus means for scientists, academics and NRENs at both ends of the link.
Kai Nan, Director
CSTNET
Jiangping Wu, Director
CERNET Center
David West, Dante Ltd.
Project Manager ORIENTplus
Christian Grimm, Director DFN
Chair ORIENTplus Steering Group
Who is behind ORIENTplus?
DW: ORIENTplus was born out of the successful ORIENT collaboration
between Europe and China. Through the planning
and operation of ORIENTplus the relationship has further developed.
We now have both major Chinese research and education
networks, CERNET and CSTNET, fully involved in the project.
We also have 9 European NREN partners*, though all European
NRENs are connected via GÉANT, and DANTE is co-ordinating
on behalf of the EU and Chinese partners. Operational
management is jointly coordinated by the GÉANT and CNGI-6IX
NOCs. The project is absolutely a partnership of equals between
Europe’s and China’s NRENs - committed to work together to
provide world class e-Infrastructure for world class collaborative
research. The project receives financial backing from the
EC’s FP7 programme and from the Chinese government as well
as from the NREN communities.
JW:CERNET was the Chinese partner in ORIENT and connected
CSTNET in China. CERNET is very pleased CSTNET has become a
full partner in ORIENTplus. The equal funding and project responsibility
from China and Europe symbolises the shared commitment
of both sides.
Aren’t 10Gb connections commonplace these days? What makes
this upgrade so special?
CG: Not at all! I agree we have 10Gb in the European GÉANT footprint
and on our links to the US. This is why most Internet traffic
to Asia still goes the long way round, via the US and through the
Pacific. But with ORIENTplus we now have a direct link between
Europe and China which goes overland through Siberia. Unfortunately,
this comes at a cost which is why we sought EC and
Chinese government funding support. But it has the great advantage
of being the only high-capacity connection between Europe
and China using the shortest route available – a must-have

22 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
for many data-intensive and time-critical research applications.
The upgrade from 2.5 to 10Gb was clearly needed to keep pace
with the increased user demand we are seeing. To illustrate how
capacity to China has grown I may recall that ORIENTplus e–
volved from a direct 2Mbps peering between the UK and China
to a high-speed inter-regional link over a thousand times that
capacity. Not to mention that in DFN we celebrated a 64kbps link
between Germany and China less than 15 years ago.
JW: But ORIENTplus is more than just a link with huge capacity.
Thanks to good co-operation between CERNET, TransPAC3,
and Internet2, and ORIENTplus there is now also an integral element
of “around the globe” connectivity support. A recent mutual
back-up agreement between the four partners guarantees
network reliability and resilience by automatically re-routing
the traffic via the US in the event of any outage. I believe this is
the first-ever global back-up partnership and a great example
of collaboration between network providers.
We understand that link is operated in hybrid mode. What are
the advantages of that?
CG: Indeed. The hybrid nature of the link means that it can carry
both IP and point-to-point traffic. It will allow us to deploy tools
and services, such as PerfSONAR, eduroam and dynamic pointto-point
links. In addition to the upgraded link capacity, this will
give us adequate flexibility to support communities with special
networking requirements.
KN: Let us not forget the good team work to make this happen.
We have set up a joint EU-China technical support team. So we
have the most efficient and simplified troubleshooting process
to ensure reliable and high quality network transmission. And I
agree, the hybrid mode provides the opportunity to deploy different,
innovative techniques and equipment, such as acceleration
devices, to match specific application needs.
Who uses this link today and what are the growth areas?
CG: It comes as no surprise that users from the LHC community
were among the first to fill the increased capacity. But we expect
many more from other disciplines. As an interesting effect,
by making the ORIENTplus capacity available to our users we
learned a lot about the many existing collaborations between
European and Chinese researchers.
KN: We have already seen take-up in the field of radio-astronomy.
eVLBI, for example, relies on a stable network connection
*BASNET, CESNET, DFN, e-ARENA, GARR, GRNET, JANET, NORDUNET and PSNC
for correlating massive data in real-time from radio-telescopes
in Europe and on CSTNET’s network in China. Similarly, the AR-
GO-YBJ cosmic ray studies involve the transfer of terabytes of
data every year from a telescope in Tibet to a processing centre
in Italy – thousands of miles away. Real-time processing and
analysis of these data do not work with packet loss or a jittery
connection – so the applications need dedicated R&E network
links, such as ORIENTplus, to deliver this. Genomic research between
China and Europe needs the same strong networking. The
commodity Internet would simply not be able to tackle the data
traffic generated by DNA sequencing and processing by life sciences
institutions, such as the Beijing Genomics Institute (BGI)
and the European Bioinformatics Institute (EBI).
JW: More and more collaborative projects between universities
in China and Europe have increasing bandwidth demands. There
are, for example, many UK universities setting up remote campuses
and offices in China, the online courses, videoconferences and
other forms of virtual meetings and discussions are becoming
a key part of this type of remote education. Certainly, ORIENTplus
is the basic infrastructure to support these collaborations.
What special value does China see in ORIENTplus?
JW: In the late 90’s, before ORIENT and ORIENTplus, CERNET’s first
ORIENTplus
Between 2007 and 2010 the ORIENT project provided the
first high capacity link between GÉANT and China with
FP6 funding support and successfully enabled many innovative
EU-China research and application collaborations
to flourish.
ORIENTplus is created to maintain and further develop
infrastructure between GÉANT and China that is open for
use by all European and Chinese researchers. The main focus
of the this project is to support the infrastructure link.
To mark the significant upgrade of the ORIENTplus link to
10 Gbps, project partners, senior EC and Chinese government
officials, media representatives as well as members
of the user community gathered on 12 April for a commemorative
event networked over the ORIENTplus link,
with a main venue in London connected by high-quality
video-conferencing to 14 sites across Europe and China.
The launch event provided an opportunity to hear and see
first-hand from scientists how this high-speed China-EU
link makes a real difference in advancing collaborative
research.

INTERNATIONAL | DFN Mitteilungen Ausgabe 84 |
23
direct links to Europe were with JANET and DFN only. With ORI-
ENT and now ORIENTplus, China’s researchers can now reach
the whole of Europe with just one link. As the link capacity
grows and our researchers can collaborate more, the relationships
get stronger and lead to new discoveries and innovation.
On China’s side we have the vision of global networking
since research challenges are global. We are very pleased
this is Europe’s vision too. It leads to good partnership and
success.
KN: ORIENTplus brings the best Chinese and European minds
together. In addition to our major science programmes, there
are important applications for all our people, such as e-health
and environmental monitoring. During the Sichuan earth quake
in 2008, for example, the ORIENT link was able to distribute highresolution
satellite images of the damaged region for immediate
analysis to help plan rescue, relief and recovery.
How do you see the EU-China collaboration develop in the coming
years?
DW: We already see China is the EU’s 2nd largest trading partner
and the EU is China’s biggest trading partner. The current ORI-
ENTplus project runs to the end of 2014.The growing research
and technology development programmes between Europe
and China mean there is a clear need for the world class e-Infrastructure
links to continue to be provided and further developed.
So we are now starting to discuss not ‘if’ but ‘how’ this is
done, building on the already excellent working relationships.
As well as the connectivity we would like to broaden this in to
further service and user collaborations.
We have some way to go, but I hope it will not be too long before
the project that follows on from ORIENTplus is able to tell
DFN-Mitteilungen of its latest upgrade to 100Gb or higher! M
Global R&E Network CEO Forum
take next steps in Asia’s Global City
of Hong Kong
Following their first retreat in September 2012, the Global R&E Network CEO Forum met in
Hong Kong on May 9th and 10th to review and further develop the four key global initiatives
which they had defined as a part of a wider global Research and Education ICT strategy.
The CEOs critically reviewed the common strategic challenges
they face in delivering advanced ICT services to the Research and
Education communities they serve. Outcomes of this meet ing
include significant progress on the four major challenges the
CEOs defined at their first meeting as well as developing new
areas of common strategic interest.
The four challenges are as follows:
1. Global Network Architecture – While clear principles for a coherent
global R&E network architecture continue to take form,
the CEOs decided to refine these principles by commissioning
a high-level action group to study and report back on key areas
such of procurement, the relationships with intercontinental
carriers and new intercontinental fiber builds, and federated
operations. A subgroup of the CEO Forum has also been formed
to develop a common view on the political approach to funding
the Global Network Architecture. Both these groups will have
strict timetables to ensure close alignment and delivery across
our multiple global boundaries.
2. Global Realtime Communications Exchange – The CEOs endorsed
the work done so far to develop a global dialing directory
for audio and video collaboration tools using NRENUM.net, SIP,
and H.323 as the major technical direction. Each participating
NREN, if not have already done so, will begin implementation
of this before the end of the 2013. The level of global interoperability
resulting from this project will be a key enabler for the
collaboration goals of the sector globally during the next five
year horizon in order to enhance both research and teaching &
learning growth.

24 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
3. Global Service Delivery – An initial group of seven of the CEO
Forum’s NRENs are aligning their efforts on Global Service Delivery
and are collaborating on creating business models and
developing contracts to work with cloud providers on a global
scale. This initiative is not without significant challenge, specifically
with respect to achieving common global legal agreements.
The progress of this project requires rapid global development
and implementation in order for the sectors across the world
to seize immediate cost and efficiency benefits in the effective
delivery of market leading technology solutions.
4. Global Federated Identity Management – To support the effective
global use of cloud services and on-line learning environments
such as MOOCs, the CEOs committed to interconnect
each of their federations before the end of 2013. This effort will
be aligned such that the Global Realtime Communications Exchange
and the Global Service Delivery can build on the interfederation
work. This interfederation platform is a fundamental
building block ensuring seamless linkages of both people and
projects across both national and regional boundaries. It was
recognized that if the global NREN community did not pursue
this approach as a matter of urgency there was a risk that less
appropriate and fragmented solutions would be adopted which
would be highly detrimental to the coherence of global research
and educational collaboration.
In addition to these four challenge areas, there also was significant
discussion around the areas of both security and mobility,
particularly with the exponential growth in BYOD (bring your
own device) and the increased risk profile as big data hits extraordinary
growth rates. The CEOs created two new groups. The
first one to determine how we can keep our networks and services
both open and secure. The second one on how to take away
barriers in global mobile communications for our community,
leading to clearly developed action plans in order to assess and
address any R&E market failure.
On the area of working with existing global or regional expert
groups, the CEOs acknowledged their commitment to work with
these groups to determine how their efforts can contribute to
the initiatives of the Global R&E Network CEO Forum.
The CEO Forum will continue to move forward with regular video
conferences and will meet again face to face to ensure progress
against the specific project milestones. The strategic importance
of countries with emerging NRENs was clearly recognized
by the group with the next face to face meeting scheduled
to be held in South Africa at the end of 2013, a location which exemplifies
with a view to exploring further the advanced needs
of the global research community with the Square Kilometer
Array and the specific needs of developing NREN communities.
The Global R&E Network CEO Forum consists of the Chief Executive
Officers of AARNet (Australia), CANARIE (Canada), CERNET
(China), CUDI (Mexico), DANTE (Europe), DFN (Germany), Internet2
(USA), Janet (UK), NORDUnet (European Nordics), REANNZ (New
Zealand), RedCLARA (Latin America), RENATER (France), RNP (Brazil),
and SURFnet (The Netherlands). (kh) M
Foto: © R_by_PD bearb.GS_pixelio.de

INTERNATIONAL | DFN Mitteilungen Ausgabe 84 |
25
Kurzmeldungen
CERN bekommt erste 100-Gigabit/s-Verbindung
Das neue in Budapest angesiedelte Data Centre des CERN gehört
zu den ersten Nutzern, die vom neuen Terabit-Netz des GÉANT
profitieren. Das „Wigner Research Centre for Physics“ wird in Zukunft
in großem Umfang ‚remote‘ Experimentaldaten des Large
Hadron Collider (LHC) speichern. Um die extremen Datenmengen,
die beim neuen Storage-Konzept des CERNs transportiert werden
müssen zu bewältigen, erhalten das CERN in Genf und das ungarische
Wigner Centrum eine direkte 100-Gigabit/s-Verbindung.
Das LHC generiert derzeit Daten im Umfang von 30 Petabyte pro
Jahr. Die schnelle weltweite Verteilung dieser Daten zu den Wissenschaftsgruppen
in verschiedenen Ländern stellt eine Voraussetzung
für die Durchführung der Experimente am CERN dar. Die
Basis für die Distribution der Experimentaldaten bilden die nationalen
Forschungsnetze und das GÉANT als pan-europäischer
Backbone mit leistungsfähigen weltweiten Links. Neben dem
GÉANT ist auch das ungarische Forschungsnetz NIIF/Hungarnet
involviert, das die Verbindung vom GÉANT-PoP in Budapest bis
zum Wigner Centre bereitstellt. M
Partnerschaft zwischen GÉANT und Helix
Nebula Cloud
GÉANT-Betreiber Dante Ltd. und das europäische Grid-Projekt
„Helix Nebula Cloud“ haben im Dezember 2012 eine Partnerschaft
vereinbart, innerhalb derer GÉANT eine aktive Rolle bei
der Weiterentwicklung der Wissenschafts-Cloud für internationale
Großforschungsprojekte einnehmen wird. Führende europäische
Wissenschaftseinrichtungen hatten im vergangenen
Jahr das nach einem Planetennebel im Sternbild Wassermann
benannte europäische Wissenschafts-Grid Helix Nebula Cloud
gegründet. Zu den Initiatoren der Helix Nebula Cloud gehören
neben der Europäischen Raumfahrtagentur ESA, dem europäischen
Kernforschungszentrum CERN und dem Europäischen Laboratorium
für Molekularbiologie EMBL auch eine Reihe von Industrie-Partnern
aus dem IT-Bereich.
In der Helix Nebula Cloud wird die Nutzung zentraler Rechenund
Speicherkapazitäten für aufwendige wissenschaftliche Berechnungen
zwischen internationalen Partnern in einer Cloud-
Umgebung erprobt. Die Partnerschaft mit dem europäischen
Forschungsbackbone GÉANT bedeutet nicht nur eine massive
Stärkung des Projektes. GÉANT, das sein Netz soeben auf 100-Gigabit-Technologie
umgerüstet hat und über leistungsfähige Verbindungen
in alle Kontinente verfügt, bringt nicht nur die weltweit
leistungsfähigste Netz-Infrastruktur für die Wissenschaft
in die Partnerschaft ein, sondern auch den direkten Zugang zu
den Forschungsnetzen der nationalen Wissenschafts-Communities
in Europa, die das GÉANT als gemeinsame Netz-Infrastruktur
initiiert haben. M
Erste transatlantische 100-Gigabit/s-Verbindung
angekündigt
Gemeinsam mit GÉANT haben die nordamerikanische Internet2-
Intiative und ESnet (beide USA), das skandinavische NORDUnet,
das niederländische SURFnet und Kanadas CANARIE eine Public
Private Partnership mit kommerziellen Dienstleistern zum Ausbau
der interkontinentalen Verbindung zwischen Forschungsnetzen
in Europa und Nordamerika angekündigt. Ziel des auf dem „Internet2
Annual Meeting“ Ende April angekündigten Vorhabens
ist die Etablierung einer ersten interkontinentalen 100-Gigabit/s-
Verbindung über den Atlantik. Unter dem Arbeitstitel „Advanced
North Atlantic 100G Pilot“ (ANA-100G) sollen bereits im Juni
2013 anlässlich der TERENA Networking Conference in Maastricht
Anwendungen zwischen den USA und Europa demonstriert werden.
Hintergrund ist, dass mehrere NRENs auf beiden Seiten des Atlantik
auf 40- bzw. 100 Gbit/s-Technologie aufrüsten werden. Neben
dem X-WiN und GÉANT sind hier auch das britische JANET,
SURFnet und NORDUnet sowie die Internet2-Initiative und ESnet
zu nennen. Die transkontinentalen Verbindungen allerdings
sind dieser Entwicklung auch bedingt durch die Angebotspolitik
kommerzieller Provider bislang nicht oder nur unzureichend
gefolgt. ANA 100G soll nicht nur die internationalen Kooperationen
in der Wissenschaft beflügeln, sondern auch einen Anstoß
in Richtung der am internationalen Markt tätigen Carrier und
Netzausrüster geben. M

26 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS
Gemeinsam sicher
Nordrhein-Westfalens Hochschulen setzen auf
gemeinsames Informationssicherheitsmanagement
Um den stetig wachsenden Anforderungen an die Hochschulen im Bereich Informationssicherheit
zu begegnen, setzen Nordrhein-Westfalens Hochschulen seit 2011 auf
eine gemeinsame Strategie. Synergie statt individueller Anstrengungen lautet das
Motto, mit dem das Projekt PRISMA (Programm für ein gemeinsames Informationssicherheitsmanagement
der Fachhochschulen NRW) die Einführung eines Information
Security Management Systems (ISMS) in den Hochschulen ermöglichen will. Gemeinsames
Ziel ist der Aufbau einer dauerhaften Kooperation zur Verbesserung der
Informationssicherheit, die Synergieeffekte mit sich bringt.
Text: Irene Weithofer (Fachhochschule Köln), Henning Mohren (Fachhochschule Düsseldorf)
ISMS – vom einsamen Helden zur
hochschulweiten Strategie
Informationssicherheit ist längst keine
Aufgabe mehr für den einsamen Helden
im Rechenzentrum, der sich mit der lästigen
Materie Datensicherheit auskennt
Anforderungen
und
Erwartungen
an ein ISMS
Do
ISMS
umsetzen
und
betreiben
Plan
ISMS
planen
und
festlegen
Kontinuierliche
Umsetzung,
Überwachung,
Verbesserung
und Betrieb
ISMS
überwachen
und
überprüfen
Check
und seinen mehr oder minder einsichtigen
Kollegen und Kolleginnen ins Gewissen
redet, wenn es darum geht, Passworte
nicht länger unter der Schreibtischunterlage
zu ‚verstecken’. Informationssicherheit
an Hochschulen erfordert heute sowohl
ein professionelles Management als
ISMS
instandhalten
und
verbessern
Informations-
sicherheits-
Managementsystem
(ISMS)
Abb. 1: Ein ISMS soll als Bestandteil eines übergreifenden Managementsystems die Entwicklung, Implementierung,
Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der
Informationssicherheit abdecken. Dabei folgt das ISMS einem kontinuierlichen Verbesserungsprozess.
Act
auch eine personelle Verankerung auf Leitungsebene.
Letztlich geht es zwar auch
um die Frage, ob in den Browsern und Betriebssystemen
die jeweils aktuellen Patches
eingespielt wurden, im Kern jedoch
darum, ob alle Management-, Kern- und
Supportprozesse der Hochschule auf Informationssicherheit
ausgerichtet sind.
Dies stellt nicht nur kleinere Einrichtungen
vor Probleme. Zwar existieren mit der
ISO/IEC Normen „ISO/IEC 27001 und 27002“
und dem vom Bundesamt für Sicherheit
in der Informationstechnik entwickelten
„BSI-Standard“ Leitfäden, die detailliert
regeln, welche Maßnahmen auf dem Weg
zu mehr Informationssicherheit getroffen
werden müssen. Die Umsetzung des umfangreichen
Regelwerks an den Hochschulen
ist allerdings nicht trivial und mit erheblichem
Organisations- und Arbeitsaufwand
verbunden.
Die Fachhochschulen des Landes NRW haben
aus diesem Grund bereits im Jahr 2011
einen gemeinsamen Fördermittelantrag
zur Einführung eines Managementsystems

CAMPUS | DFN Mitteilungen Ausgabe 84 |
27
für Informationssicherheit bei der zuständigen
Landesregierung gestellt. Im Rahmen
des durch Mitglieder des Arbeitskreises
der Kanzlerinnen und Kanzler und der
DVZ-Leiter gesteuerten „Programms für
ein gemeinsames Informationssicherheitsmanagement
der Fachhochschulen NRW“,
kurz PRISMA, wurde ein Referenzmodell
für die Einführung eines Information Security
Management Systems (ISMS) entwickelt,
das derzeit auf die teilnehmenden
Hochschulen transferiert wird.
PRISMA sorgt dabei nicht nur für den lokalen
Aufbau des ISMS an den teilnehmenden
Hochschulen, zu dem auch die Benennung
eines CISOs (Chief Information
Security Officer) an jeder Hochschule gehört,
vielmehr legt das Projekt auch den
Grundstein für eine dauerhafte Kooperation
mit der Bezeichnung ISKo (Kooperation
zur Informationssicherheit).
ISKo versteht sich als offene Kooperation,
d.h., jede Hochschule in NRW kann an der
Kooperation teilnehmen und Mitglied werden.
Das schließt explizit auch Hochschulen
ein, die nicht am Projekt PRISMA teilgenommen
haben. Inzwischen liegen auch
Beitrittsabsichten von Universitäten vor.
Das Projekt PRISMA gliedert sich in mehrere
Projektphasen (Arbeitspakete). Dem
Deming-Zyklus „Plan – Do – Check – Act“
folgend wurden im Projekt zunächst übergreifende
Dokumente zum Informationssicherheitsmanagement
erstellt.
Dokumente zum Informationssicherheitsmanagement
Die Leitlinie zur Informationssicherheit
(IS-Leitlinie) definiert verbindlich die Ziele,
die die Fachhochschulen in NRW gemeinsam
verfolgen wollen. Sie ist die Grundlage
für die Kooperation der Hochschulen,
die auch nach Projektende zur Verbesserung
der Informationssicherheit
fortgeführt werden soll. In der IS-Leitlinie
werden der Geltungsbereich, die Ziele
und die Organisation der Kooperation
Abb. 2: Der Basis-Sicherheitscheck verlief orientiert am Schichtenmodell und den zugeordneten Bausteinen,
wie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben. In den Referenzhochschulen
wurde im Projekt PRISMA die Schicht I „Übergreifende Aspekte“ mit 14 der insgesamt
17 Bausteine überprüft:
B 1.0 Sicherheitsmanagement
B 1.1 Organisation
B 1.2 Personal
B 1.3 Notfallmanagement
B 1.4 Datensicherungskonzept
B 1.5 Datenschutz
B 1.6 Schutz vor Schadprogrammen
B 1.8 Behandlung von Sicherheitsvorfällen
B 1.9 Hard- und Softwaremanagement
B 1.10 Standardsoftware
B 1.13 Sensibilisierung und
Schulung zur Informationssicherheit
B 1.14 Patch- und Änderungsmanagement
B 1.15 Löschen und Vernichten von Daten
B 1.16 Anforderungsmanagement
festgelegt. Im grundlegenden Textteil, der
für alle Hochschulen gleichermaßen gilt,
ist auch der Kooperationsvertrag verankert.
Darüber hinaus kann jede Hochschule
eigene Ziele und lokale Organisationsformen
für ihr spezifisch ausgeprägtes Management
der Informationssicherheit ergänzen.
Auf diese Weise besitzt jede Hochschule
ihre eigene IS-Leitlinie – gestaltet
mit dem eigenen Logo – und setzt diese
verbindlich in Kraft.
Mit dem Ziel, die Zusammenarbeit auch
nach Ende des Projekts im Bereich des Informationssicherheitsmanagements
fortzusetzen,
sind die Fachhochschulen dabei,
eine Kooperation zum Informationssicherheitsmanagement
(ISKo) zu gründen.
Die Bedingungen zur Teilnahme an
dieser Kooperation regelt der ISKo-Kooperationsvertrag.
Er wurde im Rahmen des
Projekts entworfen und darüber hinaus
auch im Arbeitskreis der Kanzlerinnen und
Kanzler und gegenüber den DVZ-Leitern
vorgestellt.
Die an der Kooperation teilnehmenden
Hochschulen verschreiben sich zu:
gemeinsamen, in der IS-Leitlinie verbindlich
definierten Zielen der Informationssicherheit:
• Berücksichtigen der Informationssicherheit
und des Datenschutzes
in jedem Geschäftsprozess.
Schicht I
Schicht II
Schicht III
Schicht IV
Schicht V
Übergreifende Aspekte
Infrastruktur
IT-Systeme
Netze
Anwendungen
• Schützen von Informationen über
die Sicherstellung ihrer Verfügbarkeit,
Integrität und Vertraulichkeit,
Authentizität, Revisionsfähigkeit
und Transparenz.
gemeinsamen Elementen der Organisation:
• Benennen eines CISO (Chief Information
Security Officer) durch jede
ISKo-Hochschule.
• Aktive Mitarbeit im ISKo-Team.
den Standards
• der BSI 2-Standardreihe zur Informationssicherheit
(100-1 – Managementsysteme
für Informationssicherheit
(ISMS), 100-2 – IT-Grundschutz-Vorgehensweise,
100-3
–
Risikoanalyse auf der Basis von
IT-Grundschutz,
100-4 – Notfallmanagement
und Normen)
Diese Punkte definieren den allgemeinen
Konsens aller Hochschulen.
Das Management der Informationssicherheit
wird neben der IS-Leitlinie in weiteren
Dokumenten detaillierter festgelegt
und beschrieben. Im Projekt PRISMA entstand
eine erste Fassung eines Handbuchs
zur Informationssicherheit (IS-Handbuch),
das anschließend vom ISKo-Team laufend
fortentwickelt werden soll. Das IS-Handbuch
richtet sich an CISOs und andere
Beteiligte im Management der Informationssicherheit
und enthält eine Anleitung
zur Entwicklung einer IS-Strategie

28 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS
B 1.16
Anforderungsmanagement
B 1.0
Sicherheitsmanagement
B 1.1
Organisation
Bester Umsetzungsgrad
Durchschnittlicher Umsetzungsgrad
Schlechtester Umsetzungsgrad
B 1.15
Löschen und Vernichten von Daten
B 1.2
Personal
B 1.14
Patch- und Änderungsmanagement
B 1.3
Notfallmanagement
B 1.13
Sensibilisierung und Schulung
zur Informationssicherheit
B 1.4
Datensicherungskonzept
B 1.10
Standardsoftware
B 1.5
Datenschutz
B 1.9
Hard- und Software-Management
B 1.6
Schutz vor Schadprogrammen
B 1.8
Behandlung von Sicherheitsvorfällen
Der Basis-Sicherheitschecks an den drei Referenzhochschulen zeigte kurz vor Abschluss im September 2012 in vielen Aspekten einheitlich gute und schlechte
Werte mit nur wenigen Abweichungen zwischen bestem und schlechtestem Ergebnis.
sowie zahlreiche weitere Informationen
zum Informationssicherheitsprozess und
seinen Prinzipien, zu den Rollen im ISMS,
zu Schutzbedarfskategorien, zum IT-Risikomanagement
etc. Ein gesonderter Abschnitt
beschreibt die möglichen Maßnahmen
zur Initialisierung des lokalen ISMS
auch für die Hochschulleitung.
Einführung des ISMS an den
Referenzhochschulen
Im Projekt PRISMA wurde auch der Umsetzungsgrad
des ISMS an drei Referenzhochschulen,
den Fachhochschulen Aachen,
Düsseldorf und Köln, in Form von
Audits überprüft. Ziel war es, Gemeinsamkeiten
und Unterschiede im Bereich der
Umsetzung von Informationssicherheit
an den Referenzhochschulen zu ermitteln
und zu prüfen, ob sich daraus Synergieeffekte
für die Gesamtheit der Fachhochschullandschaft
in NRW ergeben können.
Die Audits an den Referenzhochschulen
wurden entsprechend der Prüfkataloge
des BSI durchgeführt. Dabei wurden bestimmte
sicherheitsrelevante Abläufe in
Hinblick auf die Informationssicherheit
exemplarisch bewertet. Die nach der IT-
Grundschutz-Methode des BSI angewendete
Form der Überprüfung nennt sich Basis-
Sicherheitscheck – sie wurde in Form von
Interviews durchgeführt. Ziel war, einen
ausgewogenen Soll-Ist-Vergleich durchzuführen.
Gemeinsam mit den Interview-Teilnehmerinnen
und -Teilnehmern wurden
zunächst die relevanten Gefährdungssituationen
herausgearbeitet. Danach wurde
das vorhandene Sicherheitsniveau (Ist)
anhand gefährdungsabwehrender Maßnahmen
aus den BSI-Grundschutzkatalogen
(Soll) festgestellt.
Die Audits wurden in offener Form durchgeführt,
so dass an den jeweiligen Terminen
auch Beschäftigte anderer Hochschulen
des Landes NRW teilnehmen konnten.
Dadurch hat das PRISMA-Projekt sichergestellt,
dass die gewonnenen Erfahrungen
bei der Einführung des ISMS allen Einrichtungen
zugutekommen können.
Im Ergebnis hat sich gezeigt, dass die Referenzhochschulen
einen ähnlichen Umsetzungsgrad
des Informationssicherheitsmanagements
vorweisen. Während Bereiche
wie Organisation und Personal
durchweg gut abgeschnitten haben, wurde
Verbesserungspotenzial in den Bereichen
Notfallmanagement und Sicherheitsmanagement
festgestellt. Die Ergebnisse
aus den Referenzhochschulen wurden
im September 2012 im Rahmen eines eintägigen
Workshops vorgestellt, zu dem
alle teilnehmenden Hochschulen eingeladen
waren. Im November 2012 wurde
ebenfalls der Arbeitskreis der Kanzlerinnen
und Kanzler der teilnehmenden Hochschulen
über den Stand des Projektes und
den baldigen Beginn der Transferphase
unterrichtet.

CAMPUS | DFN Mitteilungen Ausgabe 84 |
29
Die Transferphase
In der bereits angelaufenen Transferphase
wird das im Projekt erarbeitete und an
den Referenzhochschulen verifizierte Wissen
auf möglichst viele Hochschulen in
NRW übertragen – nicht zuletzt als Basis
der langfristigen Kooperation. Der Transfer
wird in mehreren Runden in unterschiedlicher
Zusammensetzung der Teilnehmerkreise
durchgeführt, um sowohl
die Hochschulleitungen als auch die operativ
tätigen Bereiche sachgerecht zum
Informationssicherheitsmanagement zu
informieren und für die Kooperation zu
gewinnen.
Für die Transferphase ist der Zeitraum
von April bis September 2013 vorgesehen.
Schließlich wird das Projekt mit der Gründung
der Kooperation zum Informationssicherheitsmanagement
(ISKo) enden, die
das Thema an jeder einzelnen teilnehmenden
Hochschule sowie in der Gesamtheit
aller Hochschulen als Daueraufgabe vorantreiben
soll.
Kooperation zur Informationssicherheit
(ISKo)
In der Kooperation ISKo soll das Management
der Informationssicherheit gerade
dort, wo Synergieeffekte zu erwarten sind,
kontinuierlich und gemeinsamen verbessert
werden. Denn die grundlegende Kooperationsidee
ist ja ein möglichst schonender
Ressourceneinsatz, geschaffen
durch die Zusammenarbeit der Hochschulen
untereinander. Auf Basis gleichartiger
Anforderungen zu abgestimmten Sicherheitsthemen
sollen für alle Hochschulen
möglichst gleichermaßen anwendbare Basiskonzepte
und Lösungen entwickelt werden.
Ebenso sollen Erfahrungen bei der Anwendung
von Sicherheitsmaßnahmen und
im Umgang mit Sicherheitsvorfällen miteinander
ausgetauscht werden, um wirkungsvolle
Prävention zu schaffen.
In diesem Sinne sollen die zu benennenden
CISOs sowie die Datenschutzbeauftragten
der teilnehmenden Hochschulen als Team
zusammenarbeiten und wesentlich dazu
beitragen, dass die oben genannten Ziele
der Kooperation verbindlich verfolgt werden.
Dieses Team soll die Bezeichnung IS-
Ko-Team erhalten. Das ISKo-Team soll sich
eine Geschäftsordnung auf Basis des Kooperationsvertrages
geben.
Mitglieder von ISKo sind zur aktiven Kooperation
und Umsetzung der gemeinsamen
Ziele in ihrer Hochschule verpflichtet.
Die Verantwortung für die Informationssicherheit
verbleibt dabei bei den jeweiligen
Hochschulleitungen. M
Das „Managementsystem für Informationssicherheit“ (ISMS)
Informationen sind das Kerngeschäft einer jeden Hochschule.
Forschung generiert Informationen, Lehre und Weiterbildung
vermitteln Informationen. Auch in der Verwaltung und
Organisation der Hochschulen in NRW spielen Informationen
eine zentrale Rolle. Sie werden von den zahlreichen Professorinnen
bzw. Professoren, Lehrbeauftragten, weiteren Beschäftigten
sowie den Studierenden erstellt und bearbeitet.
Informationen sind zum Beispiel Forschungsergebnisse, Prüfungsdaten,
Finanz- oder Personaldaten. Sehr oft handelt
es sich dabei auch um personenbezogene Informationen.
Die Mitglieder und Angehörigen der Hochschulen sind damit
gleichzeitig Betroffene personenbezogener Daten und
Akteure der Informationsverarbeitung.
Die Schutzziele der Informationssicherheit beziehen sich auf
unterschiedliche Arten von Daten und Zustände, die abgesichert
werden müssen. Hierbei spielen Fragen des Schutzes
vor Missbrauch persönlicher Daten genauso eine Rolle wie
die Gewährleistung der informationellen Selbstbestimmung
der Hochschulangehörigen, der Vertraulichkeit und Integrität
von Daten und Kommunikationsvorgängen oder der Verfügbarkeit,
etwa durch Verhinderung von Systemausfällen.
Ebenfalls gilt es, die Authentizität, Überprüfbarkeit und Vertrauenswürdigkeit
von Daten sicherzustellen.
Informationssicherheit ist nicht allein Voraussetzung für den
Erfolg in Lehre, Forschung und Weiterbildung, sondern stellt
sich für viele Prozesse in der Wissenschaft zunehmend als
Grundlage dar. Nicht zuletzt ist Informationssicherheit auch
Bedingung für die gesetzeskonforme Arbeit von und an Hochschulen.
Betroffen sind davon alle Informationen, die erhoben,
genutzt und weitergegeben werden.
Die Komplexität dieser Aufgabe ist geprägt von der zunehmenden
Abhängigkeit der meisten Arbeitsabläufe von der IT,
ihrer schnellen Entwicklung und den immer kürzeren Lebenszyklen
der Anwendungen und Systeme. Zusätzlich haben die
Möglichkeiten, die die neuen Medien und soziale Netzwerke
bieten, zu einem veränderten Nutzungs- und Kommunikationsverhalten
geführt. Hochschulen und ihre Angehörigen
vernetzen sich mit Hochschulen, Unternehmen und anderen
Organisationen regional und global.
Die Sicherung der Qualität, Zuverlässigkeit und Nachhaltigkeit
der Informationsverarbeitung an den Hochschulen erfordert
ein bewusstes und umsichtiges Handeln aller. Eine
konsequente und geeignete Anwendung der Informationssicherheit
und des Datenschutzes bietet hierzu Hilfestellungen
und Vorgaben.

30 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL

SICHERHEIT | DFN Mitteilungen Ausgabe 84 |
31
Sicherheit
Audit der DFN-PKI
von Jürgen Brauckmann, Dr. Ralf Gröper
Sicherheit aktuell
von Heike Ausserfeld, Dr. Ralf Gröper

32 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT
Audit der DFN-PKI
Im vergangenen Jahr hat die DFN-PKI einen weiteren großen Schritt nach vorne gemacht:
Die Zertifizierungsdienste der DFN-PKI im Sicherheitsniveau „Global“ wurden
nach einem umfangreichen Auditprozess erfolgreich gemäß dem ETSI-Standard TS 102
042 zertifiziert. Hierdurch kann das hohe Sicherheitsniveau der DFN-PKI auch Dritten
gegenüber nachvollziehbar dargestellt und so die Browserverankerung der ausgestellten
Zertifikate für die Zukunft sichergestellt werden.
Text: Jürgen Brauckmann (DFN-CERT GmbH), Dr. Ralf Gröper (DFN-Verein)
Foto: © RioPatuca Images - Fotolia.com

SICHERHEIT | DFN Mitteilungen Ausgabe 84 |
33
Hintergrund
Digitale Zertifikate aus der DFN-PKI sind an vielen Einrichtungen
im DFN nicht mehr wegzudenken. Von der Absicherung von
Webservern per HTTPS über die Signatur und Verschlüsselung
von E-Mails per S/MIME bis zu chipkartenbasierten Authentifizierungsmechanismen
für Mitarbeiter und Studierende spielen
Zertifikate eine entscheidende Rolle. Hierfür wurde der Dienst
über viele Jahre entwickelt und immer wieder veränderten Gegebenheiten
angepasst.
Entwicklung
Die DFN-PKI begann mit dem 1996 gestarteten Projekt „PCA im
DFN – Aufbau einer Policy Certification Authority für das Deutsche
Forschungsnetz“ an der Universität Hamburg. Im Projekt
wurde zunächst davon ausgegangen, dass praktisch alle Einrichtungen
im DFN ihre Zertifizierungsstellen selbst betreiben würden.
Daher lag der Schwerpunkt der Arbeit auf der Ausstellung
von CA-Zertifikaten und der Bereitstellung von Unterlagen zum
Aufbau einer eigenen CA, wie z.B. dem DFN-PCA Handbuch „Aufbau
und Betrieb einer Zertifizierungsinstanz“. Die ersten Policy-
Dokumente wurden 1997 fertiggestellt, und regeln hauptsächlich
das Ausstellen von CA-Zertifikaten und die Anforderungen
an von einer Einrichtung selbst betriebene CA. Die Ausstellung
von Zertifikaten für Anwender, die noch keine eigene CA betreiben,
war aber ebenfalls schon vorgesehen.
Nachdem sich im Laufe der Zeit herausstellte, wie groß der technische
und organisatorische Aufwand zum Betrieb einer eigenen
Zertifizierungsstelle in der Praxis wirklich ist, stellte der DFN-
Verein dann ab 2005 eine Erweiterung des Konzepts vor: Mit der
neuen Zertifizierungsrichtlinie vom Februar 2005 konnten in der
DFN-PKI die Aufgaben der Registrierungs- und der Zertifizierungsstelle
von unterschiedlichen Parteien wahrgenommen werden.
Dadurch konnten die Einrichtungen im DFN die technisch komplexen
und personalintensiven Aufgaben eines CA-Betriebs an
die DFN-PCA abgeben und nur die Aufgaben selbst wahrnehmen,
die sinnvollerweise bei ihnen verbleiben sollten, wie z.B. die Identifizierung
von Zertifikatinhabern. Mit diesem neuen Konzept
konnte der Aufwand zur Nutzung der DFN-PKI deutlich gesenkt
werden, so dass die Zahl der Teilnehmer und der ausgestellten
Zertifikate deutlich stieg.
Root-Integration
Ein weiterer Grund für den Erfolg der DFN-PKI ist die Browserverankerung
der ausgestellten Zertifikate durch die Root-Integration.
Nur so können Betriebssysteme und Webbrowser automatisch
die Vertrauenswürdigkeit der Zertifikate überprüfen.
Andernfalls würden Warnmeldungen die Nutzer verunsichern
und das einfache „Wegklicken“ dieser Warnungen das Vertrauensniveau
unterlaufen.
Die Root-Integration des Sicherheitsniveaus „Global“ der DFN-
PKI wurde 2007 durch eine Verkettung mit der „Deutsche Telekom
Root CA 2“ umgesetzt. Hierdurch benötigt der DFN keine eigene
„Root im Browser“, sondern erbt diese Eigenschaft durch
die bereits browserverankerte Telekom CA.
Struktur der DFN-PKI im Sicherheitsniveau Global
Die Browserverankerung der DFN-PKI erfolgt über ein Wurzelzertifikat
der T-Systems (Deutsche Telekom Root CA 2), von dem ein
Sub-CA-Zertifikat für unsere PCA (DFN-Verein PCA Global – G01)
ausgestellt wurde. Die Struktur ist in Abbildung 1 dargestellt.
Von der PCA sind dann die einzelnen CAs für die teilnehmenden
Einrichtungen ausgestellt – derzeit sind dies knapp 350. Die eigentlichen
End-Entity-Zertifikate, also z.B. Server- und Nutzerzertifikate,
werden dann schließlich von diesen CAs ausgestellt.
HS Pellworm
www.hs-pellworm.de
www.hs-pellworm.de
Deutsche Telekom
Root CA2
DFN-Verein PCA
Global - G01
Universität
Musterstadt
Max Mustermann
Max Mustermann
Max Mustermann
Abb. 1: Struktur der DFN-PKI „Global“
Legende
CA-Zertifikat
End-Entity-Zertifikat
Forschungszentrum
Beispielhausen
GRP:
Serveradministration
GRP: GRP:
Serveradministration
Serveradministration
Neue Anforderungen an browserverankerte CAs
Angriffe auf Zertifizierungsstellen
War sichere Kommunikation Anfang der neunziger Jahre noch ein
Hobby von begeisterten Informatikern, so ist die verschlüsselte
und authentische Übermittlung von Daten inzwischen Grundvoraussetzung
für praktisch alle ernstzunehmenden Anwendungen.
Daher stehen SSL, X.509-Zertifikate und CAs als System zur
Kommunikationssicherung seit einigen Jahren verstärkt im Blickpunkt,
z.B. durch Vorträge auf der Blackhat-Konferenz wie „New
Tricks for Defeating SSL in Practice“ von Moxie Marlinspike. Es
lassen sich drei Themenbereiche unterscheiden, die besonderes
öffentliches Interesse finden:
• Fehler in den zugrundeliegenden (kryptographischen)
Protokollen

34 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT
• Lücken in Anwendungssoftware
• Sicherheitslücken bei CAs
In allen drei Bereichen gab es spektakuläre Veröffentlichungen,
z.B. die sogenannte BEAST Attacke im Herbst 2011, die mit einem
Angriff auf die kryptographischen Grundfunktionen von TLS 1.0
die Entschlüsselung von Teilen von verschlüsseltem Netzwerk-
Traffic ermöglicht. Diese kryptographischen Angriffe betreffen
aber nicht die zugrundeliegende RSA-Verschlüsselung und so
gab es jeweils schnelle Abhilfe durch entsprechende Updates
für die beteiligte Software.
Besonders viel Aufsehen haben aber einige verheerende Angriffe
auf browserverankerte CAs in den Jahren 2011 und 2012 erregt,
bei denen nicht autorisierte Zertifikate ausgestellt wurden,
die dann auch zum Abhören vermeintlich sicher verschlüsselter
Verbindungen eingesetzt wurden. Im Nachgang dieser Angriffe
stellte sich heraus, dass teilweise haarsträubende organisatorische
und technische Mängel bei den betroffenen CAs diese Angriffe
ermöglichten.
So wurde am 17. März 2011 eine externe Registrierungsstelle
von Comodo kompromittiert und unautorisierte Zertifikate für
u.a. login.live.com und mail.google.com ausgestellt. Durch eine
schnelle Reaktion von Comodo wurden die Zertifikate in Zusammenarbeit
mit den Browserherstellern innerhalb weniger
Stunden gesperrt.
Im Juni 2011 musste mit StartSSL eine weitere CA für mehrere Tage
ihren Betrieb einstellen, ohne dass die betreffende Firma die
Ursache der Betriebseinstellung kommunizierte.
Im August 2011 wurde dann bekannt, dass die niederländische
CA DigiNotar für mehrere Wochen kompromittiert war, und mehrere
hundert unautorisierte Zertifikate, u.a. wieder für google.
com, ausgestellt wurden. DigiNotar stellte nicht nur normale
SSL-Zertifikate aus, sondern war auch eine Zertifizierungsstelle
für qualifizierte Zertifikate für eGovernment-Services in den
Niederlanden. Der Einbruch scheint durch ein veraltetes Content
Management System ermöglicht worden zu sein. Die erbeuteten
Zertifikate von DigiNotar wurden nachweislich für Man-in-themiddle-Angriffe
auf Internet-Nutzer im Iran verwendet, um deren
E-Mail-Kommunikation über Google Mail abzuhören. DigiNotar
wurde als vertrauenswürdige CA aus allen Webbrowsern per
Software-Update entfernt und ging wenig später in die Insolvenz.
Für all diese Angriffe gibt es sogar eine Art Bekennerschreiben
Foto: © PaulFleet - iStockphoto.de

SICHERHEIT | DFN Mitteilungen Ausgabe 84 |
35
auf pastebin.com. Dort wurde auch behauptet, dass eine weitere
CA namens GlobalSign komplett gehackt wurde. Hier stellte
sich aber heraus, dass „lediglich“ der Webauftritt, nicht aber die
eigentliche CA-Infrastruktur kompromittiert wurde.
Organisatorische Unzulänglichkeiten
Nach den gezielten Angriffen wurden weitere Vorfälle bekannt,
die ihre direkte Ursache in organisatorischen Unzulänglichkeiten
hatten: Anfang November 2011 musste eine malaysische CA
zugeben, dass sie mehrere Zertifikate mit zu schwachen Schlüsseln
(512 Bit RSA!) und mit fehlerhaften Zertifikatnutzungen ausstellte.
Auch diese CA wurde aus Webbrowsern entfernt.
Ende Januar 2012 wurde bekannt, dass eine im Browser verankerte
CA namens TrustWave mindestens ein Zertifikat verkauft
hat, mit dem in Produkten zur Data Loss Prevention ein Man-inthe-middle-Angriff
auf Nutzer ermöglicht wurde.
Im Dezember 2012 entdeckte das Security Team von Google ein
Zertifikat, das von der CA Turktrust ausgestellt wurde, und mit
dem ein Man-in-the-middle-Angriff möglich gewesen wäre. Es
stellte sich heraus, dass aufgrund eines Konfigurationsfehlers
in der CA ein eigentlich für Webserver gedachtes Zertifikat auch
als Sub-CA-Zertifikat nutzbar war und anscheinend versehentlich
in einer SSL Inspection Appliance eingesetzt wurde.
Turktrust und TrustWave konnten darlegen, dass es sich um einmalige
Vorfälle handelte, und es wurde vermutlich auch niemand
geschädigt. Daher behielten beide CAs ihre Browser-Verankerung.
Reaktion der Betriebssystem- und Browserhersteller
Die beschriebenen Vorfälle fanden ein großes öffentliches Echo.
Auch abseits der Fachpresse erschienen Berichte über das Thema
und brachten es so in den Blickpunkt einer breiten Öffentlichkeit.
Als Reaktion auf die Angriffe und Unzulänglichkeiten verschärften
die Betriebssystem- und Browserhersteller die Anforderungen
ihrer jeweiligen Root-CA-Programme. Die meisten Hersteller
haben dabei zum einen ihre eigenen Regeln verändert und der
neuen Bedrohungslage angepasst, und zum anderen die „Baseline
Requirements“ des CA/Browser-Forums (siehe Kasten) als
verbindlich vorgeschrieben.
Die T-Systems als Betreiber der Root-CA der DFN-PKI muss diese
Anforderungen an ihre Sub-CAs und damit auch an den DFN-
Verein weiterreichen.
Zwei Änderungen betreffen die DFN-PKI im Besonderen: Erstens
mussten früher Sub-CAs unterhalb von im Browser verankerten
Root-CA nicht nach einem vorgegebenen Standard
auditiert werden. Das hat sich jetzt geändert, auch Sub-CAs
benötigen nun ein externes Audit durch einen akkreditierten
Auditor nach einem vorgegebenen Standard.
Und zweitens müssen die „Baseline Requirements“ eingehalten
werden, was kleinere Anpassungen an den Prozessen und der
Technik der DFN-PKI zur Folge hatte.
ETSI und Webtrust
In den letzten 15 Jahren haben sich mehrere Verfahren herausgebildet,
nach denen der Betrieb eine CA auditiert werden kann.
Betriebssystem- und Browserhersteller verlangen immer ein Audit
der bei ihnen verankerten CAs nach einem von mehreren gebräuchlichen
Standards. Mozilla akzeptiert beispielsweise folgende
Standards:
• ETSI TS 101 456 „Electronic Signatures and Infrastructures
(ESI); Policy requirements for certification authorities issu -
ing qualified certificates“
• ETSI TS 102 042 „Policy requirements for certification
authorities issuing public key certificate“
• ISO 21188:2006 „Public key infrastructure for financial
services – Practices and policy framework“
• WebTrust „Principles and Criteria for Certification
Authorities 2.0“
• WebTrust „SSL Baseline Requirements Audit Criteria V1.1“
• WebTrust „Principles and Criteria for Certification
Authorities – Extended Validation Audit Criteria 1.4“
Diesen Standards ist gemein, dass es sich um umfangreiche Regelwerke
handelt, in denen Leitlinien zum Zertifizierungsbetrieb
in abstrakter Form aufgelistet sind. Im Rahmen eines Audits
muss dann eine Abbildung zwischen diesen Leitlinien und
den tatsächlich existierenden Verfahren der untersuchten CA
gefunden werden. Dabei muss nicht nur die Policy betrachtet
werden, sondern die gesamte Dokumentationsstruktur: Interne
Betriebshandbücher, Administrationsdokumente, Dokumente
für Zertifikatinhaber, Risikoanalysen, Zertifikatantragsformulare
und vieles mehr.
Es ist nicht zu erwarten, dass jede Leitlinie sofort eine offensichtliche
Entsprechung in der Dokumentation hat, und so muss
zu jedem Punkt aus den Audit-Standards einzeln argumentiert
werden, wieso dieser abgedeckt ist.
Ablauf des Audits der DFN-PKI
Klärung „Audit nach welchem Standard?“
Am Anfang eines Auditprozesses steht die Frage nach dem Standard,
nach dem das Audit durchgeführt werden soll. Im Fall der
DFN-PKI ergeben sich die Optionen aus den Anforderungen der
Root-CA Programme der Browserhersteller (siehe oben). In Fra-

36 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT
ge kommen aus diesen Optionen nur ETSI TS 102 042 sowie Web-
Trust „Principles and Criteria for Certification Authorities 2.0“,
da die anderen Standards nur für CAs mit speziellen Aufgaben
bzw. für CAs zur Ausstellung von Extended Validation Zertifikaten
geeignet sind.
Im Jahr 2011 wurde mit der TÜV Informationstechnik GmbH (TÜ-
ViT) ein Audit nach ETSI TS 102 042 gestartet. Dieser Standard ist
zur Auditierung der DFN-PKI sehr gut geeignet, da der Fokus des
Audits auf den technischen und organisatorischen Sicherheitsmaßnahmen
im CA-Betrieb und der Konformität der Policy liegt.
Erstes Voraudit
Der Auditierungsprozess der DFN-PKI begann Mitte 2011 mit einem
ersten Voraudit. Hierbei wird die bestehende Situation vom
Auditor mit dem Ziel geprüft, Abweichungen vom Standard zu
erkennen und eine entsprechende Liste zu erstellen. Im Audit
werden die Aspekte „Policy“, „Bauliche Sicherheit“ und „IT-Sicherheit“
getrennt betrachtet.
Um eines vorwegzunehmen: Das Ergebnis des ersten Voraudits
war sehr positiv und die DFN-PKI hat vom TÜViT einen sehr guten
Ausgangszustand bescheinigt bekommen. Der Großteil der
festgestellten Abweichungen vom Standard folgte nicht aus einem
mangelhaften Sicherheitsniveau der DFN-PKI, sondern daraus,
dass viele Dinge zwar anders gemacht wurden, als es im
ETSI-Standard vorgesehen ist, nicht aber schlechter. Das Ergebnis
des ersten Voraudits soll hier anhand von einigen Beispielen
erläutert werden.
Die Policy einer PKI wird vom Auditor mit dem zugrundeliegenden
Prüfstandard verglichen. Hierbei muss der Prüfer für jede Anforderung
aus dem Standard eine Entsprechung beim Prüfling finden.
Im Bereich Policy mussten nach der ersten Sichtung der Dokumente
fast 100 Punkte einzeln mit TÜViT abgeklärt werden, z.B.:
• „Im CP, CPS fehlt gemäß ETSI 7.1 a) der Verweis auf ETSI TS
102 042 und die zugehörige certificate policy.“
• „Im CP/CPS fehlt gemäß ETSI 7.2.5 a) die Angabe, dass
CA-Schlüssel nicht für andere Zwecke verwendet werden.“
• „Wie wird der Zertifikatnehmer nach ETSI 7.3.6 f) darüber
informiert, dass eine Sperrung seines Zertifikates erfolgt ist?“
Die allermeisten Punkte konnten entweder direkt geklärt werden
oder benötigten lediglich eine kurze Ergänzung der Beschreibung.
Nur bei zehn Punkten mussten tatsächlich Prozesse oder
Technik leicht modifiziert werden.
Im Bereich „Bauliche Sicherheit“ untersuchte TÜViT in erster Linie
die Brand- und Einbruchschutzmaßnahmen der Räumlichkeiten,
in denen die CA-Infrastruktur betrieben wird. Die zu beantwortenden
Fragen betrafen hauptsächlich Nachweise für bereits getroffene
Maßnahmen, die noch beschafft werden mussten. Natürlich
mussten auch kleinere Ergänzungen der Infrastruktur
vorgenommen werden wie z.B. zusätzliche Brandmelder oder
ein weiteres Schloss für einen Schaltkasten. Darüber hinaus wurden
Sensoren zur Brandfrühesterkennung eingebaut, die bereits
auslösen, wenn am anderen Ende des Raumes mit einem Lötkolben
gearbeitet wird.
Der Bereich „IT-Sicherheit“ umfasst alle Sicherheitsmaßnahmen
auf Netzwerk- und Server-Ebene. Es werden sowohl die organisatorischen
als auch die technischen Aspekte betrachtet, beispielsweise
das Patch-Management, die Netzwerk- und Firewallkonfiguration,
die organisatorischen und technischen Maßnahmen
zur Begrenzung des administrativen Zugriffs auf Server. In diesem
Bereich waren am wenigsten Fragen der Auditoren zu klären.
Neue Policy 2.3 der DFN-PKI im Sicherheitsniveau Global
Nach dem ersten Voraudit musste die DFN-PKI aufgrund der Anforderungen
der Browser- und Betriebssystemhersteller erst einmal
die Baseline Requirements des CA/Browserforums umsetzen.
Hierzu musste neben einigen technischen Änderungen bis
zum 1. Juli 2012 eine neue Policy in Kraft gesetzt werden, die die
entsprechenden Umsetzungen der Anforderungen enthält. Hierbei
wurde gleichzeitig ein Großteil der aufgrund der Erkenntnisse
aus dem ersten ETSI-Voraudit notwendigen Änderungen mit
berücksichtigt. Die Policy in der Version 2.3 wurde am 26. Juni
2012 in Kraft gesetzt.
Die auffälligsten Änderungen betreffen die Verwendung von Begriffen
in der Policy. Dies wurde notwendig, da in ETSI TS 102 042,
aber auch in den Baseline Requirements, die Verwendung bestimmter
Begriffe genau definiert ist, und die DFN-PKI hier teilweise
andere Bezeichnungen verwendete oder in einer etwas
anderen Bedeutung eingesetzt hat:
• Die Registrierungsstellen (RA) bei den Teilnehmern der
DFN-PKI heißen nun Teilnehmerservice, die dort arbeitenden
Personen Teilnehmerservice-Mitarbeiter (bisher: RA-
Operator).
• Die einzige Registrierungsstelle (engl. Registration Authority)
der DFN-PKI wird von der DFN-PCA selber in Hamburg
betrieben.
• Aus dem Zertifikatnehmer wird der Zertifikatinhaber (engl.
Subject)
• Der Anwender heißt nun „Teilnehmer“ (engl. Subscriber).
• Darüber hinaus wurden die RA-Operatorzertifikate, welche
zur Authentifizierung der Mitarbeiter mit Prüfaufgaben
(wie die persönliche Identifizierung von Antragstellern)
dienen, auf persönliche Zertifikate anstelle der vorher verwendeten
Gruppenzertifikate umgestellt.

SICHERHEIT | DFN Mitteilungen Ausgabe 84 |
37
Weitere wichtige Änderungen, die auch jede Einrichtung betreffen,
sind:
• Zertifikate mit lokalen Hostnamen oder internen IP-Adressen
dürfen nur noch mit einem Ablaufdatum bis Oktober
2015 ausgestellt werden. Nach diesem Termin gibt es keine
Zertifikate mit lokalen Hostnamen oder internen IP-Adressen
mehr in der DFN-PKI (und auch nicht von anderen Zertifizierungsstellen,
die im Browser verankert sind).
• Viele Prüfungen sind nach 39 Monaten zu wiederholen,
z.B. persönliche Identifizierungen oder der Nachweis über
den Besitz an einer Domain, die in Zertifikaten erscheint.
• Bisher gab es für jede teilnehmende Einrichtung ein eigenes
Certification Practice Statement (CPS). Dieses wird
jetzt nicht mehr benötigt und durch ein gemeinsames CPS
sowie die neuen Dokumente „Informationen für Zertifikatinhaber“
und „Pflichten der Teilnehmer“ ersetzt.
Darüber hinaus gab es viele kleinere Änderungen, die beispielsweise
die Aufbewahrungsfristen von Papierdokumenten betreffen.
Zweites Voraudit
Im zweiten Voraudit im Jahr 2012 wurde die DFN-PKI erneut vom
TÜViT geprüft. Da die DFN-PKI nun bereits an die Anforderungen
aus ETSI angepasst war, war ein Prüfergebnis mit deutlich weniger
Fundstellen zu erwarten. Trotzdem hatte die Liste der offenen
Punkte im Bereich „Policy“ immer noch fast siebzig Einträge, also
nur ungefähr ein Drittel weniger als im ersten Voraudit. Dies
war zunächst überraschend. Im Workshop mit dem TÜViT stellte
sich aber heraus, dass es sich fast ausschließlich um Nachfragen
zur Policy handelte, die sich schnell klären ließen. An einigen
Stellen wurde die Policy darauf hin noch ein wenig klarer formuliert,
faktische Änderungen waren aber nicht mehr notwendig.
len Gründen leider noch nicht in die Version 2.3 aufgenommen
werden konnten. Hierfür wurde am 15. November 2012 eine weitere
überarbeitete Policy in Kraft gesetzt. Neben einigen verfeinerten
Formulierungen ist die einzige inhaltliche Änderung der
zusätzliche und formal notwendige Satz „Die DFN-PCA und alle
ihre nachgeordneten CAs (Sub-CAs) erfüllen die Anforderungen
von ETSI TS 102 042 nach der LCP Policy.“
Audit
Das eigentliche Audit lief ähnlich ab wie die Voraudits: Die Prüfer
vom TÜViT prüften zuerst die Papierlage, also in erster Linie
die Policy, aber auch die anderen relevanten Dokumente wie
„Pflichten der Teilnehmer“ oder „Informationen für Zertifikatinhaber“.
In einem anschließenden Workshop wurden wieder offene
Fragen geklärt. Diesmal konnten alle Fragen des TÜViT abschließend
beantwortet werden.
In einer beispielhaft durchgeführten Zertifikatbeantragung wurde
überprüft, ob die tatsächlichen Prozesse auch den in der Policy
definierten entsprechen. Hierzu wurde im Beisein des Prüfers
ein Zertifikat beantragt und der gesamte Prüfprozess bis zur Aus-
Bei der Prüfung der IT-Sicherheit ergaben sich keine größeren
Auffälligkeiten. Einziger „Höhepunkt“: Bei Netzwerkscans wurden
zwei Webserver mit gesperrtem bzw. abgelaufenem Serverzertifikat
gefunden. Wir konnten TÜViT erklären, dass es sich dabei
um unsere beiden Testserver https://revoked-demo.pca.dfn.
de/ und https://expired-demo.pca.dfn.de/ handelt, die zum Testen
des Verhaltens von Clientsoftware bei gesperrten oder abgelaufenen
Zertifikaten dienen – also mit voller Absicht ungültige
Zertifikate ausliefern.
Das Fazit des zweiten Voraudits war, dass die DFN-PKI für das
eigentliche Audit bereit ist und keine weiteren Voraudits notwendig
waren.
Neue Policy 3.0 der DFN-PKI im Sicherheitsniveau Global
Für das Audit der DFN-PKI mussten nun noch einige Änderungen
in der Policy der DFN-PKI umgesetzt werden, die aus forma-
Abb. 2: Das Zertifikat über die Erfüllung der Anforderungen nach ETSI
TS 102 042

38 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT
stellung des Zertifikats durchgeführt. Dies wurde einmal bei der
DFN-PCA in Hamburg selber und am Ende des Audits noch einmal
bei einem Teilnehmer der DFN-PKI vor Ort durchgeführt. Die
IT-Sicherheit wird durch die theoretische Bewertung der Sicherheitsmaßnahmen,
aber auch durch konkrete Netzwerkscans und
Penetration Tests überprüft.
Am Ende des dreitägigen Vor-Ort Audits wurde vom Prüfer bereits
vorab das Bestehen in Aussicht gestellt. Das formale positive
Ergebnis war erst einige Zeit später verfügbar: Der TÜViT muss
nach einem Audit erst noch interne Qualitätssicherungsmaßnahmen
durchführen, bei denen ein am bisherigen Audit nicht
beteiligter Mitarbeiter das gesamte Prüfergebnis noch einmal
auf Plausibilität prüft. Diese interne Prüfung wird dann in einem
formalen Akt mit der auch hier sogenannten Zertifizierung abgeschlossen,
und es wird sogar ein Zertifikat ausgestellt: Eine
Urkunde mit einer Unterschrift des Leiters der Zertifizierungsstelle
(nicht zu verwechseln mit einer CA, die digitale Zertifikate
ausstellt). Dieser letzte Schritt konnte dann Anfang Dezember
2012 abgeschlossen werden.
Gültigkeit des Audits
Jedes Zertifikat zu einem Audit hat nur eine beschränkte Gültigkeit
von einem Jahr. Vor Ablauf des Jahres muss in einem erneuten
Audit-Prozess nachgewiesen werden, dass die Prozesse
der CA nicht inzwischen vom Prüfstandard abweichen. Deshalb
wird auch im Herbst 2013 wieder ein Audit bei der DFN-PCA stattfinden.
Im Prinzip sollte dieses Re-Audit keinerlei Überraschungen
bieten und mit einem relativ geringen Aufwand und vor allem
ohne weiteren Aufwand bei den Teilnehmern der DFN-PKI
zu absolvieren sein.
Vorteile für DFN-Anwender
Wo bringt das Audit jetzt Vorteile? Schließlich war der Auditprozess
mit nicht unerheblichen Mehraufwänden beim DFN, aber
auch bei den an der DFN-PKI teilnehmenden Anwendern verbunden.
Notwendige Änderungen wurden zwar so weit wie möglich
in der DFN-PCA intern umgesetzt, um die Aufwände bei den Anwendern
zu minimieren. Trotzdem ließen sich einige Aspekte
nur durch die Änderung von Prozessen bei den Anwendern umsetzen.
Umstellungen durch zwei neue Policy-Versionen, durch
personengebundene Teilnehmerservice-Mitarbeiter-Zertifikate
und durch geänderte Archivierungsfristen haben sicherlich auch
bei den Anwendern für einige Arbeit gesorgt.
Den Mehraufwänden stehen aber viele Vorteile gegenüber: Gerade
in diesem sicherheitskritischen Bereich ist es sehr wertvoll,
eine Bestätigung von unabhängiger Seite über die Güte der
Dienstleistung zu haben. Nur eine Überprüfung der Prozesse und
der eingesetzten Technik durch Dritte gewährleistet einen langfristig
sicheren Betrieb.
Darüber hinaus entwickeln sich die Anforderungen der Softwarehersteller
weiter, so dass ein bestandenes Audit Voraussetzung
für den Selbst-Betrieb einer Zertifizierungsstelle mit Browser-Verankerung
ist. Damit haben wir durch den Audit-Prozess
sichergestellt, dass auch in den kommenden Jahren browserverankerte
Zertifikate in der DFN-PKI in der gewohnten Flexibilität
und in dem hohen Volumen ausgestellt werden können.
Fazit
Trotz der auf den ersten Blick recht langen Dauer von eineinhalb
Jahren und dem beträchtlichen Aufwand lief das Audit ohne
größere Schwierigkeiten ab, was auch an dem bereits vorher
realisierten hohen Sicherheitsniveau liegt. Dank der engagierten
Mitarbeit der DFN-PKI-Teilnehmer konnten auch aufwändige
Schritte wie der Austausch von Teilnehmerservice-Mitarbeiter-Zertifikaten
in kurzer Zeit durchgeführt werden.
Mit dem Audit und der Zertifizierung nach ETSI TS 102 042 hat
sich die kontinuierliche Weiterentwicklung der DFN-PKI der letzten
Jahre fortgesetzt, so dass wir für die Zukunft gut gerüstet
sind. M
„CA/Browser Forum“
Das CA/Browser Forum ist ein Konsortium von Browserherstellern
und CA-Betreibern. Das CA/Browser
Forum legt Richtlinien fest, nach denen browserverankerte
CAs vorgehen sollen, um ein ausreichendes
Sicherheits- und Vertrauensniveau für SSL-Zertifikate
sicherzustellen. Ursprünglich wurde im CA/Browser
Forum das Vorgehen zur Ausstellung von sogenannten
„Extended Validation“-Zertifikaten definiert.
Diese Regelungen hatten somit erst einmal keine Auswirkungen
auf die DFN-PKI. Durch die Sicherheitsvorfälle
der Jahre 2011 und 2012 bei browserverankerten
CAs wurden aber auch die Aktivitäten beschleunigt,
Anforderungen für nicht-EV-Zertifikate zu definieren.
Am 1. Juli 2012 traten diese „Baseline Requirements
for the Issuance and Management of Publicly-Trusted
Certificates“ in Kraft. Die Mitglieder des CA/Browserforums
verpflichteten sich selber zur sofortigen
Einhaltung, andere CAs wurden anschließend durch
die Anpassung der Root-Programme der Browserhersteller
hierzu verpflichtet.

SICHERHEIT | DFN Mitteilungen Ausgabe 84 |
39
Sicherheit aktuell
Text: Heike Ausserfeld, Dr. Ralf Gröper (DFN-Verein)
IPv6 in der DFN-PKI
Im Rahmen der DFN-Betriebstagung wurde
Anfang März 2009 das neue DFN-CERT
Portal bereitgestellt. Über dieses Portal
erhalten Anwender einfachen Zugriff auf
die Dienste, die im Rahmen des DFN-CERT
zur Verfügung gestellt werden. Im ersten
Schritt wurden die bekannten „Automatischen
Warnmeldungen“ funktional
erweitert und in das Portal integriert.
Einen ausführlichen Bericht hierzu gibt es
in diesen DFN-Mitteilungen. M
Interne Hostnamen in der
DFN-PKI
Viele Einrichtungen haben interne Server-Strukturen,
für die Zertifikate mit
Namen ausgestellt werden, die nur eine
interne Bedeutung haben: Beispielsweise
CN=exchange.local oder CN=mail, oder
aber interne IP-Adressen wie 10.0.0.1. Bis
2012 konnten diese Namen in der DFN-PKI
und bei kommerziellen Zertifizierungsstellen
uneingeschränkt verwendet werden.
Dieses Vorgehen ist in Zukunft durch die
Baseline Requirements des CA/Browser Forums
nicht mehr zulässig. Daher werden
seit der Version 2.3 der Policy der DFN-PKI
vom 26.6.2012 Server-Zertifikate mit solchen
Namen automatisch nur noch mit einem
Ablaufdatum bis zum 01.11.2015 ausgestellt.
Bereits ausgestellte Zertifikate dieser
Art müssen durch die DFN-PCA spätestens
am 01.10.2016 gesperrt werden. Diese
Regelung betrifft nicht nur die DFN-PKI,
sondern auch alle anderen CAs mit einer
Browser-Verankerung.
Für die DFN-Anwender bedeutet das, dass
sie ihre internen Dienste, die nicht mit weltweit
auflösbaren FQDNs oder mit registrierten
IP-Adressen versehen sind, ab 2015
nicht mehr mit im Browser verankerten
Zertifikaten versehen können. Ein allgemeingültiger
Migrationspfad für Anwender,
die solche Zertifikate verwenden, kann
nicht angegeben werden, aber der DFN und
die DFN-PCA unterstützen die Anwender
natürlich dabei, eine für ihre Einrichtung
passende Lösung zu finden. M
Vertipper-Domains
Dem DFN-CERT wurden im März 2013 mehrere
bei der Denic registrierte ‚Vertipper‘-
Domains gemeldet. Diese beziehen sich auf
unterschiedliche Einrichtungen und sind
immer in der gleichen Art aufgebaut: rz-*.
de, also beispielsweise „rz-uni-musterstadt.
de“. Die Domains wurden von zwei bekannten
Domain-Grabbern registriert und werden
hauptsächlich bei Sedo vermarktet. Eine
mögliche Gefahr besteht, falls die Domains
auf einen Server zeigen, auf dem
beispielsweise eine Phishing-Seite oder
SSH-Zugang eingerichtet ist und die eingegebenen
Daten unbedarfter Nutzer aufgezeichnet
werden. Die betroffenen Einrichtungen
wurden vom DFN-CERT informiert
und können über das Widerspruchsverfahren
bei der Denic die Löschung bzw.
Übernahme der Domains beantragen. M
Netzwerkdrucker als
DDoS-Waffe
Im April wurde dem DFN-CERT die Beteiligung
von mehreren IP-Adressen an
DDoS-Angriffen gemeldet. Die Untersuchung
zeigte, dass unter diesen IP-Adressen
Drucker und ähnliche Geräte mit
(Web-)Konfigurationsschnittstellen vom
öffentlichen Internet heraus erreichbar
waren. Diese Schnittstellen stellen eine
hohe Einbruchsgefahr dar, da sie oftmals
in der Werkskonfiguration mit bekannten
Standard-Benutzernamen und Passwörtern
versehen sind und zudem häufig ausnutzbare
Schwachstellen enthalten. Solche
von außen erreichbare Geräte werden mit
hoher Wahrscheinlichkeit angegriffen, da
sie von Suchmaschinen indiziert werden
und somit mittels einer einfachen Suchmaschinen-Abfrage
gefunden werden können.
Mit dem Netzwerkprüfer im DFN-CERT
Portal können Anwender im Voraus erkennen,
welche Systeme in ihren Netzen von
außen sichtbar sind und so Drucker und
ähnliche Systeme durch entsprechende
Firewall-Regeln gegen derartige Angriffe
schützen. M
Kontakt
Wenn Sie Fragen oder Kommentare
zum Thema „Sicher heit im DFN“ haben,
schicken Sie bitte eine Mail an
sicherheit@dfn.de.

40 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT
Wissenschaftsparagraph geht
in die Verlängerung
Dritter Anlauf für § 52a Urheberrechtsgesetz
Selten wurde eine Vorschrift so heftig und lange diskutiert wie diese: § 52a Urhebergesetz
(UrhG), in Fachkreisen auch „Wissenschafts- bzw. E-Learning-Paragraph“ genannt.
Für Hochschulen ist er eine nicht mehr wegzudenkende Norm. Der Verlagsindustrie
ist er dagegen ein Dorn im Auge. Dessen Reichweite beschäftigt Gerichte seit
Jahren. Nun gewährte der Gesetzgeber eine Verlängerung der Norm bis 2014 – zum
dritten Mal in Folge. Welche Konsequenzen dies unter anderem für den schwelenden
Vergütungsstreit zwischen Wissenschaftseinrichtungen und Verlagsindustrie haben
wird, wird sich innerhalb der nächsten zwei Jahre – hoffentlich – zeigen.
Text: Susanne Thinius (Forschungsstelle Recht im DFN)
Die Vorschrift
§ 52a UrhG erlaubt es als sogenannte „Schrankenregelung des Urheberrechts“
Hochschulen und schulischen Einrichtungen, veröffentlichte
Werkteile, Werke geringen Umfangs sowie einzelne
Beiträge aus Zeitungen oder Zeitschriften für einen bestimmt abgegrenzten
Kreis von Unterrichtsteilnehmern zum Online-Abruf
(beispielsweise im Intranet) bereitzustellen. Dies muss zum angestrebten
Zweck geboten und zur Verfolgung nicht kommerzieller
Zwecke gerechtfertigt sein. Für die Bereitstellung muss eine angemessene
Vergütung an die Autoren oder stellvertretend die Verwertungsgesellschaften
gezahlt werden. Insbesondere E-Learning-
Plattformen profitieren von dieser Vorschrift. Denn § 52a UrhG
ermöglicht Hochschulen, ohne die Zustimmung des Urhebers
dessen Werk im Intranet hochzuladen und Studierenden auf diese
Weise zur Verfügung zu stellen.
Durch die Instanzen
Das Landgericht Stuttgart hat als erstes Instanzengericht in seinem
Urteil vom 27.09.2011 (Az.: 17 O 671/10) die Bedeutung des
§ 52a UrhG für die Wissenschaft und die Notwendigkeit des Zugangs
digitaler Studienliteratur hervorgehoben. Noch damals legte
das Gericht fest, dass lediglich 3 Seiten eines Werkes speicherbar
und maximal 10 % eines Werkes zum Lesen und Ausdrucken
für die Nutzer von E-Learning-Plattformen zugänglich gemacht
werden können (siehe dazu ausführlich Herring, „Die Vorschrift
des § 52a Urheberrechtsgesetz – ein Auslaufmodell?“, DFN-Infobrief
Recht 1/2012).
Im Anschluss daran urteilte das Oberlandesgericht Stuttgart
am 4.4.2012 (Az.: 4 U 171/11) jedoch, dass stets eine am Einzelfall
orientierte Sichtweise hinsichtlich des Umfangs eines Werkes
anzusetzen sei und verwarf die Beurteilung anhand fester
Prozent- und Seitenzahlen. Vielmehr sei eine Abwägung zwischen
Nutzerinteresse nach öffentlichem Zugang und der
Beeinträchtigung der Rechteinhaber vorzunehmen (eine detaillierte
Urteilsanalyse findet sich bei Fischer, „Es bleibt alles
anders! OLG Stuttgart zur Reichweite des § 52a Urheberrechtsgesetz“,
DFN-Infobrief Recht 3/2012). Die Rechtsprechung des
Landgerichts Stuttgart wurde damit zum Teil erheblich abgeändert.
Verlängerung schubweise
Bereits 2003 wurde § 52a UrhG in das UrhG eingefügt. Die Befürchtungen
der wissenschaftlichen Verleger vor unzumutbaren
Beeinträchtigungen berücksichtigend, wurde die Norm zu-

RECHT | DFN Mitteilungen Ausgabe 84 |
41
nächst bis 31.12.2006 befristet. Eine Verlängerung folgte erstmalig
im Jahr 2006 um zwei Jahre und 2008 um weitere vier Jahre
– bis zum 31.12.2012. Die Auswirkungen der Norm auf die
Praxis konnten trotz mehrfacher Evaluierungen bis dahin nicht
abschließend beurteilt werden.
Nun beschloss die CDU/CSU-Bundestagsfraktion im November
2012 – quasi in letzter Minute vor Fristablauf – einen Gesetzentwurf
zur Verlängerung des § 52a UrhG bis 31.12.2014.
Grund für die erneute Verlängerung ist neben der Hoffnung auf
Aufklärung der Auswirkungen auf die Praxis auch die Tatsache,
dass sich die Hochschulen und die VG Wort (Verwertungsgesellschaft
Wort) nicht auf eine Vergütung für die Nutzung der E-Learning-Materialien
einigen können. Ein weiterer wichtiger Aspekt
ist, dass netzgestützte Lehr- und Forschungsstrukturen (in Form
elektronischer Semesterapparate) ermöglicht werden sollen. Dieses
Ziel wird eben nicht nur durch vertragliche Vereinbarungen
mit den Verlagen direkt erreicht, sondern auch durch die Schrankenregelung
des § 52a UrhG.
Es wird nun Aufgabe des Bundesgerichtshofes sein, dem lang
anhaltenden Vergütungsstreit ein möglichst schnelles Ende zu
bereiten und Licht ins Dunkel der Reichweite dieses umstrittenen
Paragraphen zu bringen. Beim Bundesgerichtshof sind momentan
mehrere Musterprozesse anhängig, die es demnächst
zu entscheiden gilt.
Denn fest steht auch, dass die fortwährende Verlängerung der
Norm eine erhebliche Rechtsunsicherheit mit sich bringt, da
viele Wissenschaftseinrichtungen, darunter auch Hochschulen,
den Betrieb der E-Learning-Plattformen nicht verlässlich planen
können. Sie fordern daher die gänzliche Entfristung der Norm.
Die Wissenschaftsverlage dagegen plädieren für eine komplette
Abschaffung der Norm.
Konsequenzen für die Hochschulpraxis
Für die Hochschulen bringt die erneute Verlängerung neben
Rechtsunsicherheit aber auch immense Vorteile: Digitale Unterstützungsmöglichkeiten
in Unterricht und Vorlesungen sind
kaum mehr aus der Wissenschaftswelt wegzudenken. Modernes
Lernen und Forschen wäre ohne die erwähnten technischen und
didaktischen Mittel nicht mehr möglich. Der Wissenschaftsstandort
Deutschland würde an Wettbewerbsfähigkeit einbüßen.
Bleibt zu hoffen, dass in den kommenden zwei Jahren eine dauerhafte
Regelung für Forschung und Lehre geschaffen wird, die
gleichermaßen den Interessen von Wissenschaft sowie Verlagen
bzw. Autoren dient. M
Foto: © Andres Rodriguez - Fotolia.com

42 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT
Das Ende für den Newsletter!?
Oberlandesgericht München: E-Mail-Versand mit der Bitte um Bestätigung der
Anmeldung stellt belästigende Reklame dar
Bisher konnte davon ausgegangen werden, dass die Frage, wann die Zusendung von
Newslettern zulässig ist, sich nach dem sogenannten „Double-Opt-In-Verfahren“
bestimmt. Dabei gibt der Adressat zunächst seine E-Mail-Adresse an und erhält daraufhin
einen Bestätigungslink zugeschickt, um sicherzustellen, dass er die Eintragung
auch tatsächlich vorgenommen hat. Diese bisherige Praxis hat das Oberlandesgericht
München mit Urteil vom 27.09.2012 (Az.: 29 U 1682/12) nunmehr in Frage gestellt,
indem es die per E-Mail verschickte Bitte um Bestätigung eines Newsletter-Abos als
belästigende Reklame und somit als Spam angesehen hat. Die Konsequenz dieser
Ansicht wäre, dass das dargestellte Verfahren nicht mehr angewandt werden könnte,
da bereits die Bestätigungs-E-Mail des Anbieters unzulässige Werbung darstellt. Anderweitige
Lösungsvorschläge für den rechtskonformen Versand eines Newsletters
bleibt das Gericht jedoch schuldig. Bedeutet dies das Ende für den elektronischen
Newsletter?
Text: Julian Fischer (Forschungsstelle Recht im DFN)
I. Einleitung
Das Versenden von Newslettern ist auch in Zeiten von Social-
Media (Facebook, Twitter etc.) sowie stets aktualisierter Homepageseiten
eine der erfolgreichsten Möglichkeiten, um interessierte
Nutzer stets auf dem aktuellen Stand zu halten. Mittlerweile
gibt es spezielle Rund-E-Mails zu jedem erdenklichen Thema
und für jeden Bereich. Durch die Möglichkeit der Mitteilung
neuer Informationen besteht – speziell für Hochschulen – die
Möglichkeit, über jeden Vortrag, jede Vorlesungsänderung oder
kürzlich zur Verfügung gestellte Materialien schnell und einfach
zu berichten.
E-Mail-Versand nur mit Einwilligung
So informativ der Newsletter-Versand auch ist, so lästig kann er
werden, sofern Newsletter verschickt werden, die den Empfänger
nicht interessieren oder deren zunehmende Anzahl ganze E-
Mail-Postfächer verstopfen. Mit dem Sichten und Aussortieren
von E-Mails ist unzweifelhaft Arbeitsaufwand verbunden und
durch die Übermittlung der E-Mail-Datenmengen können ggf.
zusätzliche Kosten durch den Provider anfallen. Daher muss,
gerade vor dem Hintergrund zunehmender Spam-E-Mails, mehr
denn je die Einhaltung der juristischen Vorgaben Beachtung finden.
Insoweit hat der DFN-Verein bereits frühzeitig mit dem weit
verbreiteten Irrtum aufgeräumt, dass Newsletter oder Werbeinhalte
auch ohne Zustimmung des Empfängers verschickt werden
dürfen (hierzu: Golla, Zwölf hartnäckige Irrtümer, Die neuen
„Klassiker“ der juristischen Fehleinschätzung bei Homepages in:
DFN-Infobrief Recht September 2010, S. 2 – 4). Für den rechtskonformen
Newsletter-Versand gilt dabei zunächst das sog. „Opt-In-
Verfahren“, wonach der Besteller ausdrücklich in den Erhalt der
E-Mail einwilligen muss. Anderenfalls verhält der Versender sich
wettbewerbswidrig und kann schließlich abgemahnt werden, vgl.
§ 7 Abs. 2 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb)
i. V. m. § 8 Abs. 3 UWG. Der Anbieter eines Newsletters darf daher
seine Informationen grundsätzlich nur dann verschicken,
wenn er zunächst eine Einwilligung des Empfängers erhalten
hat („Opt-In“).

RECHT | DFN Mitteilungen Ausgabe 84 |
43
Foto: © guentermanaus - Fotolia.com
Gefahr der Abmahnung
Zwar stehen Hochschulen nicht zwingend in einem konkreten
Wettbewerbsverhältnis, da sie – was insbesondere auf reine Informations-E-Mails
zutrifft – nicht versuchen, gleichartige Waren
oder Dienstleistungen innerhalb desselben Endverbraucherkreises
abzusetzen (§ 2 Abs. 1 Nr. 3 UWG). Nichtsdestotrotz besteht
auch bei ihnen über die Vorschriften des Bürgerlichen Gesetzbuches
(§§ 823 Abs. 1, 1004 BGB) die Gefahr der Inanspruchnahme
auf Unterlassung, verbunden mit einer meist kostspieligen
Abmahnung. Schließlich sind auch abseits wettbewerbsrechtlicher
Ansprüche noch Ansprüche wegen eines Eingriffs in das allgemeine
Persönlichkeitsrecht des Postfachinhabers oder, sofern
es sich um Firmenadressen handelt, in den ebenfalls geschützten
Gewerbebetrieb möglich.
II. Juristische Vorgaben für den Newsletter-Versand
„Double-Opt-In“-Verfahren
Als gute und abgesicherte Methode beim Versand von Newslettern
hat sich, in Anlehnung an die juristischen Vorgaben, das
sog. „Douple-Opt-In-Verfahren“ herausgebildet, das vor allem
auch von Seiten der Gerichte als rechtskonform akzeptiert wurde.
Hierbei handelt es sich um ein sog. doppeltes Einwilligungsverfahren,
bei der ein interessierter Empfänger zunächst seine
E-Mail-Adresse auf der Homepage des Versenders einträgt und
daraufhin – häufig automatisiert – eine Bitte um Bestätigung
seiner Anmeldung per E-Mail erhält. Damit die einwilligungsbedürftige
Anmeldung des Newsletter-Dienstes rechtskonform
abgeschlossen werden konnte, bedurfte es noch einer entsprechenden
Bestätigung von Seiten des Postfachinhabers, indem
er beispielsweise auf einen Aktivierungslink in der E-Mail klickt.
Erst dann durfte der Anbieter sicher sein, dass der Newsletter-
Beitritt auch wirklich vom Adresseninhaber veranlasst worden
ist und dieser in den entsprechenden Verteiler mit aufgenom-

44 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | Recht
men werden möchte. Durch die Rücksendung/Aktivierung der
Bestätigungs-E-Mail konnte der Anbieter schließlich auch den
ihm obliegenden Beweis der Einwilligung erbringen.
Um hierbei dem Grundsatz der Datensparsamkeit gerecht zu
werden, darf in den Abfragefeldern der Newslettereintragung
nur nach der E-Mail-Adresse gefragt werden. Zusätzliche Angaben
wie Name, Adresse etc. sind für die Versendung der Newsletter-
bzw. Bestätigungs-E-Mail nicht erforderlich und daher datenschutzrechtlich
unzulässig.
Austragungsmöglichkeit und Impressumspflicht
Darüber hinaus muss der Besteller jederzeit die Möglichkeit haben,
den Newsletter wieder abzubestellen. Hierzu genügt es, wenn für
ihn am Ende der E-Mail die Option besteht, sich durch Klicken eines
Abmelde-Links wieder aus dem Verteiler austragen zu lassen.
Zu guter Letzt musste noch der Impressumspflicht genüge getan
werden, da es sich bei dem Newsletter um einen Telemediendienst
handelt. Das Impressum musste dabei – entsprechend
den hierbei geltenden Vorgaben – über zwei Klicks erreichbar
und jederzeit verfügbar sein (siehe hierzu: Recht im DFN, Wissensbasis,
Abs. III, Angebot von abrufbaren Inhalten, Informationspflicht
beim Betrieb von Tele- und Mediendiensten (Impressumspflicht)).
Gewährleistet werden konnte dies dadurch, dass im
Newsletter ein Link auf die Homepage des Anbieters gesetzt wird.
III. Zusendung der Bestätigungs-E-Mail im
„Double-Opt-In-Verfahren“
Bisherige Rechtsprechung
Bei dem oben dargestellten Verfahren blieb jedoch stets fraglich,
ob nicht die Zusendung der Bestätigungs-E-Mail im Rahmen
des „Double-Opt-In-Verfahrens“ seinerseits bereits unzulässig
ist. Diese Überlegung und Diskussion beschränkte sich bisher
allerdings allein auf die juristische Literatur. Auf Rechtsprechungsebene
schien die Problematik spätestens beantwortet,
als der Bundesgerichtshof (BGH) am Rande eines Urteils vom 10.
02. 2011 (Az.: I ZR 164/09) zur Zulässigkeit von Werbeanrufen erklärte,
dass derjenige, dessen E-Mail-Adresse mit der vermeintlich
ihm zugehörigen Telefonnummer elektronisch abgegeben
wurde, um eine Bestätigung seines Teilnahmewunsches per E-
Mail gebeten werden darf.
Amts- (AG Hamburg, Urteil vom 11. 10. 2006, Az.: 6 C 404/06; AG
München, Urteil vom 30. 11. 2007, Az.: 161 C 29330/06) und Landgerichte
(LG Berlin, Urteil vom 23. 01. 2007, Az.: 15 O 346/06) hatten
sich bereits zuvor, speziell für den Bereich der Newsletter-
Anmeldung, für die Zulässigkeit des Zusendens einer Bestätigungs-E-Mail
ausgesprochen. Einzige Ausnahme, bei der selbst
der Versand einer Überprüfungs-E-Mail unzulässig blieb, war der
Fall, dass der Versender sicher wusste, dass die E-Mail-Adresse
von jemand anderem eingetragen wurde.
Das Urteil des OLG München
Mit dem oben angegebenen Urteil des OLG München wird die Frage
der rechtlichen Zulässigkeit des Zusendens der Bestätigungs-
E-Mail im Newsletter-Anmeldeverfahren erstmalig auch auf gerichtlicher
Ebene in Frage gestellt. Dem Urteil lag die Klage einer
Steuerberatungsgesellschaft gegen eine Anlageberatungsfirma
zugrunde. Dabei gaben die Richter – entgegen der Vorinstanz (LG
München, Urteil vom 13. 03. 2012, Az.: 33 O 11089/11) – der Klägerin
Recht, indem sie den Versand der E-Mail mit der Bitte um Bestätigung
der (kostenlosen) Newsletter-Anmeldung als rechtlich
unzulässig einstuften. Das Gericht erklärte, dass es für die Zusendung
von E-Mails stets der Einwilligung des Postfachinhabers –
hier der Steuerkanzlei – bedürfe („Opt-In-Verfahren“). Für deren
Vorliegen sei die Anlageberatung beweispflichtig und könne diesen
Beweis nicht antreten. Daher sei die gleichwohl erfolgte Zusendung
sowohl als Wettbewerbsverstoß als auch als Eingriff in
den Gewerbebetrieb einzustufen. Daran könne schließlich auch
die Tatsache nichts ändern, dass es sich um eine E-Mail handele,
mit der zur Bestätigung einer Bestellung im Rahmen des „Double-Opt-In-Verfahrens“
aufgefordert wird. Diese Vorgehensweise
stelle konsequentermaßen eine unbestellte Dienstleistung dar
und sei folglich als unzulässige Werbung im Sinne des § 7 Abs.
2 Nr. 3 UWG einzustufen. Immerhin verfolge die Beklagte damit
das Ziel, die Erbringung ihrer Dienstleistung (Anlageberatung) zu
fördern. Ebenfalls keine Änderung könne sich aus der Tatsache
ergeben, dass es bei dem Versand der Bestätigungs-E-Mail lediglich
um das Bestreben gehe, eine ausdrückliche Einwilligung des
Adressaten für weitere Werbemaßnahmen zu erlangen. Auch die
Bestätigungs-E-Mail sei eine unmittelbar in Zusammenhang mit
der Förderung ihrer Anlageberatungstätigkeit stehende Maßnahme.
Für das geltende Einwilligungserfordernis sei es nun einmal
auch nicht erforderlich, dass bereits die (Bestätigungs-)E-Mail
selbst eine Werbebotschaft enthalte. Der Aufwand zur Durchsicht
und Löschung unbestellter E-Mails sei hiervon unabhängig.
Die Zusendung der E-Mail sei insoweit auch deswegen als rechtswidrig
anzusehen, da mit ihr ein unzumutbar belästigender Charakter
einhergehe. Das Gericht betont in diesem Zusammenhang,
dass im Hinblick auf die billige, schnelle und aufgrund der Automatisierung
auch arbeitsparende Versendungsmöglichkeit der
E-Mail-Werbung mit einem immer weiteren Umsichgreifen dieser
Werbeart zu rechnen sei, sofern hier keinerlei Einschränkungen
vorgenommen werden.

RECHT | DFN Mitteilungen Ausgabe 84 |
45
IV. Einordnung des Urteils und Konsequenz
Das Urteil des OLG München stellt die gesamte bisher ergangene
instanzgerichtliche Rechtsprechung zum zulässigen Versand
einer Bestätigungs-E-Mail in Frage. Nach Ansicht der OLG-Richter
lässt sich nicht zwischen einer Bestätigungs-E-Mail und einer
üblichen Werbe-E-Mail differenzieren.
Offensichtlich wollte das OLG München darauf hinweisen, dass
es keinen Unterschied machen dürfe, um welche Art der zugestellten
und dann im Postfach befindlichen E-Mail es sich handelt,
sofern es an einer vorherigen rechtskonform erteilten
Einwilligung fehlt. Anderenfalls würde letztlich zwischen den
transportierten Dateninhalten (Überprüfungs- oder Werbe-
E-Mail) unterschieden, was wiederum zu weiterführenden unlösbaren
Widersprüchen führen könnte. Das Gericht sieht vor
allem auch den wirksamen Schutz vor zunehmenden Spam-E-
Mails in Frage gestellt, dessen große Bedeutung es an verschiedenen
Stellen des Urteils herausstellt.
Praxisuntauglich
Auf der anderen Seite scheinen die Richter die praktische Notwendigkeit
des Newsletter-Anbieters zu vergessen, sich über die
Bestätigungs-E-Mail Gewissheit darüber zu verschaffen, ob der
Postfachinhaber tatsächlich an der Aufnahme des Newsletter-
Versands interessiert ist. Das Problem liegt darin, dass die meist
auf der Homepage befindliche Eintragungsmaske sich eben nicht
als Einwilligung einstufen lässt, da dort jeder die E-Mail-Adresse
eines beliebigen Postfachinhabers eintragen kann. Der Newsletter-Anbieter
darf aus datenschutzrechtlichen Gründen aber keine
anderweitigen (Überprüfungs-)Angaben als die der E-Mail-Adresse
vom Nutzer erfragen. Dies führt zu der Konsequenz, dass
er sich auch nur auf diesem Wege die Gewissheit über die Frage
der tatsächlich gewollten Aufnahme in den Newsletter verschaffen
kann. Daher besteht für den Versender des Newsletters
keine andere Möglichkeit der Überprüfung, als per E-Mail
den Postfachinhaber der angegebenen E-Mail-Adresse um eine
entsprechende Bestätigung zu bitten. Insoweit gehen die Vorgaben
des OLG München an den praktischen Gegebenheiten vorbei.
Jeder Anbieter eines Newsletters würde sich der Gefahr aussetzen,
dass er eine Bestätigungs-E-Mail verschickt, aufgrund
derer er zulässigerweise abgemahnt werden könnte. Dieses Ri-
Foto: © Tiniiiii - photocase.de

46 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT
siko würden vermutlich die wenigsten – die ihr Angebot ohnehin
zumeist als benutzerfreundlichen Service verstehen – eingehen.
Am Ende würde der elektronische Newsletter daher quasi
vor dem Aus stehen.
Alternative: Verzicht auf ein automatisiertes Verfahren
Als denkbare Alternative, die auch mit den Vorgaben der Richter
aus München in Einklang zu bringen wäre, käme die Möglichkeit
in Betracht, auf einen automatisierten Bestellvorgang des
Newsletter-Versandes zu verzichten und das Erfordernis einer
eigenhändigen Bestellung von Seiten des Postfachinhabers einzuführen.
Hierdurch wäre die Gefahr gebannt, dass Unbekannte
durch bloße Angabe der E-Mail-Adresse das Zusenden der Bestätigungs-E-Mail
auslösen könnten. Diese wäre vor dem Hintergrund
der ausschließlich individuellen Anforderung auch überhaupt
nicht mehr erforderlich. Inwieweit diese Variante dem,
auf unkomplizierte Eintragung und Versand angelegten, Newsletter
dann noch gerecht wird, ist allerdings höchst zweifelhaft.
Schließlich müsste – anstelle eines automatisierten Verfahrens
– jede E-Mail einzeln bearbeitet und die E-Mail-Adressen in den
Newsletter-Versand mit aufgenommen werden. Darüber hinaus
würde mit großer Sicherheit durch die Umstellung die Zahl der
Interessenten deutlich reduziert. Ob Ertrag und Aufwand des
Newsletter-Angebots dann noch in einem vernünftigen Verhältnis
zueinander stehen, darf stark bezweifelt werden.
Dokumentationsmöglichkeit mittels Logfile ratsam
Hoffnung verspricht daher die zugelassene Revision zum BGH,
der bereits in einem ähnlichen Fall den Versand einer Bestätigungs-E-Mail
für zulässig erachtet hat. Eine Änderung dieser
höchstrichterlichen Sichtweise dürfte – vor allem aus Praktikabilitätsgründen
– nicht zu erwarten sein. Nicht zuletzt wäre eine
Bestätigung der Ansicht des OLG München ein bedenklicher
Rückschritt des Online-Rechts um viele Jahrzehnte. Vor diesem
Hintergrund und der Tatsache, dass es sich bisher um ein äußerst
fragwürdiges Einzelurteil handelt, erscheint eine Veränderung
des Newsletter-Versands in der Hochschulpraxis nicht
zwingend erforderlich zu sein. Auch hat sich im Anschluss an das
Urteil weder eine Abmahnwelle noch eine Umstellung bei anderweitigen
(kommerziellen) Newsletter-Angeboten ergeben, bei
denen durch das Bestehen einer Wettbewerbssituation die Gefahr
einer Abmahnung als wesentlich höher einzuschätzen ist.
Wichtiger denn je ist in jedem Fall die Dokumentation, um zumindest
belegen zu können, dass eine Newsletter-Anforderung
tatsächlich erfolgt ist und dem Versand der Bestätigungs-E-Mail
eine vorherige Aufforderung zu Grunde lag. Dies lässt sich beispielsweise
dadurch erreichen, dass die IP-Adresse mittels eines
Logfiles festgehalten wird. Die beklagte Anlageberatungsfirma
konnte einen derartigen Beweis während des gesamten Verfahrens
jedenfalls nicht erbringen.
V. Fazit
Das Urteil des OLG München lässt sich aus juristischer Sichtweise
nicht zwingend als Fehlurteil einstufen. Es macht vielmehr
darauf aufmerksam, dass jeder E-Mail-Versand der vorherigen
Einwilligung des Postfachinhabers bedarf. Konsequenterweise
gilt dieses Erfordernis auch für den Versand einer E-Mail, mit der
der Postfachinhaber aufgefordert wird, eine zuvor im Newsletter-Angebot
eingetragene E-Mail-Adresse zu bestätigen.
Allerdings scheinen die Richter die Konsequenz zu ignorieren,
dass dem Anbieter eines Newsletters keine andere Daten als die
der E-Mail-Adresse zur Verfügung stehen und er sich demzufolge
auch nur auf diesem Weg Gewissheit darüber verschaffen kann,
ob der Postfachinhaber tatsächlich in den Newsletter-Versand
aufgenommen werden möchte. Das dahinter stehende Einwilligungserfordernis
kann nicht dazu führen, dass jeglicher Verkehr
auf elektronischem Wege derart risikobehaftet ist, dass er faktisch
durch die Gerichte verhindert wird. Es muss möglich sein,
erwünschte E-Mails und Newsletter weiterhin an Interessenten
zu versenden und gleichzeitig die missbräuchliche Eintragung
in E-Mail-Verteilern herauszufiltern.
Das insoweit bislang für rechtsprechungskonform angesehene
„Double-Opt-In-Verfahren“ hat sich vor diesem Hintergrund absolut
bewährt. Somit bestand auch überhaupt keine Veranlassung
derart weitgehende Zweifel aufkommen zu lassen. Bei der
Bestätigungs-E-Mail handelt es sich schließlich um einen Schutz
vor unerwünschten E-Mails und um eine Absicherung, dass die
erste Anforderung tatsächlich von dem Adressaten stammt. Der
Aufwand des Löschens einer unerwünschten Bestätigungs-E-Mail
ist zudem sehr gering. Diese Sichtweise scheint den, allein juristisch
argumentierenden, Richtern des OLG München jedoch
nicht zugänglich.
Um den von ihrer Seite aufgestellten Anforderungen gerecht zu
werden, käme als einzig denkbare Alternative der Verzicht auf
ein automatisiertes Verfahren und die damit verbundene Umstellung
auf eine individuelle Anforderung der Newsletter-Zusendung
in Betracht. Ob dieser Rückschritt im Internet-Zeitalter
vom BGH geteilt wird, ist aber ausgesprochen zweifelhaft. Es ist
vielmehr zu erwarten, dass der BGH – ganz im Sinne der praktischen
Notwendigkeit – die Zulässigkeit des jahrelang praktizierten
„Douple-Opt-In-Verfahrens“ bestätigt. Der Zeitpunkt hierfür
könnte jedenfalls nicht besser sein. M

RECHT | DFN Mitteilungen Ausgabe 84 |
47
Wer sich auf Facebook präsentiert,
muss viel preisgeben
Zur Impressumspflicht für öffentliche Facebook-Fanseiten
Sogenannte Facebook- Fanseiten sind stark in Mode – diesem Trend können sich
deutsche Hochschulen schon seit einiger Zeit nicht mehr widersetzen. Doch auch bei
dieser Form des öffentlichen Auftritts müssen gewisse Regeln beachtet werden – wie
die Impressumspflicht. Ist das Impressum einer solchen „geschäftsmäßigen Webseite“
unvollständig oder gänzlich nicht vorhanden, so kann das für die Webseitenbetreiber
erhebliche Konsequenzen haben – u.a. einen Verstoß gegen das Wettbewerbsrecht.
Dies entschied kürzlich das Landgericht (LG) Regensburg. Doch was droht den Betreibern
im Falle eines Verstoßes und welche Angaben sind nun zwingend erforderlich?
Text: Susanne Thinius (Forschungsstelle Recht im DFN)
I. Rechtlicher Hintergrund der Impressumspflicht
§ 5 Telemediengesetz (TMG) postuliert die Informations-
(„Impressums“-)pflicht für Diensteanbieter von „geschäftsmäßigen,
in der Regel gegen Entgelt angebotenen Telemedien“. Es müssen
demnach Angaben wie Name und Anschrift sowie Rechtsform
und Vertretungsberechtigter (Nr. 1), Informationen zur schnellen
Kontaktaufnahme inklusive E-Mail-Adresse (Nr.2), die zuständige
Aufsichtsbehörde (Nr. 3), Handelsregister und entsprechende
Registernummer (Nr. 4), Umsatzidentifikationsnummer NR.

48 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT
6) etc. leicht erkennbar, unmittelbar erreichbar und ständig verfügbar
gehalten werden.
Die Definition des Begriffes „Diensteanbieter“ und damit des
Adressaten der Impressumspflicht aus § 5 TMG findet sich in § 2
Nr. 1 TMG: darunter ist jede „natürliche oder juristische Person“
zu verstehen, die „eigene oder fremde Telemedien zur Nutzung
bereithält oder den Zugang zur Nutzung vermittelt“. Das sind an
erster Stelle Anbieter von Inhalten wie Webseiten.
Ein Diensteanbieter handelt „geschäftsmäßig“, wenn er Telemedien
aufgrund einer nachhaltigen Tätigkeit mit oder ohne Gewinnerzielungsabsicht
erbringt. „Nachhaltigkeit“ bedeutet in
diesem Zusammenhang, dass die Tätigkeit auf einen längeren
Zeitraum ausgerichtet ist und sich nicht auf einen Einzelfall beschränkt.
Private Gelegenheitsgeschäfte fallen somit nicht unter
den Begriff der Geschäftsmäßigkeit, wohl aber Hochschulauftritte
in sozialen Netzwerken, die ihre Studenten, Mitarbeiter und
Externe über ihre Angebote und Dienstleistungen informieren
wollen und Raum für Meinungsaustausch und Diskussion bieten
– und zwar auf Dauer angelegt.
Die Informationspflichten des § 5 TMG dienen dem Verbraucherschutz
und der Transparenz von geschäftsmäßig erbrachten Telediensten.
Sie stellen aus diesem Grund sog. „Marktverhaltensregeln“
i.S.d. § 4 Nr. 11 des Gesetzes gegen unlauteren Wettbewerb
(UWG) dar. Ein Verstoß gegen § 5 TMG beziehungsweise die
Nichteinhaltung der Voraussetzungen kann mithin ein unlauteres
und gleichzeitig wettbewerbswidriges Verhalten darstellen.
Dies wiederum kann Ansprüche aus dem UWG begründen, wie
beispielsweise Unterlassungsansprüche nach § 8 UWG und Schadensersatzansprüche
aus § 12 UWG. Im Rahmen dessen wird von
der Beklagtenpartei nicht selten gefordert, strafbewährte Unterlassungserklärungen
abzugeben, bei deren Zuwiderhandlungen
Ordnungsgelder oder gar Ordnungshaft fällig werden können.
Schadensersatzansprüche können in Gestalt von vorgerichtlichen
Anwalts- bzw. Abmahnkosten geltend gemacht werden.
II. Entwicklung der Rechtsprechung in den
vergangenen Jahren
In den vergangenen Jahren gab es einige interessante Urteile
und Beschlüsse zur Impressumspflicht von sozialen Netzwerken,
insbesondere zu Facebook, unter anderem zu Adressat und
Umfang dieser Pflicht. Ein eindeutiger Trend lässt sich erkennen:
Geschäftsmäßige Webseiten-Betreiber werden stärker in
die Pflicht genommen. Der augenscheinliche Grund dafür: Der
„Kunde“ beziehungsweise Nutznießer einer Webseite soll umfassend
darüber aufgeklärt werden, wer für deren Inhalte verantwortlich
ist und an wen er sich im Zweifel zu wenden hat.
So beschloss das Oberlandesgericht (OLG) Celle im vergangenen
Jahr (Az. 13 U 72/12), dass Diensteanbieter derjenige ist, der die
„Funktionsherrschaft“ über die Domain beziehungsweise das
Telemedium hat. Das Telemedium war in diesem Fall eben auch
eine zumindest geschäftsmäßige Webseite. Für eine solche bedeutet
dies, dass der Unternehmer beziehungsweise der Arbeitgeber
– und nicht etwa der einzelne Mitarbeiter – Diensteanbieter
ist und somit die Verantwortung für die Richtigkeit des Impressums
übernimmt.
Das Landgericht Aschaffenburg hatte bereits mit Urteil aus dem
Jahr 2011 (Az. 2 HK O 4/11) entschieden, dass im Falle einer (auch)
geschäftsmäßigen beziehungsweise kommerziellen Nutzung eines
Facebook-Profils oder sog. Facebook- Fanseiten eine Impressumspflicht
nach § 5 TMG entsteht. Das gelte ebenfalls für Nutzer
von (einfachen) Facebook- Accounts, wenn diese nicht nur
rein privat genutzt werden. Die Weiterleitung via Link auf die unternehmenseigene
Webseite mit dortigem Impressum genüge
nicht, um das Fehlen des Impressums auf der Facebook-Seite zu
kompensieren, so die Aschaffenburger Richter. Auch die Angabe
von Anschrift und Telefonnummer allein genüge nicht den Impressums-Anforderungen.
Wer sich also zu Marketingzwecken
Facebook, Twitter und Co. bedient, den treffen strenge Impressumspflichten.
Der Grundstein für das Urteil des LG Regensburg
wurde damit gelegt.
III. Urteil des Landgerichts Regensburg
Das LG Regensburg hat in seiner jüngsten Entscheidung vom
31.1.2013 (Az. 1 HK O 1884/12) nunmehr bestätigt, dass auch geschäftsmäßige
Facebook-Seiten, die als Eingangskanal in Webseiten
dienen, der allgemeinen Impressumspflicht nach § 5 TMG
unterliegen. Das Fehlen einer solchen sei sogar wettbewerbswidrig,
so die Regensburger Richter. Im konkreten Fall ging es
um zwei IT-Systemhäuser, die ein sich ähnelndes Betriebsspektrum
aufwiesen (Entwicklung von Software, Schulungen etc.).
Das Gericht sah beide Parteien aufgrund der Gleichartigkeit des
Leistungsangebots als Mitbewerber i.S.v. § 2 Nr. 3 UWG an, die in
einem konkreten Wettbewerbsverhältnis stehen. Diesen Mitbewerbern
stehen grundsätzlich wettbewerbsrechtliche Ansprüche
zu, so § 8 Abs. 3 Nr. 1 UWG.
Es kam, wie es kommen musste: Ein IT-Unternehmen klagte gegen
das andere, weil es sich am Impressum des anderen Unternehmens
auf dessen Facebook-Webseite störte. Das LG gab der
Klage statt, da die Angaben im Impressum den Anforderungen
des § 5 TMG tatsächlich nicht genügten. Konkret seien Name und
Anschrift unvollständig gewesen und auch die Angabe über den
Geschäftsführer und die zuständige Aufsichtsbehörde fehlten.
Dies stelle laut Gericht einen Wettbewerbsverstoß i.S.d. § 4 Nr.
11 UWG bzw. wettbewerbswidriges Verhalten dar. Nach § 4 Nr.

RECHT | DFN Mitteilungen Ausgabe 84 |
49
Foto: © ProMotion - Fotolia.com
11 UWG sind Handlungen unlauter, die einer gesetzlichen Vorschrift
(in diesem Falle § 5 TMG) zuwiderhandeln, die Marktverhaltensregeln
darstellt. Diese Voraussetzungen erfüllt § 5 TMG.
Das Gericht stellte nun fest, dass die Klägerin aus § 8 UWG einen
Unterlassungsanspruch gegen die Beklagten und einen Anspruch
auf Ersatz ihrer Aufwendungen (für entstandene Abmahnkosten)
habe. Zudem verneinte das Gericht ein mögliches missbräuchliches
Verhalten der Klägerin (i.S.d. § 8 Abs. 4 UWG) durch sog.
Massenabmahnungen. Massenabmahnungen liegen nur dann
vor, wenn die Tätigkeit der Klägerin hauptsächlich im Abmahnen
selbst und nicht im angegebenen Betriebsfeld liege. Vielfach-
oder Massenabmahnungen können dann einen Hinweis auf
Rechtsmissbrauch geben, wenn mehr als 180 Mal innerhalb einer
Woche durch dieselbe Person abgemahnt wird. Andere Umstände
müssten allerdings noch hinzutreten, um einen Rechtsmissbrauch
anzunehmen, z.B. eine überhöhte Vertragsstrafe, überhöhte
Abmahngebühren etc.
Die Entscheidung bestätigt also, was seit mindestens 2 Jahren
diskutiert wird: Social-Media-Angebote sind zumindest dann impressumspflichtig,
wenn sie geschäftsmäßig genutzt werden.
IV. Auswirkungen auf die Hochschulpraxis
Für Hochschulen sind diese Entscheidungen von aktueller Bedeutung,
da es mittlerweile zum guten Ton einer jeden Hochschule,
aber auch Einrichtungen, Instituten und Fakultäten gehört,
sich in sozialen Netzwerken zu präsentieren und so eine
neue Kommunikationsplattform anzubieten. Wie eingangs erwähnt,
treten sie damit geschäftsmäßig auf. Die erwähnten Urteile
finden somit Anwendung auf Hochschulen.
Aus dem Regensburger Urteil lässt sich der Schluss ziehen, dass
Mitbewerber von Hochschulen im wettbewerbsrechtlichen Sinne
auch andere Hochschulen sein können, da sie gleichermaßen um
Studenten werben und Dienstleistungen rund um Studium und
Lehre anbieten. Sie stehen somit zueinander im konkreten Wettbewerbsverhältnis.
Im Falle von unvollständigen Impressumsangaben
– auch und gerade bei öffentlichen Facebook-Auftritten
– kann deshalb jederzeit eine Abmahnung einer anderen Hochschule
ins Haus flattern – je nachdem, wie gewissenhaft andere
Hochschulen ihre Ordnungshüter-Eigenschaft wahrnehmen.
Zu beachten für die Hochschulen ist, dass ein Impressum auch
dann unvollständig ist, wenn lediglich eine gültige Adresse sowie
Telefonnummer und E-Mail-Adresse angegeben werden. Auch
die schnelle elektronische Kontaktaufnahme und die unmittelbare
Kommunikationsmöglichkeit sind bereitzustellen. Korrekte
und vollständige Impressumsangaben sind eben unverzichtbar,
wenn kostspielige Abmahnungen oder gar Klagen vermieden
werden sollen. Vorsicht ist also geboten!
Es darf auf der anderen Seite jedoch nicht vergessen werden,
dass letztlich eine Pflicht zur elektronischen Kommunikation
nicht besteht. Angesichts der rechtlichen (Impressums- und anderen)
Pflichten, die mit der Entscheidung zum Auftritt in sozialen
Netzwerken wie Facebook einhergehen, sowie hinsichtlich
datenschutzrechtlicher Bedenken sollte jede Einrichtung
selbst über ihre öffentlichen Auftritte im Netz entscheiden können
und müssen. M

50 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | DFN-VEREIN
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins (Stand: 05/2013)
• Dr.-Ing. Christa Radloff (Univ. Rostock)
• Prof. Dr. Peter Schirmbacher (HU zu
Berlin)
• Dr. Wolfgang A. Slaby (Kath. Univ.
Eichstätt-Ingolstadt)
• Prof. Dr. Horst Stenzel (FH Köln)
Laut Satzung fördert der DFN-Verein die
Schaffung der Voraussetzungen für die
Errichtung, den Betrieb und die Nutzung
eines rechnergestützten Informations- und
Kommunikationssystems für die öffentlich
geförderte und gemeinnützige Forschung
in der Bundesrepublik Deutschland. Der
Satzungszweck wird verwirklicht insbesondere
durch Vergabe von Forschungsaufträgen
und Organisation von Dienstleistungen
zur Nutzung des Deutschen
Forschungsnetzes.
Als Mitglieder werden juristische Personen
aufgenommen, von denen ein wesentlicher
Beitrag zum Vereinszweck zu erwarten
ist oder die dem Bereich der institutionell
oder sonst aus öffentlichen Mitteln
geförderten Forschung zuzurechnen
sind. Sitz des Vereins ist Berlin.
Die Organe des DFN-Vereins sind:
• die Mitgliederversammlung
• der Verwaltungsrat
• der Vorstand
Die Mitgliederversammlung ist u. a. zuständig
für die Wahl der Mitglieder des Verwal-
tungsrates, für die Genehmigung des Jahreswirtschaftsplanes,
für die Entlastung
des Vorstandes und für die Festlegung der
Mitgliedsbeiträge. Derzeitiger Vorsitzender
der Mitgliederversammlung ist Prof.
Dr. Gerhard Peter, HS Heilbronn.
Verwaltungsrat
Der Verwaltungsrat beschließt alle wesentlichen
Aktivitäten des Vereins, insbesondere
die technisch-wissenschaftlichen Arbeiten,
und berät den Jahreswirtschaftsplan.
Für die 10. Wahlperiode sind Mitglieder
des Verwaltungsrates:
• Prof. Dr. Hans-Joachim Bungartz (TU
München)
• Prof. Dr. Rainer W. Gerling (MPG München)
• Prof. Dr. Ulrike Gutheil (TU Berlin)
• Dir. u. Prof. Dr. Siegfried Hackel (PTB
Braunschweig)
• Dr.-Ing.habil. Carlos Härtel (GE Global
Research)
• Prof. Dr.-Ing. Ulrich Lang (Univ. zu Köln)
• Prof. Dr. Joachim Mnich (DESY)
• Prof. Dr. Wolfgang E. Nagel (TU Dresden)
• Prof. Dr. Bernhard Neumair (KIT)
Der Verwaltungsrat hat als ständige
Gäste:
• einen Vertreter der KMK: gegenwärtig
Herrn Grothe, SMWK Sachsen
• einen Vertreter der HRK: gegenwärtig
Prof. Dr. Metzner, Präsident der FH Köln
• einen Vertreter der Hochschulkanzler:
gegenwärtig Herrn Schöck, Kanzler
der Universität Erlangen-Nürnberg
• den Vorsitzenden des ZKI: gegenwärtig
Prof. Dr. Lang, Universität zu Köln
• den Vorsitzenden der Mitgliederversammlung:
gegenwärtig Prof. Dr. Peter,
HS Heilbronn
Vorstand
Der Vorstand des DFN-Vereins im Sinne des
Gesetzes wird aus dem Vorsitzenden und
den beiden stellvertretenden Vorsitzenden
des Verwaltungsrates gebildet. Derzeit
sind dies Prof. Dr. Hans-Joachim Bungartz,
Vorsitz, sowie Prof. Dr. Ulrike Gutheil
und Prof. Dr. Bernhard Neumair.
Der Vorstand wird beraten von einem Technologie-Ausschuss
(TA), einem Betriebsausschuss
(BA) und einem Ausschuss für Recht
und Sicherheit (ARuS), der zugleich auch
als Jugendschutzbeauftragter für das DFN
fungiert.
Der Vorstand bedient sich zur Erledigung
laufender Aufgaben einer Geschäftsstelle
mit Standorten in Berlin und Stuttgart.
Sie wird von einer Geschäftsführung geleitet.
Als Geschäftsführer wurden vom Vorstand
Jochem Pattloch und Dr. Christian
Grimm bestellt.

DFN-VEREIN | DFN Mitteilungen Ausgabe 84 |
51
Aachen
Aalen
Albstadt
Amberg
Ansbach
Aschaffenburg
Augsburg
Bamberg
Bayreuth
Berlin
Biberach
Bielefeld
Bingen
Bochum
Bonn
Fachhochschule Aachen
Rheinisch-Westfälische Technische Hochschule Aachen (RWTH)
Hochschule Aalen
Hochschule Albstadt-Sigmaringen (FH)
Hochschule Amberg-Weiden für angewandte Wissenschaften
Hochschule für angewandte Wissenschaften, Fachhochschule Ansbach
Hochschule Aschaffenburg
Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg
Universität Augsburg
Otto-Friedrich-Universität Bamberg
Universität Bayreuth
Alice Salomon Hochschule Berlin
BBB Management GmbH
Beuth Hochschule für Technik Berlin – University of Applied Sciences
Bundesamt für Verbraucherschutz und Lebensmittelsicherheit
Bundesanstalt für Materialforschung und -prüfung
Bundesinstitut für Risikobewertung
Deutsche Telekom AG Laboratories
Deutsches Herzzentrum Berlin
Deutsches Institut für Normung e. V. (DIN)
Deutsches Institut für Wirtschaftsforschung (DIW)
Fachinformationszentrum Chemie GmbH (FIZ Chemie)
Forschungsverbund Berlin e. V.
Freie Universität Berlin (FUB)
Helmholtz-Zentrum Berlin für Materialien und Energie GmbH
Hochschule für Technik und Wirtschaft – University of Applied Sciences
Hochschule für Wirtschaft und Recht
Humboldt-Universität zu Berlin (HUB)
International Psychoanalytic University Berlin
IT-Dienstleistungszentrum
Konrad-Zuse-Zentrum für Informationstechnik (ZIB)
Robert Koch-Institut
Stanford University in Berlin
Stiftung Deutsches Historisches Museum
Stiftung Preußischer Kulturbesitz
Technische Universität Berlin (TUB)
T-Systems International GmbH
Umweltbundesamt
Universität der Künste Berlin
Wissenschaftskolleg zu Berlin
Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)
Hochschule Biberach
Fachhochschule Bielefeld
Universität Bielefeld
Fachhochschule Bingen
ELFI Gesellschaft für Forschungsdienstleistungen mbH
Evangelische Fachhochschule Rheinland-Westfalen-Lippe
Hochschule Bochum
Hochschule für Gesundheit
Ruhr-Universität Bochum
Technische Fachhochschule Georg Agricola für Rohstoff,
Energie und Umwelt zu Bochum
Bundesministerium des Innern
Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit
Deutsche Forschungsgemeinschaft (DFG)
Deutscher Akademischer Austauschdienst e. V. (DAAD)
Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)
GESIS – Leibniz-Institut für Sozialwissenschaften e. V.
Rheinische Friedrich-Wilhelms-Universität Bonn
Zentrum für Informationsverarbeitung und Informationstechnik
Borstel
FZB, Leibniz-Zentrum für Medizin und Biowissenschaften
Brandenburg Fachhochschule Brandenburg
Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen
GmbH
Helmholtz-Zentrum für Infektionsforschung GmbH
Hochschule für Bildende Künste Braunschweig
Johann-Heinrich von Thünen-Institut, Bundesforschungsinstitut
für Ländliche Räume, Wald und Fischerei
Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen
Physikalisch-Technische Bundesanstalt (PTB)
Technische Universität Carolo-Wilhelmina zu Braunschweig
Bremen
Hochschule Bremen
Hochschule für Künste Bremen
Jacobs University Bremen gGmbH
Universität Bremen
Bremerhaven Alfred-Wegener-Institut, Helmholtz-Zentrum für Polar- und
Meeresforschung (AWI)
Hochschule Bremerhaven
Stadtbildstelle Bremerhaven
Chemnitz Technische Universität Chemnitz
Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)
Technische Universität Clausthal-Zellerfeld
Coburg
Hochschule für angewandte Wissenschaften, Fachhochschule Coburg
Cottbus
Brandenburgische Technische Universität Cottbus
Darmstadt European Space Agency (ESA)
Evangelische Hochschule Darmstadt
GSI Helmholtzzentrum für Schwerionenforschung GmbH
Hochschule Darmstadt
Merck KGaA
Technische Universität Darmstadt
T-Systems International GmbH
Deggendorf Hochschule für angewandte Wissenschaften,
Fachhochschule Deggendorf
Dortmund Fachhochschule Dortmund
Technische Universität Dortmund
Dresden Helmholtz-Zentrum Dresden-Rossendorf e. V.
Hannah-Arendt-Institut für Totalitarismusforschung e. V.
Hochschule für Bildende Künste Dresden
Hochschule für Technik und Wirtschaft
Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.
Leibniz-Institut für Polymerforschung Dresden e. V.
Sächsische Landesbibliothek – Staats- und Universitätsbibliothek
Technische Universität Dresden
Düsseldorf Fachhochschule Düsseldorf
Heinrich-Heine-Universität Düsseldorf
Information und Technik Nordrhein-Westfalen (IT.NRW)
Eichstätt
Katholische Universität Eichstätt-Ingolstadt
Emden
Hochschule Emden/Leer
Erfurt
Fachhochschule Erfurt
Universität Erfurt

52 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | DFN-VEREIN
Erlangen
Friedrich-Alexander-Universität Erlangen-Nürnberg
Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V.
Universität Duisburg-Essen
Esslingen Hochschule Esslingen
Flensburg Fachhochschule Flensburg
Universität Flensburg
Frankfurt/M. Bundesamt für Kartographie und Geodäsie
Deutsche Nationalbibliothek
Deutsches Institut für Internationale Pädagogische Forschung
Fachhochschule Frankfurt am Main
Johann Wolfgang Goethe-Universität Frankfurt am Main
KPN EuroRings B.V.
Philosophisch-Theologische Hochschule St. Georgen e.V.
Senckenberg Gesellschaft für Naturforschung
Stonesoft Germany GmbH
Frankfurt/O. IHP GmbH – Institut für innovative Mikroelektronik
Stiftung Europa-Universität Viadrina
Freiberg
Technische Universität Bergakademie Freiberg
Freiburg
Albert-Ludwigs-Universität Freiburg
Friedrichshafen Zeppelin Universität gGmbH
Fulda
Hochschule Fulda
Furtwangen Hochschule Furtwangen – Informatik, Technik, Wirtschaft, Medien
Garching
European Southern Observatory (ESO)
Gesellschaft für Anlagen- und Reaktorsicherheit mbH
Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften
Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)
Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenforschung
GmbH
Gelsenkirchen Westfälische Hochschule
Gießen
Technische Hochschule Mittelhessen
Justus-Liebig-Universität Gießen
Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)
Verbundzentrale des Gemeinsamen Bibliotheksverbundes
Greifswald Ernst-Moritz-Arndt-Universität Greifswald
Friedrich-Loeffler-Institut, Bundesforschungsinstitut für Tiergesundheit
Hagen
Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft
FernUniversität in Hagen
Halle/Saale Institut für Wirtschaftsforschung Halle
Martin-Luther-Universität Halle-Wittenberg
Hamburg Bundesamt für Seeschifffahrt und Hydrographie
Datenlotsen Informationssysteme GmbH
Deutsches Elektronen-Synchrotron (DESY)
Deutsches Klimarechenzentrum GmbH (DKRZ)
DFN – CERT Services GmbH
HafenCity Universität Hamburg
Helmut-Schmidt-Universität, Universität der Bundeswehr
Hochschule für Angewandte Wissenschaften Hamburg
Hochschule für Bildende Künste Hamburg
Hochschule für Musik und Theater Hamburg
Technische Universität Hamburg-Harburg
Universität Hamburg
Hameln
Hochschule Weserbergland
Hamm
SRH Hochschule für Logistik und Wirtschaft Hamm
Hannover Bundesanstalt für Geowissenschaften und Rohstoffe
Hochschule Hannover
Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische
Landesbibliothek
Heide
Heidelberg
Heilbronn
Hildesheim
Gottfried Wilhelm Leibniz Universität Hannover
HIS Hochschul-Informations-System GmbH
Hochschule für Musik, Theater und Medien
Landesamt für Bergbau, Energie und Geologie
Medizinische Hochschule Hannover
Technische Informationsbibliothek und Universitätsbibliothek
Stiftung Tierärztliche Hochschule
Fachhochschule Westküste, Hochschule für Wirtschaft und Technik
Deutsches Krebsforschungszentrum (DKFZ)
European Molecular Biology Laboratory (EMBL)
Network Laboratories NEC Europe Ltd.
Ruprecht-Karls-Universität Heidelberg
Hochschule für Technik, Wirtschaft und Informatik Heilbronn
Hochschule für angewandte Wissenschaft und Kunst
Fachhochschule Hildesheim/Holzminden/Göttingen
Stiftung Universität Hildesheim
Hof
Hochschule für angewandte Wissenschaften Hof – FH
Ilmenau
Bundesanstalt für IT-Dienstleistungen im Geschäftsbereich des BMVBS
Technische Universität Ilmenau
Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen
Hochschule für angewandte Wissenschaften FH Ingolstadt
Jena
Ernst-Abbe-Fachhochschule Jena
Friedrich-Schiller-Universität Jena
Institut für Photonische Technologien e. V.
Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)
Jülich
Forschungszentrum Jülich GmbH
Kaiserslautern Fachhochschule Kaiserslautern
Technische Universität Kaiserslautern
Karlsruhe Bundesanstalt für Wasserbau
Fachinformationszentrum Karlsruhe (FIZ)
Karlsruher Institut für Technologie – Universität des Landes Baden-
Württemberg und nationales Forschungszentrum in der Helmholtz-
Gemeinschaft (KIT)
FZI Forschungszentrum Informatik
Hochschule Karlsruhe – Technik und Wirtschaft
Zentrum für Kunst und Medientechnologie
Kassel
Universität Kassel
Kempten
Hochschule für angewandte Wissenschaften, Fachhochschule Kempten
Kiel
Christian-Albrechts-Universität zu Kiel
Fachhochschule Kiel
Institut für Weltwirtschaft an der Universität Kiel
Helmholtz-Zentrum für Ozeanforschung Kiel (GEOMAR)
Koblenz
Hochschule Koblenz
Köln
Deutsche Sporthochschule Köln
Fachhochschule Köln
Hochschulbibliothekszentrum des Landes NRW
Katholische Hochschule Nordrhein-Westfalen
Kunsthochschule für Medien Köln
Rheinische Fachhochschule Köln gGmbH
Universität zu Köln
Konstanz Hochschule Konstanz Technik, Wirtschaft und Gestaltung (HTWG)
Universität Konstanz
Köthen
Hochschule Anhalt
Krefeld
Hochschule Niederrhein
Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.
Landshut Hochschule Landshut, Fachhochschule

DFN-VEREIN | DFN Mitteilungen Ausgabe 84 |
53
Leipzig
Deutsche Telekom, Hochschule für Telekommunikation Leipzig
Helmholtz-Zentrum für Umweltforschung – UFZ GmbH
Hochschule für Grafik und Buchkunst Leipzig
Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“
Hochschule für Technik, Wirtschaft und Kultur Leipzig
Leibniz-Institut für Troposphärenforschung e. V.
Mitteldeutscher Rundfunk
Universität Leipzig
Lemgo
Hochschule Ostwestfalen-Lippe
Lübeck
Fachhochschule Lübeck
Universität zu Lübeck
Ludwigsburg Evangelische Hochschule Ludwigsburg
Ludwigshafen Fachhochschule Ludwigshafen am Rhein
Lüneburg Leuphana Universität Lüneburg
Magdeburg Hochschule Magdeburg-Stendal (FH)
Leibniz-Institut für Neurobiologie Magdeburg
Mainz
Fachhochschule Mainz
Johannes Gutenberg-Universität Mainz
Universität Koblenz-Landau
Mannheim Hochschule Mannheim
TÜV SÜD Energietechnik GmbH Baden-Württemberg
Universität Mannheim
Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW)
Marbach a. N. Deutsches Literaturarchiv
Marburg
Philipps-Universität Marburg
Merseburg Hochschule Merseburg (FH)
Mittweida Hochschule Mittweida
Mülheim an der Hochschule Ruhr West
Ruhr
Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V.
München Bayerische Staatsbibliothek
Hochschule München (FH)
Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V.
Helmholtz Zentrum München Deutsches Forschungszentrum für
Gesundheit und Umwelt GmbH
ifo Institut – Leibniz-Institut für Wirtschaftsforschung e. V.
Ludwig-Maximilians-Universität München
Max-Planck-Gesellschaft
Technische Universität München
Universität der Bundeswehr München
Münster
Fachhochschule Münster
Westfälische Wilhelms-Universität Münster
Neubrandenburg
Hochschule Neubrandenburg
Neu-Ulm
Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm
Nordhausen Fachhochschule Nordhausen
Nürnberg Kommunikationsnetz Franken e. V.
Technische Hochschule Nürnberg Georg Simon Ohm
Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen
Nuthetal
Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke
Oberursel Dimension Data Germany AG & Co. KG
Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH
Offenbach/M. Deutscher Wetterdienst (DWD)
Offenburg Hochschule Offenburg, Fachhochschule
Oldenburg Carl von Ossietzky Universität Oldenburg
Landesbibliothek Oldenburg
Osnabrück Hochschule Osnabrück (FH)
Universität Osnabrück
Paderborn
Passau
Peine
Potsdam
Regensburg
Rosenheim
Rostock
Saarbrücken
Salzgitter
Sankt Augustin
Schmalkalden
Schwäbisch
Gmünd
Schwerin
Senftenberg
Siegen
Speyer
Straelen
Stralsund
Stuttgart
Tautenburg
Trier
Tübingen
Ulm
Vechta
Wadern
Weidenbach
Weimar
Weingarten
Wernigerode
Weßling
Wiesbaden
Wildau
Wilhelmshaven
Fachhochschule der Wirtschaft Paderborn
Universität Paderborn
Universität Passau
Deutsche Gesellschaft zum Bau und Betrieb von Endlagern
für Abfallstoffe mbH
Fachhochschule Potsdam
Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ
Hochschule für Film und Fernsehen „Konrad Wolf“
Potsdam-Institut für Klimafolgenforschung (PIK)
Universität Potsdam
Hochschule für angewandte Wissenschaften – Fachhochschule
Regensburg
Universität Regensburg
Hochschule für angewandte Wissenschaften – Fachhochschule
Rosenheim
Leibniz-Institut für Ostseeforschung Warnemünde
Universität Rostock
Universität des Saarlandes
Bundesamt für Strahlenschutz
Hochschule Bonn Rhein-Sieg
Fachhochschule Schmalkalden
Pädagogische Hochschule Schwäbisch Gmünd
Landesbibliothek Mecklenburg-Vorpommern
Hochschule Lausitz (FH)
Universität Siegen
Deutsche Universität für Verwaltungswissenschaften Speyer
GasLINE Telekommunikationsnetzgesellschaft deutscher
Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft
Fachhochschule Stralsund
Cisco Systems GmbH
Duale Hochschule Baden-Württemberg
Hochschule der Medien Stuttgart
Hochschule für Technik Stuttgart
NextiraOne Deutschland GmbH
Universität Hohenheim
Universität Stuttgart
Thüringer Landessternwarte Tautenburg
Hochschule Trier
Universität Trier
Eberhard Karls Universität Tübingen
Leibniz-Institut für Wissensmedien
Hochschule Ulm
Universität Ulm
Universität Vechta
Private Fachhochschule für Wirtschaft und Technik
Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH (LZI)
Hochschule Weihenstephan
Bauhaus-Universität Weimar
Hochschule Ravensburg-Weingarten
Pädagogische Hochschule Weingarten
Hochschule Harz (FH)
T-Systems Solutions for Research GmbH
Hochschule RheinMain
Statistisches Bundesamt
Technische Hochschule Wildau (FH)
Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth

54 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | DFN-VEREIN
Wismar
Witten
Wolfenbüttel
Worms
Wuppertal
Würzburg
Zittau
Zwickau
Hochschule Wismar
Private Universität Witten/Herdecke gGmbH
Ostfalia Hochschule für angewandte Wissenschaften
Herzog August Bibliothek
Fachhochschule Worms
Bergische Universität Wuppertal
Hochschule für angewandte Wissenschaften – Fachhochschule
Würzburg-Schweinfurt
Julius-Maximilians-Universität Würzburg
Hochschule Zittau/Görlitz
Internationales Hochschulinstitut
Westsächsische Hochschule Zwickau