Deutsches Forschungsnetz Mitteilungen Ausgabe 84 | Mai 2013

www.dfn.de

Mitteilungen
X-WiN Confidential
Potenziale der neuen DWDM-Technik

Audit
DFN-PKI gemäß ETSI-
Standard zertifiziert

GÉANT
Europäischer
Forschungsbackbone
schaltet um auf
Terabit-Technologie
Impressum

Herausgeber: Verein zur Förderung

eines Deutschen Forschungsnetzes e. V.

DFN-Verein
Alexanderplatz 1, 10178 Berlin
Tel.: 030 - 88 42 99 - 0
Fax: 030 - 88 42 99 - 70
Mail: dfn-verein@dfn.de
Web: www.dfn.de

ISSN 0177-6894

Redaktion: Kai Hoelzner (kh)

Gestaltung: Labor3 | www.labor3.com
Druck: Rüss, Potsdam
© DFN-Verein 05/2013

Fotonachweis:
Titel © Ljupco Smokovski - Fotolia.com
Seite 6/7 © 77SG - Fotolia.com
Seite 30/31 © chris-m - Fotolia.com
 Niels Hersoug and Matthew Scott,
DANTE Joint General Managers

The need for speed

The creation and sharing of data is increasing exponentially, impacting research networks, high
performance computing and grids – collectively known as e-infrastructures. Major projects in-
volving global partners, such as CERN‘s Large Hadron Collider and the forthcoming Square Kilo-
meter Array, generate enormous amounts of data that need to be distributed, analysed, stored
and made accessible for research. This need for fast, stable transfer of data depends heavily on
the high speed and dedicated bandwidth offered by research networks such as X-WiN or GÉANT.

GÉANT (GN3plus) is the latest in a series of projects comprising the pan-European GÉANT network
and associated services, and is a 2 year project co-funded by the European Union comprising 41
partners including DFN. GÉANT’s overall objectives are to meet the communications needs of Eu-
ropean and world-wide research communities in all fields. Such needs include both a transport fa-
cility for production data and also a network environment where experiments can be conducted.
Addressing the exponential growth in data, DANTE – the organisation that on behalf of Europe’s
NRENs has built and operates the network – is presently implementing a major upgrade to support
capacity of up to 2 Terabits per second across its core network, due for completion in July 2013.

In continually striving for networking excellence, GÉANT relies heavily on strong relationships
with its NREN partners, together delivering the robust data communications infrastructure that
serves the international research community. DFN has long been an essential and highly valued
partner in providing powerful national and global research and education connectivity.

Within GN3plus, the project is introducing a new production Service Activity: „Testbeds as a Ser-
vice<“. This will provide two types of testbed capabilities: a Dynamic Packet Network Testbed Ser-
vice to address upper layer network research and a Dark Fibre Testbed to provide photonic layer
long haul facilities for testing novel optical/photonic technologies in the field.

Another portion of the project budget has been reserved to fund specific tasks, to be carried out
by new beneficiaries by means of a competitive open call.

As a result of these ongoing efforts, GÉANT and the NRENs remain well positioned to support cur-
rent and future communication needs in the pan-European research community.
4 | DFN Mitteilungen Ausgabe 84 | Mai 2013

1 2 3 4

5 6 7 8

9 10 11 12

Unsere Autoren dieser Ausgabe im Überblick

1 Kai Hoelzner, DFN-Verein (hoelzner@dfn.de); 2 Kai Ramsch,
Regionales Rechenzentrum Erlangen (RRZE) (kramsch@dfn.de); 3 Birgit Kraft,
Regionales Rechenzentrum Erlangen (RRZE) (birgit.kraft@fau.de); 4 Yitzhak Aizner,
ECI Telecom Ltd. (Yitzhak.Aizner@ecitele.com); 5 Sharon Rozov, ECI Telecom Ltd. 
(Sharon.rozov@ecitele.com); 6 Amitay Melamed, ECI Telecom Ltd. (amitay.melamed@
13
ecitele.com); 7 Irene 14
Weithofer, Fachhochschule 15
Köln (irene.weithofer@fh-koeln.de);
8 Henning Mohren, Fachhochschule Düsseldorf (henning.mohren@fh-duesseldorf.de);
9 Jürgen Brauckmann, DFN-CERT Services GmbH (brauckmann@dfn-cert.de),
10 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de); 11 Julian Fischer, Forschungsstelle
Recht im DFN (recht@dfn.de); 12 Susanne Thinius, Forschungsstelle Recht im DFN
(recht@dfn.de)
 DFN Mitteilungen Ausgabe 84 | 5

Inhalt
Wissenschaftsnetz Sicherheit

X-WiN Confidential Audit der DFN-PKI

Potenziale der neuen DWDM-Technik im von Jürgen Brauckmann, Dr. Ralf Gröper .............................. 32
Wissenschaftsnetz
von Kai Hoelzner, Birgit Kraft, Kai Ramsch ............................ 8 Sicherheit aktuell
von Heike Ausserfeld, Dr. Ralf Gröper .................................... 39
Looking at the future. Today.
von Yitzhak Aizner, Amitay Melamed, Sharon Rozov ...... 11
Recht
Kurzmeldungen .............................................................................. 16
Wissenschaftsparagraph geht in die
Verlängerung – Dritter Anlauf für § 52a
International Urheberrechtsgesetz
von Susanne Thinius .................................................................... 40
GÉANT schaltet um auf Terabit-Technologie
von Kai Hoelzner ............................................................................ 18 Das Ende für den Newsletter!?
Oberlandesgericht München: E-Mail-Versand
ORIENTplus: mit der Bitte um Bestätigung der Anmeldung
Boosting EU-China Collaboration stellt belästigende Reklame dar
Ein Gespräch mit Kai Nan, Jiangping Wu, von Julian Fischer .......................................................................... 42
David West und Christian Grimm ............................................ 21
Wer sich auf Facebook präsentiert, muss
Global R&E Network CEO Forum viel preisgeben
take next steps in Asia’s Global Zur Impressumspflicht für öffentliche
City of Hong Kong ......................................................................... 23 Facebook-Fanseiten
von Susanne Thinius .................................................................... 47
Kurzmeldungen .............................................................................. 25

DFN-Verein
Campus
Übersicht über die Mitgliedseinrichtungen
Gemeinsam sicher – Nordrhein-Westfalens und Organe des DFN-Vereins .................................................... 50
Hochschulen setzen auf gemeinsames
Informationssicherheitsmanagement
von Irene Weithofer, Henning Mohren.................................. 26
6 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
 WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 | 7

Wissenschaftsnetz
X-WiN Confidential
Potenziale der neuen DWDM-Technik im
Wissenschaftsnetz
von Kai Hoelzner, Birgit Kraft, Kai Ramsch

Looking at the future. Today.

von Yitzhak Aizner, Amitay Melamed,
Sharon Rozov

Kurzmeldungen
8 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ

X-WiN Confidential
Potenziale der neuen DWDM-Technik im Wissenschaftsnetz
Mit der Migration des X-WiN auf eine neue, auf Wellenlängen-Multiplexern des Netzwerkausrüsters
ECI Telecom basierenden Infrastruktur, ergeben sich neue Perspektiven für Nutzung und Betrieb des
Wissenschaftsnetzes. Neben dem Upgrade des Super-Core auf 100-Gigabit/s-Technik und der Mög-
lichkeit, native 100-Gigabit-Anschlüsse in der obersten Kategorie des DFN-Internetdienstes zu nut-
zen, sind es vor allem die Potenziale zur Optimierung von Betriebsprozessen, die das neue Netz für
Anwender wie Betreiber interessant machen.

Text: Kai Hoelzner (DFN-Verein), Birgit Kraft (RRZE),

Kai Ramsch (RRZE)

Mehr Netzintelligenz auf opti-
scher Ebene
Am 20. Dezember 2012 wurde die letz-
te Kernnetz-Strecke des X-WiN mit neu-
er DWDM-Technik des israelischen Netz-
werkausrüsters ECI Telecom in Betrieb
genommen. Sieben Monate waren seit
dem Zuschlag an ECI vergangen und hin-
ter den Aufbauteams lag ein halbes Jahr
intensiver Arbeit an den 111 Standorten im
X-WiN. Inzwischen befindet sich die neue
DWDM-Plattform des Wissenschaftsnet-
zes seit fünf Monaten im Produktionsbe-
trieb und die Erfahrungen mit der noch
jungen optischen Plattform des Wissen-
schaftsnetzes sind mehr als positiv.
Nicht nur technologisch, sondern auch für
die Organisation und das Netzmanage-
ment war die Migration ein echter Para-
digmenwechsel. Zwar betreibt der DFN-
Verein bereits seit vielen Jahren die IP-Ebe-
ne des Wissenschaftsnetzes, doch war der
Zugriff auf die optische Ebene bislang nur
eingeschränkt möglich. Mit dem Wechsel
auf ECI-Technik besteht erstmals voller Zu-
griff auch auf die unterste Schicht des Net-
zes. Gegenüber den klassischen Wellenlän-
gen-Multiplexern, die die Transport-Arbeit
auf den Glasfaser-Netzen des vergange-
nen Jahrzehnts erledigt haben, ermögli-
chen Geräte wie die im X-WiN eingesetzten
Apollo-Multiplexer von ECI nicht nur eine
Vervielfachung der Kapazitäten, sondern
verlagern auch ein Stück weit Netzintelli-
genz auf die optische Ebene.
Die neue optische Technik ermöglicht es,
das Netzwerk komfortabler zu betreiben
und Funktionalitäten der IP-Plattform op-
tisch zu ersetzen bzw. zu ergänzen. Das
optische Transportnetz (OTN, engl.: opti-
cal transport network) ist eine von der ITU
im Standard G.709/G.872 vereinheitlichte

DWDM-Multiplexer – „klassisch“ DWDM-Multiplexer – „modern“

Add/Drop
North
R R

T T
/ /

DWDM-
DWDM- Knoten
Knoten
Add/Drop
Add/Drop
East
West
Add/Drop
T T T T T T T T
/ / / / / / / /
R X
R R R R R R R

colored: für jede „Farbe“ ein spezifischer Port je Add/Drop-Block colorless: jede „Farbe“ an jedem Add/Drop-Port
directed: genau eine Ausgangsrichtung erreichbar je Add/Drop-Block directionless: jede Ausgangsrichtung erreichbar für jeden Add/Drop-Port
 WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 | 9

Technologie für Netzwerke, mit denen mit- KIE

tels eines Transportdienstes optisch Da- DKR ROS

GRE
AWI DES
ten übertragen werden. Dabei definiert das HAM
OTN optische und elektrische Schichten, EWE
FFO SLU
in denen die zu übertragenden Daten ein- BRE TUB
ENS PEP
gepackt werden, um von der technischen HAN ZEU
BIE POT HUB
Realisierung abstrahieren zu können. Die MUE BRA ZIB
MAG ADH
PAD
drei rein optischen Schichten Optical Trans- DUI BOC GOE
mission Section (OTS), Optical Multiplex DOR KAS
Section (OMS) und Optical Channel Lay- FZJ
WUP LEI DRE
MAR
er (OCh) werden vereinfacht zum Optical AAC BIR JEN
CHE
GIE
Channel Layer (OCh) zusammengefasst und BON ILM
FRA
gewährleisten den optischen Transport. WUE
GSI BAY

Grundvoraussetzung ist dabei die Ver-
schaltung von optischen Leitern, so dass
an den Netzwerkknoten die Daten ver-
schiedener Kommunikationsverbindun-
gen aus der Glasfaser entnommen (Add/
Drop) bzw. zur nächsten optischen Kom-
ponente weitergeleitet werden. Der Ein-
satz von rekonfigurierbaren Add-Drop-Mul-
tiplexern (ROADM – Reconfigurable Opti-
cal Add-Drop Multiplexer) verbessert dabei
die Neu- und Umschaltung von Verbindun-
gen und gleichzeitig auch die Verfügbar-
keit bei Glasfaserwartungen und nicht ge-
planten Unterbrechungen.
Diese neue Generation von Add-Drop-Multi-
plexern bietet im Gegensatz zur alten Tech-
nologie die Möglichkeit, Wellenlängen „co-
lorless“ und „directionless“ ein- und aus-
zukoppeln. „Colorless“ bezeichnet die Ei-
genschaft, verschiedene Wellenlängen im
Gegensatz zu einem festen Port beliebi-
gen Ports zuzuordnen, „directionless“ be-
deutet, dass jeder Add/Drop-Port mit allen
möglichen Richtungen durch den Multiple-
xer verbunden werden kann. Somit ist an
jedem Add/Drop-Port jede Farbe und jede
Ausgangsrichtung möglich und dies kann
im laufenden Betrieb „aus der Ferne“ kon-
figuriert werden (siehe Abb. 1).
In Kombination mit umfangreichen remo-
te-Funktionalitäten ermöglicht die DWDM-
Technik eine flexible Wegeführung von Ver-
bindungen und ein intelligentes Ausnutzen
von Netzkapazitäten ohne technologische
Beschränkungen. Lange Vorlaufzeiten bei
SAA KAI
HEI
ERL
KIT
STU
STB
KEH
BAS
der Schaltung neuer Wellenlängen oder
Konfigurationsarbeiten am Netz gehören
seit der Migration des X-WiN der Vergan-
genheit an. Nicht zuletzt bringt die Verfü-
gungsgewalt über die DWDM-Technik auf
lange Sicht auch erhebliche Kostenvortei-
le. Wo früher ganze Wellenlängen inklu-
sive Service durch den Betreiber geleast
werden mussten, wird künftig remote ei-
ne Wellenlänge zugeschaltet.
Datenströme gebündelt und
verpackt
Der wohl größte Unterschied zur bislang
eingesetzten DWDM-Technologie be-
steht in der Möglichkeit, niedrigratige
Datenströme auf den Kernstrecken des
X-WiN gebündelt zu übertragen. Bei die-
sem Sammeltransport können bis zu zehn
1-Gigabit/s-Ströme zu einem 10-Gigabit/s-
Strom aggregiert werden, anstatt wie bis-
her 10 Wellenlängen zu belegen. Auf einer
100-Gigabit/s-Verbindung können dem-
entsprechend eine Vielzahl von 1- und
10-Gigabit/s-Verbindungen zusammenge-
fasst werden. Die technische Basis dieses
Verfahrens ist ein OTN-Backbone, der an 14
zentralen Kernnetzknoten mit 2-3 OTU2-
Verbindungen zu je 10 Gbit/s pro Kante auf-
gespannt ist (siehe Abb. 2). Oberhalb der
ESF
REG
Das Kernnetz des X-WiN
FHM
mit „ODU Cross Connect
GAR
Backbone“, der sich über 14
Kernnetzknoten erstreckt.
‚klassischen‘ optischen Schicht des Netzes,
dem „Optical Channel Layer“, befinden sich
im heutigen X-WiN drei „digitale Schich-
ten“, nämlich die „Optical Channel Trans-
port Unit“ (OTU), die „Optical Channel Da-
ta Unit“ (ODU) und „Optical Channel Pay-
load Unit“ (OPU), welche elektrisch verar-
beitet werden. Nutzdaten werden als OPU
Payload in ODU Frames verpackt und bil-
den so die logische Dateneinheit, die zwi-
schen den Eingangsports zweier Standor-
te transportiert werden soll. In Form von
OTU Frames werden sie dann an den Opti-
cal Channel Layer zum Transport überge-
ben. In den ODUs und OTUs ist definiert, mit
welcher Datenrate bzw. Bandbreite Daten
übertragen werden können. Die neue Hard-
ware ist in der Lage, verschiedene ODUs
zu kombinieren und in eine OTU zu „ver-
packen“ (ODU Cross Connect). Damit kön-
nen die Daten von Ports unterschiedlicher
Bandbreiten kostengünstig in eine Wellen-
länge integriert werden.
Der Einsatz von Switching-Fabric-Kompo-
nenten ermöglicht es außerdem, Verbin-
dungen zwischen optischen und elektri-
schen Komponenten sowie den Ports der
Anwender bzw. angeschlossenen Router
dynamisch und ohne physische Verände-
rungen an der Technik zu schalten. Dadurch
10 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
können beispielsweise VPNs (Virtual Pri-
vate Networks) direkt auf dem optischen
Medium ohne Beteiligung von IP-Geräten
eingerichtet werden. Weitere Einsatzmög-
lichkeiten dieser Technik sind MPLS (Multi-
protocol Label Switching) zur schnellen Da-
tenübermittlung auf OSI-Layer 2 und Band-
width on Demand zur Provisionierung von
Bandbreiten für zeitlich begrenzte Anfor-
derungen.
Anpassung der Netz-Topologie
Die Migration auf neue optische Übertra-
gungstechnik machte ein Re-Design der
IP-Plattform des X-WiN sinnvoll. Bereit ge-
gen Ende der Migration im vergangenen
Jahr wurden neue Faserverbindungen in
das Netz integriert, die im Norden von Ros-
tock über Greifswald nach Frankfurt/Oder
sowie im Westen von Bonn nach Saarbrü-
cken führen.
Die wohl wichtigste Neuerung im X-WiN
aber betrifft den Super-Core des X-WiN sel-
ber. Derzeit sind die Mitarbeiter der Ge-
schäftsstellen des DFN-Vereins gemeinsam
mit den Kollegen von ECI damit befasst,
den inneren Backbone des X-WiN zwischen
Frankfurt/Main, Hannover, Berlin und Er-
langen von bisher 20-Gigabit/s-Technik auf
100 Gigabit/s aufzurüsten.
Monitoring, Rekonfiguration und
Wartung
Die aktuelle Multiplexer-Generation des
X-WiN bringt nicht nur eine Verlagerung
von Intelligenz auf die Transport-Ebene
des Netzes mit sich, sondern auch einen
viel direkteren Zugriff auf die Technologie
durch die Mitarbeiter. Dies wird wiederum
durch ein spezifisches Potenzial der Kom-
ponenten zur Remote-Steuerung ermög-
licht, mit denen das Netzmanagement we-
sentlich vereinfacht wird.
Dabei fällt zunächst einmal die Fähigkeit
ins Auge, sich selbstständig auf die jewei-
ligen Parameter der von den Multiplexern
angesprochenen Glasfasern zu tunen. Die
Multiplexer der Apollo-Serie sind mit der Fä-
higkeit ausgestattet, Leitungs- bzw. Dämp-
fungseigenschaften einer Glasfaser auto-
matisch zu erkennen und das abgegebene
Signal auf die jeweils angesprochene Fa-
ser zu justieren. Wird eine neue Faser in
das Netz integriert oder eine bereits vor-
handene nach einem Leitungsbruch repa-
riert, mussten bislang Mitarbeiter ausrü-
cken, die die Eigenschaften der Fasern vor
Ort mit speziellen Messgeräten ermitteln
und die Multiplexer per Hand auf die Ei-
genschaften der jeweiligen Faser abstim-
men. Dieser Prozess erfolgt heute remote
und ist in hohem Maße nutzerfreundlich.
Dieses Feature erlaubt dem DFN-Verein,
die Verantwortlichkeit für Wartung und
Management des Netzes weitgehend in
die eigene Hand zu nehmen.
Zur laufenden Überwachung des Netz-Sta-
tus kommuniziert die DWDM-Plattform des
X-WiN Fehlerzustände über das Simple Net-
work Management Protocol (SNMP). Die
Glasfaserstrecken selbst werden dabei
durch eine spezielle Wellenlänge – den Op-
tical-Supervising-Channel – überwacht, der
auf einem Interface an den Kernnetzstand-
orten endet, von wo aus die Mess-Daten
auf zwei Service-Rechner im Netz gesen-
det werden. Von hier aus werden sämtli-
che Netzparameter laufend an die Netz-
überwachung kommuniziert, die wie in der
Vergangenheit durch einen spezialisierten
Dienstleister durchgeführt wird, der sich in
X-WiN 2013: 8.800 Gbit/s
X-WiN 2006: 400 Gbit/s
G-WiN: 10 Gbit/s
B-WiN: 622 Mbit/s
Abb. 4: Übertragungskapazität der Kernnetzverbindungen des Wissenschaftsnetzes
der Zusammenarbeit mit dem DFN-Verein
bestens bewährt hat. Mit dem entschei-
denden Unterschied allerdings, dass auch
bei der Überwachung eine volle Transpa-
renz für den DFN-Verein als Auftraggeber
gegeben ist.
Und die Anwender?
Wer einen X-WiN-Anschluss sein Eigen
nennt, hat die Auswirkungen der Migra-
tion auf die neue optische Plattform be-
reits in positiver Weise zu spüren bekom-
men. Trotz der erheblichen Investitionen
des DFN-Vereins bei der Anschaffung der
DWDM-Technik ist es bereits ein halbes
Jahr nach Abschluss der Migration mög-
lich, die Leistung sowohl für die VPN-Stre-
cken im X-WiN als auch für die Anwender-
anschlüsse beim Dienst DFNInternet bei
unverändertem Entgelt zu steigern. Zum 1.
Juli 2013, kurz nach Erscheinen dieses Hef-
tes also, werden erhebliche Leistungsstei-
gerungen für die gängigen Nutzungsfor-
men der Anwender realisiert. Augenfällig
ist dabei, dass die oberste Anschluss-Kate-
gorie des Dienstes DFNInternet bereits in
der 100-Gigabit-Klasse angesiedelt ist. Wer
bislang einen 40 Gigabit/s-Anschluss sein
Eigen nannte, spielt künftig bandbreiten-
mäßig auf Augenhöhe z.B. mit dem CERN,
das vor kurzem den ersten 100-Gigabit-An-
schluss an das GÉANT realisiert hat. (Siehe:
Internationale Kurzmeldungen) M
 WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 | 11

Looking at the future.

Today.
In the past few years, we have seen the rapid growth of digital content. The amount of
stored information increases at a rate of 40 % – 60 % annually, and we expect this rate to
continue unabated. As human beings and as a society, we depend on this information
and digital content, which became the fabric of the global economy, national economies,
governments, industrial and commercial interests, and private lives.

By: Yitzhak Aizner, Amitay Melamed, Sharon Rozov (ECI Telecom Ltd.)

Foto: © Pgiam - iStockphoto

12 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
As a direct consequence, we are looking
at increased investments in storage units,
data centers and cloud technologies, with
no signs of declining in the foreseeable fu-
ture. In fact, according to Gartner Research,
data center expansion is expected to in-
crease from roughly $90B in 2011 to over
$150B in 2016, including servers, storage
& networking.
We are also witnessing the rapid growth
of cloud service offerings from companies
such as Amazon, Google, Yahoo, Facebook,
Apple, Microsoft, and IBM. These providers
use several geographically distributed da-
ta centers to improve end-to-end perfor-
mance, as well as to offer high availabili-
ty in case of failures. As such, cloud servi-
ces and cloud-based data centers are in-
creasingly and dramatically changing the
data stream behavior over our networks.
If, once, data and content were relatively
static in terms of storage as enterprises,
organizations and institutions kept their
information locally, they now travel among
data centers for increased reliability and
performance, for the following reasons:
1. Data Center Capacity Expansion
and/or Consolidation
Applications need to be migrated
from one data center to another as
part of data center maintenance or
consolidation, without any down-
time. Conversely, virtual machines
have to be migrated to a secondary
data center as part of expansions to
address power, cooling, and space
constraints in the primary one.
2. Virtualized Server Resource Dis-
tribution over Distances
Virtual machines need to be migrat­
ed between different data center
sites to provide computing power
from a data center closer to the cli-
ent (“follow the sun”), or to load-bal­
ance across multiple sites.
3. Disaster Planning Strategies (in-
cluding Disaster Avoidance)
Mission-critical application environ-
ments, including their associated da-
ta-bases and virtual machines, must
be proactively migrated from a da-
ta center in the path of natural ca­
lamities, such as hurricanes, to an
alternate location. Disaster planning
strategies and content replications
are often required by regulators in
many countries.
The cloud phenomenon, particularly inter-
data-center replication and redundancy,
causes exponentially raised demands for
bandwidth and imposes high-bandwidth
requirements on the wide area network
(WAN).
Leading content service providers are see-
ing data center interconnect (DCI) traffic
grow ten times faster than user traffic. The
DCI traffic is characterized by traffic bursts
that need the full peak rate available at run
time, to guarantee coherency of inter-data
center operations. This requirement pre-
sents unique challenges when designing
a DCI network, including performance, ef-
ficiency and cost effectiveness. Therefore,
it is not only the issue of traffic capacity,
but also run-time resource management,
to guarantee network resources will be dy-
namically assigned and available, when a
specific DCI operation is being executed.
So we must look at what the future has to
offer in terms of more capacity and more
flexibility, to cope with the sporadic, simul-
taneous and independent nature of DCI re-
plication scenarios, not to mention bursty
broadband consumption.
Which brings us to software-defined net-
working and 400G transmission rates…
Software-Defined Networking
(SDN) for Dynamic Data Centers
Until recently, optical networks could rely
on a simple practice to deal with the chal-
lenge of massive traffic growth, by meeting
peak hour demands. However, this be-
comes unrealistic as optical networks reach
their physical barrier for capacity, so that
any further expansions are dependent on
digging more fibers, not always a possi­
bility. In the case of data centers, because
of the bursty nature of traffic, relying on
peak hour demands as the default at all
times is a very costly proposition, eco­
nomically and in terms of power consump-
tion and environmental concerns.
The solution? Introducing network dynam­
icity into resource and power consumpti-
on per actual demand, through software-
defined networking, or SDN.
Optical networks serve as the infrastruc-
ture for many diverse applications, making
optical planning per application demands
impossible. The introduction of SDN as the
means for dynamic networking is an im-
portant trend, as it supports dynamic re-
source provisioning for efficient network
planning and operations.
SDN calls for the decoupling of the con-
trol plane and the data plane of network
nodes. The control plane provides abstrac-
tion of network capabilities, while hiding
the complexity of the underlying transport,
so network resources can be monitored
and programmed per application demand.
An orchestration layer enables a wider net-
work view and supports multi-layer, mul-
ti-domain and multi-vendor correlations.
Correlation is made possible by mashing
up multiple abstracted resources (see
figure 1.)
In a multi-layer solution, packet-transport
layer services diffuse into the optical net-
work. Optical transport muxing can be
made more intelligent, inheriting packet
layer capabilities, such as partial rate,

Application
Service
Layer
Orchestration
Control/NMS
Layer
Hypervisor
Transport
Layer
Data Center
Fig. 1: SDN reference architecture
Source: OIF
asymmetric, on-demand, scheduled and
QoS-based muxing. In the future we may
also be able to dynamically provision wave-
lengths to provide optical sub-rates, based
on similar policies and in alignment with
packet network services.
SDN can make the optical network pro-
grammable, for example in the following
contexts:
- Bandwidth-on-demand: immedi
ate provisioning of additional band-
width between locations to facili­
tate large data transfers or other im-
mediate bandwidth needs in case
of cloud bursting or cloud disaster
recovery
- Bandwidth scheduling: scheduled
provisioning of additional band-
width per pre-planned large data
transfers driven by scheduled ap-
plications and maintenance
- Workload balancing: sharing the
workload, applications and services
among links and servers for maxi-
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 |
Service Service
Controller NMS
Transport
mum optimization of the network
and cloud resources.
- Multi-tenancy: securing applica-
tions and organizations by isolating
them from each other, while keeping
the underlying physical network hid-
den from end customers
The OIF (Optical Interworking Forum) and
the ONF (Open Networking Foundation),
organizations promoting SDN adoption,
have both established optical transport
working groups to address the applicabil­
ity of SDN to optical networks and recom-
mend reference architecture.
However, the introduction of SDN in opti-
cal networks will not be straightforward
as network operators are not expected to
completely replace their working networks
and management systems. Instead, some
type of a transformation process, based on
legacy capabilities, will be built to achieve
the goal of optical network programma-
bility and unified resource management
for both cloud and transport network re-
sources. Eventually optical networks will
13
blend 10G, 100G, 400G (and even 1T) with
SDN, for seamless and economically-via-
ble data transmission.
Towards 400G
Let’s look at transmission rates.
For the past two years, right after the 100G
standardization process was completed,
the telecom industry started looking at
what’s beyond 100G. Back then, the IEEE,
for the first time ever, standardized two
Ethernet rates – 40G and 100G – in the
same document (IEEE802.3ba). In fact, mar-
ket acceptance of 100G rates has been far
beyond that of 40G.
So it was natural for the IEEE to start in-
vestigating what’s beyond 100G. The IEEE
Working Group 802.3BWA started to look at
this issue, and its main conclusions were:
- By 2015, expected capacity require-
ments of 10x the requirements of
2010, i.e., Terabit
- By 2020, expected capacity require-
ments of 100x the requirements of
2010, i.e., 10 Terabit
- Higher speed at lower cost per bit
needed by Ethernet interconnect.
Not “can it be done,” but rather “can
it be done at the right cost?”
In March 2013, in a „Call for Interest“ meet­
ing at the IEEE, there was broad consensus
to form a working group for 400G Ethernet,
with the following issues as the main con-
cerns: reach, physical layers and architec-
ture (see figure 2.)
The IEEE sees the ITU-T defined OTN as the
long-reach default solution to carry 400G,
even in non-WDM environment. A common
join effort between the ITU-T and the IEEE
is required to build a working, mature eco-
system. Since packet is the major source
of traffic at the OTN layer, it is clear that
the next Ethernet rate and the new ITU-T
14 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
Our SCOPE
IEEE defined Ethernet
Fig. 2:
Source: Adapted from IEEE.
defined OTN need to be correlated to op-
timally carry the Ethernet rate.
However, given that the market will de-
mand 1T rates by 2015, how come 400G
met with such broad consensus from
IEEE members?
Looking into the future
The ITU has completely adopted the Ether-
net-based CFP (100G MSA client transceiver
package) package as its basic OTN client in-
terface, and even for line side, CFP will be
used for coherent transceiver. The new CFP
coherent transceiver includes SD-FEC on
the DSP chip, and will enable carrier Ether-
net switch routers (CESR) to skip the OTN
layer when working at long-reach fiber.
Yet the challenges of Ethernet and OTN
are completely different. Besides the va-
riations in distance (with Ethernet from
0 – ~40Km, and OTN >~40Km), Ethernet
uses fiber as dark fiber, being able to be
de­fined depending on how it is optimized
(line code, number of colors, wavelengths,
optical power…). It is the only single inter-
face that lives on fiber.
ITU-T defined
„Core OTN Transport“
carrying Ethernet traffic
X.000 km
400 GbE issues: • Reach
• Types of PHYs
• Architecture
OTN challenges, on the other hand, are
much more complex, as OTN should sup-
port legacy wavelengths with different
rates, amplified optics and power limitati-
on to prevent non-linearity (NLE). Yet ano-
ther major OTN challenge is the Bit/second/
HZ issue. Starting from 100G, fibers used
for WDM transport become bandwidth-
scarce, and preserving 88 channels for
beyond 100G is not possible, since the
symbol rate (SR) and the bandwidth are
roughly the same. The SR of standard ITU-
OIF 100G (DP-QPSK) is 33 G Symbol/sec ~ –
which is more than 33Ghz BW. To double
the SR for rate increasing, say to 66GSy/
sec, will exceed the 50 GHz spectrum of
WDM channels.
400 DP-16QAM 4.6 or 5.3 bits/s/Hz
87.5 or 75 Ghz
Fig. 3: Source: Adapted from IEEE.
Our SCOPE
IEEE defined Ethernet
In addition, to increase line rate and main-
tain the 88 channels, higher SR may not
help at all, and we may need to increase
the spectrum density – the amount of bits/
sec that may be transferred on a spectrum
piece (such as 1Hz). Increasing spectrum
density is a well-known technique in radio
technology – microwave or cellular, but it
will always come with penalty of perfor-
mance. In the optical space, it basically
means lower distance. Thankfully, 100G
provides us with similar performance as
10G, but as we know from radio, increasing
symbol complexity has ~ 3dB OSNR penal-
ty for each step – so, for example, moving
from QPSK to QAM16 has ~6dB OSNR penal-
ty (~0.25 x 100G distance). (See Picture 3.)
 WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 | 15

To economically achieve the beyond 100G

rate by 2016-2017 timeframe will only be

100 Gb/sλ
possible if we rely on technologies that

10 Gb/sλ

40 Gb/sλ

10 Gb/sλ

40 Gb/sλ

40 Gb/sλ

40 Gb/sλ

40 Gb/sλ
are “almost here.” Despite the 2015 1T bps
IEEE 802.3BWA challenge, the industry is
still missing the right technology, which
will probably involve some major break-
1569.59 1569.18 1568.77 1568.36 1567.95 λ nm
1531.12 1530.72 1530.33
through in the silicon photonic segment.
The lack of such breakthrough technolo- C-band, fixed 50 GHz grid
gy was the key driver for the broad 400G
IEEE agreement.

100 Gb/sλ

100 Gb/sλ

400 Gb/sλ

400 Gb/sλ
We believe that a joint economic and tech-

1 Tb/sλ
nologic approach is required to enhance
the OTN rate, as it mostly serves the pack­
et world. This joint approach might inclu-
de the following ideas:
1569.59 1569.18 1568.77 1568.36 1567.95 λ nm
1531.12 1530.72 1530.33

• Increase spectral density by moving Example of a future C-band, 50 – 200 GHz Flexible Grid (in 25 GHz increments)
to QAM16
Fig. 4: Source: Adapted from IEEE.

• Use supper channel of 2 – two mini

WDM channels, one near the other,
to support increased bandwidth, but
with current ADC technology (4 ADC
in 66G sample/sec in single DSP)
• Use 12.5Ghz granularity with
75/87.5Ghz/100G channel spec­
trum width, to increase the spectral
efficiency also known as flexible
grid concept
• Use DAC in the TX path to enable
spectral shaping, and TX prepro-
cessing.
400G with QAM16 will decrease the opti-
cal performance vis-à-vis 100G. However,
the full impact is yet to be understood.
What becomes clear is that we may not talk
about a single OTN rate, but rather about
a family of software-defined OTN rates.
In case the link OSNR will not enable
QAM16, the constellation may be changed
back to QPSK through software, or even to
BPSK or 8PSK – in conjunction with super
channel of two, family of rates would be
enabled, rather than single rate as in the
past. This concept is known as adaptive
OTN or OTN Flex. (See picture 4.)
Elastic network
For the 400G Ethernet, we can be more
open minded and also think of a family
of Ethernet rates, where the higher rate
is 400G, but lower rates are also permit-
ted. In implementation, that will use par­
allel communications built from several
channels (such as several colors), it is not
bad to maintain partial Ethernet traffic, in
case one or more of the channels is down
from some reason. Assuming we will have
Ethernet client interface with 16 x 25G –
why should we have to drop the link, when
only 1 out of 16 has failed?
Flex Ethernet is not new – we already have
VDSL and SHDSL on the copper-Ethernet
under 802.3ah single pair domains, sup-
porting a variety of rates, rather than the
usual 10X conventional numbers of 10M,
100M, 1G. With the developing of carrier
Ethernet technology, it makes sense to pre-
serve the same capabilities in both OTN
and Ethernet, including flexibility.
Another issue to consider is system pow-
er. System power consumption, especially
in the transport sector, is growing in di-
rect relation to the interface speed. One
of the ways to be more energy efficient is
to change the link/interface rate based on
real traffic load. Rate adaptive/flex Ether-
net/OTN is one of the interesting ways to
get us there.
While in the future we may have flex Ether-
net and flex OTN layers, we can imagine
new optimized, dynamic mapping layer
between Ethernet/packet to OTN, map pa-
cket under Ethernet over subscription base
on QoS, or asymmetric link rate between
two endpoint.
It looks futuristic, but it is all about using
scarce fiber resources more efficiently, and
understand that the alternative is to light
more fiber.
With these kinds of flex approaches, we
may refresh the transport network with
total new concepts which, along with SDN
at the control layer, will enable a whole
new revolution of elastic power optimized
network to lead data center interconnect
towards the future. M
16 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
Kurzmeldungen
Vom CISO bis zur Hochschul-App: Nutzergruppe Hochschulverwaltung
tagt zum 11. Mal
Bereits zum 11. Mal trafen sich vom 6. bis
zum 8. Mai 2013 die Mitarbeiter der Hoch-
schulverwaltungen im Rahmen der alle
zwei Jahre stattfindenden Tagung der DFN-
Nutzergruppe Hochschulverwaltung. Un-
ter dem Motto „Mobiler Campus“ wurden
an der Universität Mannheim neueste Ent-
wicklungen im Bereich ‚IT an Hochschulen‘
diskutiert. Das Themenspektrum der Ver-
anstaltung reichte von der titelgebenden
Mobilität in all ihren Aspekten über Fra-
gen der Risikoanalyse und IT-Sicherheit bis
zum Prozessmanagement und den vielfäl-
tigen, nicht zuletzt sicherheitstechnisch
und juristisch relevanten Fragen rund um
Cloud-Technologien.
Die Hochschulverwalter bilden eine der
dienstältesten Communities im DFN-Ver-
ein, die als Nutzergruppe mit eigenen Ta-
Eduroam-Konfigurationsassistent
im Regelbetrieb
Einfach einen QR-Code einscannen und von
jeder der mehr als 5.000 Einrichtungen, die
weltweit an eduroam teilnehmen, ins Wis-
senschaftsnetz surfen! Wer 2013 als Stu-
dierender oder Wissenschaftler einen edu-
roam-Account besitzt, kann Smartphones,
Tablets oder Rechner mit dem ‚eduroam
Configuration Assistent Tool‘ (CAT) in Se-
kundenschnelle konfigurieren.
Der Konfigurationsassistent wurde aus
Mitteln der Europäischen Union finan-
ziert und wesentlich von den Kollegen des
polnischen und des luxemburgischen For-
schungsnetzes entwickelt. Für Nutzer deut-
scher Wissenschaftseinrichtungen findet
sich der Konfigurationsassistent unter der
URL: edit.dfn.de
gungen und Informationsveranstaltun-
gen ihre spezifischen Interessen formu-
lieren. Die Veranstaltungen der Nutzer-
gruppe sind von besonderer Relevanz für
das Deutsche Forschungsnetz, da die Ver-
waltungen der Hochschulen sich traditio-
nell in einer Doppelrolle gegenüber ‚dem
Netz‘ befinden. Sie sind zugleich Nutzer
mit höchsten Ansprüchen etwa in den Be-
reichen Sicherheit, Usability und Relevanz
für die realen Bedarfe der Wissenschaft,
zum anderen sind die Verwaltungen tief
eingebunden in die Entscheidungsprozes-
se im IT-Bereich. Insbesondere die Etablie-
rung von IT-Entscheidungen auf der Füh-
rungsebene der Hochschule durch CTOs
(Chief Technology Officer) oder die von vie-
len Seiten gestellte Forderung nach der
Einführung sogenannter CISO’s (Chief In-
formation Security Officer) zeigt, wie weit-
Alternativ zum QR-Code kann mit zwei
Klicks auch über ein Web-Frontend kon-
figuriert werden. Einfach die vom System
angebotene Heimateinrichtung auswäh-
len und anschließend das verwendete Be-
triebssystem von Laptop, Smartphone oder
Tablet anklicken. Der Download der Konfi-
gurationsdatei startet automatisch.
Der Konfigurationsassistent läuft seit kur-
zem im Regelbetrieb in der Version 1.0.2
und wird bereits von vierzig Einrichtungen
im Deutschen Forschungsnetz angeboten.
Rechenzentren und DV-Verantwortliche,
die sich für den Assistenten interessieren,
nehmen Kontakt mit der Geschäftsstelle
des DFN-Vereins auf. M
reichend die administrativen und die wis-
senschaftlichen Aspekte der Netznutzung
heute ineinander greifen.
Einen Überblick über die Themen und Ar-
beitsgebiete der Nutzergruppe gibt das Ta-
gungsprogramm, das auf den Webseiten
der Nutzergruppe hinterlegt ist. Zu fast
allen Vorträgen und Präsentationen fin-
den sich Folien und Abstracts. Wer sich
über den Stand und das Potenzial mobi-
ler Systeme an den Hochschulen informie-
ren möchte, wird auf den Webseiten der
Hochschulverwalter ebenso fündig wie der-
jenige, der einen Überblick über die der-
zeit im Einsatz befindlichen „Hochschul-
Apps“ sucht. M
http://www.hochschulverwaltung.de
DFN-Infobrief Recht als
Kompendium
Seit 2011 werden die DFN-Infobriefe Recht
vom DFN- Verein zusätzlich zur laufenden
Publikation über das Netz auch als gedruck-
ter Jahres-Sammelband herausgegeben. In
den Sammelbänden sind alle Artikel, die
im Laufe eines Jahres veröffentlicht wur-
den, enthalten.
Der Jahresband 2012 kann über die Ge-
schäftsstelle des DFN-Vereins bezogen
werden. Bitte kontaktieren Sie uns per E-
Mail unter sammelband-recht@dfn.de M

Deutliche Leistungssteigerung im
DFNInternet
Seit Einführung des Gigabit-Wissenschafts-
netzes im Jahr 2001 ist der DFN-Verein be-
strebt, den steigenden Anforderungen der
an das Wissenschaftsnetz angeschlosse-
nen Anwender durch Leistungssteigerun-
gen zu unverändertem Entgelt zu entspre-
chen. Mit dem 1. Juli 2013 gelten für alle
Kategorien des Dienstes DFNInternet ab
I02 neue Bandbreiten. Insbesondere in den
unteren Kategorien des Dienstes mit nied-
rigen Bandbreiten fällt die Leistungsstei-
gerung 2013 deutlich aus. Wer mit dem
kleinsten Anschluss an DFNInternet in der
Kategorie I02 angeschlossen ist, dessen
Bandbreite vergrößert sich von bislang 40
Mbit/s auf nun 200 Mbit/s. Die 75 bzw. 100
Mbit/s der Kategorien I03 und I04 werden
durch 300 Mbit/s bzw. 400 Mbit/s ersetzt.
In den mittleren Kategorien wird mindes-
tens eine Verdreifachung der Anschluss-
bandbreiten realisiert, während die höchs-
ten Kategorien des Dienstes mindestens
eine Verdoppelung ihrer bisherigen Band-
breite erfahren. Die Entgelte pro Kategorie
bleiben unverändert. Die Anschlüsse zum
Dienst DFNInternet werden grundsätzlich
Foto: © vm - iStockphoto
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 |
weiterhin mit zwei redundanten Leitun-
gen ausgeführt (redundante Anbindung
mit einer Hauptleitung und einer Neben-
leitung). Alternativ kann auf die redundan-
te Anbindung verzichtet und die gesamte
Bandbreite stattdessen über einen einfach
angebundenen Anschluss (einfache Anbin-
dung) bereitgestellt werden. Das Verfah-
ren der Leistungssteigerung wurde von
der 65. Mitgliederversammlung des DFN-
Vereins im Dezember 2012 beschlossen.
Grundsätzlich gilt für den Dienst DFNIn-
ternet weiterhin: Keine Installations- oder
Grundgebühr, keine Volumenberechnung,
keine versteckten Kosten. Überall gleich
in Deutschland (außer für Portanschlüs-
se). Die Entgelte des Dienstes DFNInter-
net sind einfach und transparent. Sie be-
ziehen sich ausschließlich auf die einge-
hende Bandbreite (vom Wissenschaftsnetz
zum Anwender) für den Zugang zu DFNIn-
ternet und sind so ausgelegt, dass die ent-
stehenden Kosten für den Dienst von den
Anwendern gemeinsam gedeckt werden.
https://www.dfn.de/dienstleistungen/dfn-
internet/entgelte-ab-juli-2013/ M
17
250. AAI-Vertrag
Die Hochschule Albstadt-Sigmaringen ist
250ster Vertragspartner innerhalb der DFN-
AAI. Seit Jahren schon hat die DFN-AAI eine
Zuwachsrate von etwa drei Einrichtungen
oder Vertragspartnern, die Monat für Mo-
nat der Föderation beitreten.
Dabei wird die DFN-AAI zunehmend nicht
mehr nur im Verlags- und Bibliotheksbe-
reich genutzt, sondern kommt immer häufi-
ger auch beim E-Learning, bei der Software-
Distribution oder bei der Organisation in-
terner Arbeitsabläufe an den Hochschulen
zum Einsatz. So lässt sich mit der DFN-AAI
der Zugriff auf personalisierte Studenten-
Portale ebenso steuern wie die Gewährung
von Schreibrechten in Typo3.
Wissenschaftlern und Studierenden wer-
den mit der DFN-AAI inzwischen auch euro-
paweit Ressourcen zugänglich – seit kur-
zem ist die DFN-AAI in die von der TERE-
NA organisierte AAI „edugain“ integriert.
Für Fragen und Anregungen steht die Hot-
line unter hotline@aai.dfn.de zur Verfü-
gung. M
18 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL

GÉANT schaltet um auf

Terabit-Technologie
Fast gleichzeitig mit der Migration des X-WiN ist auch der europäische Wissenschafts-
Backbone GÉANT mit Terabit-Technologie ausgestattet worden. Auf sämtlichen Dark-
Fibre-Verbindungen des 50.000-km-Backbone-Netzes, mit dem die nationalen
Forschungsnetze europaweit verknüpft sind, ist seit diesem Jahr eine neue Switching-
und Multiplexing-Infrastruktur im Einsatz.
Text: Kai Hoelzner (DFN-Verein)

Foto: © Mia11 - photocase

GÉANT 2013: Terabit-
Technologie im Einsatz
Seit Jahren ist ein exponentielles Wachs-
tum des Datenaufkommens in den For-
schungsnetzen zu beobachten, das mit
einer zunehmenden Internationalisie-
rung des Datenverkehrs einhergeht. For-
schungskollaborationen und international
aufgestellte Projekte und Infrastrukturen
wie das CERN oder zukünftig das Square
Kilometer Array generieren enorme Daten-
mengen, die über viele nationale Domains
hinweg verteilt, analysiert und gespeichert
werden müssen. Damit wachsen nicht nur
 INTERNATIONAL | DFN Mitteilungen Ausgabe 84 | 19

die Anforderungen an die nationalen For-

schungsnetze, sondern auch an den eu-
ropäischen Forschungs-Backbone GÉANT.

Seit Anfang 2013 ist im X-WiN eine neue

Technologie-Generation auf der optischen
Übertragungsebene des Wissenschaftsnet-
zes im Einsatz. Bedingt durch einen ähnli-
chen Beschaffungs-Zyklus wurde nun auch
das GÉANT mit neuester Übertragungstech-
nik ausgestattet. Ebenso wie das Deutsche
Forschungsnetz hält GÉANT seitdem Ka-
pazitäten bereit, die bis in den Terabit-Be-
reich gesteigert werden können und die
Bedarfe der Wissenschaft in puncto Über-
tragungskapazität für einen längeren Zeit-
raum befriedigen werden.

Bereits 2011 war eine massive Investition

in die technische Infrastruktur des GÉANT
angekündigt worden, mit der die Übertra-
gungskapazitäten bis Ende des Jahrzehnts
in den Multi-Terabit-Bereich gehoben wer-
den können. Das Rollout des Terabit-Netz-
werks wurde unmittelbar nach Vergabe der
Aufträge im Juli 2012 begonnen und konn-
te noch im Frühjahr 2013 abgeschlossen
werden. Dabei wurden 12.000 Kilometer
Glasfaser-Verbindungen des GÉANT-Back-
bones mit neuer Multiplexing- und Swit-
ching-Technik ausgestattet. Insgesamt
wurden innerhalb von nur zehn Monaten
an mehr als 170 Standorten zwischen Ko-
penhagen, Tallin und Riga im Norden, Mos-
kau im Osten, Athen im Süden und Dublin
im äußersten Westen des Kontinents Altge-
räte ab- und neue Technologie aufgebaut.
Migration in zwei Phasen
Um Unterbrechungen zu vermeiden, wur-
de die Migration in zwei Phasen durchge-
führt, wobei zunächst die Switching-Tech-
nik erneuert und anschließend die opti-
sche Übertragungstechnologie der Wellen-
längen-Multiplexer ausgetauscht wurde.
Die bisherige Topologie des GÉANT wurde
dabei um zwei zusätzliche Routen Mailand
– Marseille und Marseille – Genf ergänzt.
Die zusätzlichen Strecken nach Marseille
ermöglichen, eine Fülle dort endender Un-
GÉANT-Backbone im Jahr 2013: 12.000 Kilometer Glasfaserstrecke (schwarz) wurden auf 100-Gigabit/s-
Technologie migriert.
terseekabel aus dem Mittelmeerraum für
das GÉANT zu nutzen. Über diese Unter-
seekabel landet nicht nur ein erheblicher
Teil des Datenverkehrs mit Afrika, sondern
auch aus weiten Teilen Asiens.
Eine Reihe parallel bereitgestellter Fasern
entlang bereits existierender Strecken in
GÉANT erhöhen auf den Schlüssel-Verbin-
dungen des GÉANT die Kapazitäten und
die Stabilität des Netzes. Dies betrifft die
Strecken London – Paris, London – Brüs-
sel – Amsterdam, Amsterdam – Frankfurt
a.M., Frankfurt a.M. – Genf und Mailand –
Wien. Gleichzeitig ermöglichen die paral-
lelen Fasern auf den ‚inneren‘, stark bean-
spruchten GÉANT-Strecken eine flexiblere
Migration auf die neue Übertragungstech-
nik und ein vorheriges Testen der einzel-
nen Strecken vor dem finalen ‚Switch-Over‘.
Insbesondere, wenn keine parallele Faser
zur Verfügung stand, wurden die Arbeiten
an den Standorten nur außerhalb der Peak-
Zeiten des Netzes durchgeführt, so dass
mögliche Beeinträchtigungen des Daten-
verkehrs, wie etwa die Laufzeitverlänge-
rung von Paketen auf alternativ geroute-
ten Strecken, möglichst wenig Störungen
bei den Anwendern hätten verursachen
können. Anders als bei der Migration des
X-WiN, das Dank seiner vollständigen Stre-
ckenredundanz auch während der Migrati-
on immer mindestens eine Kernnetzverbin-
dung zu einem Standort aufrecht erhielt,
wurde bei der GÉANT-Migration ein Siche-
rungsseil für die Umschaltung der Stand-
orte benötigt: Eine Rollback-Strategie sah
vor, im Falle etwaiger technischer Proble-
me unverzüglich auf die alten technischen
Komponenten zurückzuschalten, die erst
bei erfolgreicher und vollständiger Migra-
tion des Netzes abgebaut wurden.
20 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
„Need for Speed“
Die Ausrüster der neuen GÉANT-Generati-
on heißen Infinera und Juniper Networks.
Auf der Switching-Plattform kommen seit
Mai Router der MX 3D Serie von Juniper
Networks mit 100-Gigabit/s-Kapazität
zum Einsatz. Die optische Transportebe-
ne des GÉANT ist nun mit Infineras neues-
ter DTN-X Technik bestückt sein, die „XTC“
Add Drop Multiplexer und „OTC“ Optical
Line Amplifiers mit EDFA/RAMAN Verstär-
kern kombiniert. Den mehr als 50 Millionen
Endnutzern, die über die 32 europäischen
NRENs und eine Fülle interkontinentaler
Verbindungen via GÉANT kommunizieren,
steht damit eine annähernd frei skalierba-
re und hoch belastbare Netzinfrastruktur
zur Verfügung.
Forschen am Netz
Finanziert wird das GÉANT aus Nutzungs-
entgelten der nationalen Forschungsnetze
und aus Mitteln des 7. Rahmenprogramms
der Europäischen Union. Hierzu wurden im
Rahmen des Projektes GN3plus für die kom-
menden zwei Jahre 42 Millionen Euro von
der Europäischen Kommission bewilligt,
mit denen neben dem Betrieb des Netzes
auch der Aufbau von Testbeds sowie ein ei-
genes Förderprogramm für Entwicklungs-
projekte unterstützt werden. Insbesonde-
re die Durchführung von netznahen Inno-
vationsprojekten stellt für GÉANT ein No-
vum dar. Die Aufgabe, die die Europäische
Kommission dem GÉANT für die kommen-
den beiden Jahre mitgegeben hat, lautet,
über Open Calls eine Reihe von Miniprojek-
ten auszuschreiben und durchzuführen.
Gesucht werden hierfür Use-Cases, eigen-
ständige Forschungs- und Technologie-Ent-
wicklungen zur Unterstützung laufender
Projektaktivitäten sowie innovative Pro-
jekte und Demonstrationen in NREN-über-
greifenden Multi-Domain-Umgebungen.
GÉANT Testbeds
Mit dem Schwerpunkt „Testbeds as a Ser-
vice“ in GN3plus bietet GÉANT Wissen-
schaftlern künftig die Möglichkeit, Test-
beds zur Erprobung neuer Netztechnologi-
en und innovativer Anwendungen zu nut-
zen. Hierzu stehen im GÉANT zwei Typen
von Testbed-Ressourcen zur Verfügung:
Ein ‚Dynamic Packet Testbed‘ ermöglicht
Untersuchungen und Technologieerpro-
bungen auf den höheren Netzwerk-Ebe-
nen, während ein ‚Dark Fibre Testbed‘ ei-
ne Infrastruktur für Feldversuche mit op-
tischen und photonischen Technologien
bereitstellt, auf der sich technologische In-
novationen in realistischen Weitverkehrs-
verbindungen erproben lassen. Nicht zu-
letzt werden davon eine Reihe nationaler
NRENs profitieren, die in den kommenden
Jahren mit dem Umstieg von 10- auf 100
-Gigabit-Technologie befasst sein werden.
Das ‚GÉANT Dark Fibre Testbed‘ besteht
aus Faserverbindungen, die nach dem Ab-
schluss der aktuellen Netzwerk-Migration
des GÉANT verfügbar bleiben. Fünf solcher
Routen mit einer Gesamtlänge von 2.500
Kilometern können von Oktober 2013 an
bis Ende Juni 2015 für Tests genutzt wer-
den: Die Strecken London – Paris, Frank-
furt – Genf, Amsterdam – Frankfurt, Amster-
dam – Brüssel und Mailand – Wien sind mit
optischen Verstärkern ausgestattet und
werden an den Endpunkten der jeweili-
gen Strecken durch das Alcatel DWDM-
System des „alten“ GÉANT beleuchtet. Das
GÉANT Dark Fibre Testbed ermöglicht die
Technologie-Erprobung auf der Transport-
Ebene und wird nicht nur für das GÉANT,
sondern ebenso auch für die nationalen
Forschungsnetze interessant sein, die ih-
re Netze in den kommenden Jahren mit ei-
ner neuen Generation von Routern, Swit-
chen, Multiplexern und Verstärkern aus-
statten werden und in diesem Zusammen-
hang Hardwaretests durchführen müssen.
Das ‚GÉANT Dynamic Packet Testbed‘ stellt
interessierten Wissenschaftlern eine Fülle
von Netzwerk-Ressourcen zur Verfügung,
mit denen sich verschiedenste Ansätze für
virtuelle und dynamische Vernetzungen er-
proben lassen. Ziel ist, künftige Konzepte
und Technologien wie etwa Software Defi-
ned Networks z.B. auf der Basis von Open-
Flow in einer realistischen Weitverkehrs-
Umgebung und bei Bedarf über mehrere
Domains hin zu erproben und möglichst
zeitnah für die wissenschaftliche Netznut-
zung zu erschließen.
Der DFN-Verein war in jüngster Vergangen-
heit in verschiedenen Arbeitsgruppen an
der netztechnischen Weiterentwicklung
des GÉANT beteiligt, unter anderem in den
Bereichen Federated Network Architectu-
res sowie Virtualisierung von Netzen. Hier-
bei wurde untersucht, welche Rolle die Fö-
derierung von Netzen bzw. das Virtualisie-
ren von Netzkomponenten spielen werden.
GÉANT Open Call
In einem Open-Call-Verfahren wurden im
April und Mai 2013 Projektvorschläge ge-
sammelt, die sich mit spezifischen Themen
innovativen Netzwerkens befassen. Die Lis-
te dieser Themen reicht von Photonic Level
Access – also dem Zugriff auf Netzstruktu-
ren unterhalb der IP- und Ethernet-Ebene
Software Defined Networking, Bandwith
on Demand oder Terabit Transmission Tri-
als über eine Fülle von Utility-Themen wie
Network as a Service, hochverfügbare Net-
ze oder Cloud-Access bis hin zu innovati-
ven Demonstrationsprojekten.
Für die Durchführung dieser Projekte ste-
hen in GN3plus 3,3 Millionen Euro bereit.
Formuliertes Ziel ist, möglichst netznahe
Forschungsvorhaben zu unterstützen, die
für die Zukunft des GÉANT und der natio-
nalen Forschungsnetze relevant werden
können. Dabei wird eine enge Abstimmung
der eingereichten Projekte mit den laufen-
den Aktivitäten in GN3plus angestrebt. Die
Laufzeit der Open-Call-Projekte soll von
Oktober 2013 bis zum Ende der Planungs-
zeitraumes des 7. Rahmenprogramms der
EU reichen, das im März 2015 ausläuft. M
 INTERNATIONAL | DFN Mitteilungen Ausgabe 84 | 21

ORIENTplus: Boosting EU-

China Collaboration
Between 2007 and 2010 the ORIENT project provided the first direct high-capacity Internet connec-
tion for research and education between Europe and China. Now the successor project ORIENTplus
offers with its 10G link the shortest and fastest data communications route between the GÉANT and
Chinese research networking communities, enabling innovative research and education collabo­
rations to flourish. DFN-Mitteilungen caught up with project representatives in both regions and
asked them what ORIENTplus means for scientists, academics and NRENs at both ends of the link.

Kai Nan, Director Jiangping Wu, Director David West, Dante Ltd. Christian Grimm, Director DFN
CSTNET CERNET Center Project Manager ORIENTplus Chair ORIENTplus Steering Group

Who is behind ORIENTplus?
DW: ORIENTplus was born out of the successful ORIENT col-
laboration between Europe and China. Through the planning
and operation of ORIENTplus the relationship has further de-
veloped. We now have both major Chinese research and edu-
cation networks, CERNET and CSTNET, fully involved in the pro-
ject. We also have 9 European NREN partners*, though all Eu-
ropean NRENs are connected via GÉANT, and DANTE is co-ordi-
nating on behalf of the EU and Chinese partners. Operational
management is jointly coordinated by the GÉANT and CNGI-6IX
NOCs. The project is absolutely a partnership of equals between
Europe’s and China’s NRENs - committed to work together to
provide world class e-Infrastructure for world class collabora-
tive research. The project receives financial backing from the
EC’s FP7 programme and from the Chinese government as well
as from the NREN communities.
JW:CERNET was the Chinese partner in ORIENT and connected
CSTNET in China. CERNET is very pleased CSTNET has become a
full partner in ORIENTplus. The equal funding and project res-
ponsibility from China and Europe symbolises the shared com-
mitment of both sides.
Aren’t 10Gb connections commonplace these days? What makes
this upgrade so special?
CG: Not at all! I agree we have 10Gb in the European GÉANT foot-
print and on our links to the US. This is why most Internet traffic
to Asia still goes the long way round, via the US and through the
Pacific. But with ORIENTplus we now have a direct link between
Europe and China which goes overland through Siberia. Unfor-
tunately, this comes at a cost which is why we sought EC and
Chinese government funding support. But it has the great ad-
vantage of being the only high-capacity connection between Eu-
rope and China using the shortest route available – a must-have
22 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
for many data-intensive and time-critical research applications.
The upgrade from 2.5 to 10Gb was clearly needed to keep pace
with the increased user demand we are seeing. To illustrate how
capacity to China has grown I may recall that ORIENTplus e–
volved from a direct 2Mbps peering between the UK and China
to a high-speed inter-regional link over a thousand times that
capacity. Not to mention that in DFN we celebrated a 64kbps link
between Germany and China less than 15 years ago.
JW: But ORIENTplus is more than just a link with huge capaci-
ty. Thanks to good co-operation between CERNET, TransPAC3,
and Internet2, and ORIENTplus there is now also an integral ele-
ment of “around the globe” connectivity support. A recent mu-
tual back-up agreement between the four partners guarantees
network reliability and resilience by automatically re-routing
the traffic via the US in the event of any outage. I believe this is
the first-ever global back-up partnership and a great example
of collaboration between network providers.
We understand that link is operated in hybrid mode. What are
the advantages of that?
CG: Indeed. The hybrid nature of the link means that it can carry
both IP and point-to-point traffic. It will allow us to deploy tools
and services, such as PerfSONAR, eduroam and dynamic point-
to-point links. In addition to the upgraded link capacity, this will
give us adequate flexibility to support communities with spe-
cial networking requirements.
KN: Let us not forget the good team work to make this happen.
We have set up a joint EU-China technical support team. So we
have the most efficient and simplified troubleshooting process
to ensure reliable and high quality network transmission. And I
agree, the hybrid mode provides the opportunity to deploy dif-
ferent, innovative techniques and equipment, such as accelera-
tion devices, to match specific application needs.
Who uses this link today and what are the growth areas?
CG: It comes as no surprise that users from the LHC community
were among the first to fill the increased capacity. But we ex-
pect many more from other disciplines. As an interesting effect,
by making the ORIENTplus capacity available to our users we
learned a lot about the many existing collaborations between
European and Chinese researchers.
KN: We have already seen take-up in the field of radio-astrono-
my. eVLBI, for example, relies on a stable network connection
*BASNET, CESNET, DFN, e-ARENA, GARR, GRNET, JANET, NORDUNET and PSNC
for correlating massive data in real-time from radio-telescopes
in Europe and on CSTNET’s network in China. Similarly, the AR-
GO-YBJ cosmic ray studies involve the transfer of terabytes of
data every year from a telescope in Tibet to a processing cen-
tre in Italy – thousands of miles away. Real-time processing and
analysis of these data do not work with packet loss or a jittery
connection – so the applications need dedicated R&E network
links, such as ORIENTplus, to deliver this. Genomic research bet-
ween China and Europe needs the same strong networking. The
commodity Internet would simply not be able to tackle the data
traffic generated by DNA sequencing and processing by life sci-
ences institutions, such as the Beijing Genomics Institute (BGI)
and the European Bioinformatics Institute (EBI).
JW: More and more collaborative projects between universities
in China and Europe have increasing bandwidth demands. There
are, for example, many UK universities setting up remote campu-
ses and offices in China, the online courses, videoconferences and
other forms of virtual meetings and discussions are becoming
a key part of this type of remote education. Certainly, ORIENT-
plus is the basic infrastructure to support these collaborations.
What special value does China see in ORIENTplus?
JW: In the late 90’s, before ORIENT and ORIENTplus, CERNET’s first
ORIENTplus
Between 2007 and 2010 the ORIENT project provided the
first high capacity link between GÉANT and China with
FP6 funding support and successfully enabled many inno-
vative EU-China research and application collaborations
to flourish.
ORIENTplus is created to maintain and further develop
infrastructure between GÉANT and China that is open for
use by all European and Chinese researchers. The main fo-
cus of the this project is to support the infrastructure link.
To mark the significant upgrade of the ORIENTplus link to
10 Gbps, project partners, senior EC and Chinese govern-
ment officials, media representatives as well as members
of the user community gathered on 12 April for a com-
memorative event networked over the ORIENTplus link,
with a main venue in London connected by high-quality
video-conferencing to 14 sites across Europe and China.
The launch event provided an opportunity to hear and see
first-hand from scientists how this high-speed China-EU
link makes a real difference in advancing collaborative
research.

direct links to Europe were with JANET and DFN only. With ORI-
ENT and now ORIENTplus, China’s researchers can now reach
the whole of Europe with just one link. As the link capacity
grows and our researchers can collaborate more, the rela­
tionships get stronger and lead to new discoveries and inno-
vation. On China’s side we have the vision of global network­
ing since research challenges are global. We are very pleased
this is Europe’s vision too. It leads to good partnership and
success.
KN: ORIENTplus brings the best Chinese and European minds
together. In addition to our major science programmes, there
are important applications for all our people, such as e-health
and environmental monitoring. During the Sichuan earth­quake
in 2008, for example, the ORIENT link was able to distribute high-
resolution satellite images of the damaged region for immedi-
ate analysis to help plan rescue, relief and recovery.
Global R&E Network CEO Forum
take next steps in Asia’s Global City
of Hong Kong
Following their first retreat in September 2012, the Global R&E Network CEO Forum met in
Hong Kong on May 9th and 10th to review and further develop the four key global initiatives
which they had defined as a part of a wider global Research and Education ICT strategy.
The CEOs critically reviewed the common strategic challenges
they face in delivering advanced ICT services to the Research and
Education communities they serve. Outcomes of this meet­ing
include significant progress on the four major challenges the
CEOs defined at their first meeting as well as developing new
areas of common strategic interest.
The four challenges are as follows:
1. Global Network Architecture – While clear principles for a co-
herent global R&E network architecture continue to take form,
the CEOs decided to refine these principles by commissioning
a high-level action group to study and report back on key areas
such of procurement, the relationships with intercontinental
carriers and new intercontinental fiber builds, and federated
operations. A subgroup of the CEO Forum has also been formed
INTERNATIONAL | DFN Mitteilungen Ausgabe 84 | 23
How do you see the EU-China collaboration develop in the com­
ing years?
DW: We already see China is the EU’s 2nd largest trading partner
and the EU is China’s biggest trading partner. The current ORI-
ENTplus project runs to the end of 2014.The growing research
and technology development programmes between Europe
and China mean there is a clear need for the world class e-Inf-
rastructure links to continue to be provided and further devel­
oped. So we are now starting to discuss not ‘if’ but ‘how’ this is
done, building on the already excellent working relationships.
As well as the connectivity we would like to broaden this in to
further service and user collaborations.
We have some way to go, but I hope it will not be too long be-
fore the project that follows on from ORIENTplus is able to tell
DFN-Mitteilungen of its latest upgrade to 100Gb or higher! M
to develop a common view on the political approach to funding
the Global Network Architecture. Both these groups will have
strict timetables to ensure close alignment and delivery across
our multiple global boundaries.
2. Global Realtime Communications Exchange – The CEOs en-
dorsed the work done so far to develop a global dialing directory
for audio and video collaboration tools using NRENUM.net, SIP,
and H.323 as the major technical direction. Each participating
NREN, if not have already done so, will begin implementation
of this before the end of the 2013. The level of global interoper­
ability resulting from this project will be a key enabler for the
collaboration goals of the sector globally during the next five
year horizon in order to enhance both research and teaching &
learning growth.
24 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
3. Global Service Delivery – An initial group of seven of the CEO
Forum’s NRENs are aligning their efforts on Global Service De-
livery and are collaborating on creating business models and
developing contracts to work with cloud providers on a global
scale. This initiative is not without significant challenge, specifi-
cally with respect to achieving common global legal agreements.
The progress of this project requires rapid global development
and implementation in order for the sectors across the world
to seize immediate cost and efficiency benefits in the effective
delivery of market leading technology solutions.
4. Global Federated Identity Management – To support the ef-
fective global use of cloud services and on-line learning envi-
ronments such as MOOCs, the CEOs committed to interconnect
each of their federations before the end of 2013. This effort will
be aligned such that the Global Realtime Communications Ex-
change and the Global Service Delivery can build on the interfed­
eration work. This interfederation platform is a fundamental
building block ensuring seamless linkages of both people and
projects across both national and regional boundaries. It was
recognized that if the global NREN community did not pursue
this approach as a matter of urgency there was a risk that less
appropriate and fragmented solutions would be adopted which
would be highly detrimental to the coherence of global research
and educational collaboration.
In addition to these four challenge areas, there also was signif­
icant discussion around the areas of both security and mobili-
ty, particularly with the exponential growth in BYOD (bring your
Foto: © R_by_PD bearb.GS_pixelio.de
own device) and the increased risk profile as big data hits extra-
ordinary growth rates. The CEOs created two new groups. The
first one to determine how we can keep our networks and servi-
ces both open and secure. The second one on how to take away
barriers in global mobile communications for our community,
leading to clearly developed action plans in order to assess and
address any R&E market failure.
On the area of working with existing global or regional expert
groups, the CEOs acknowledged their commitment to work with
these groups to determine how their efforts can contribute to
the initiatives of the Global R&E Network CEO Forum.
The CEO Forum will continue to move forward with regular vid­
eo conferences and will meet again face to face to ensure pro-
gress against the specific project milestones. The strategic im-
portance of countries with emerging NRENs was clearly recog-
nized by the group with the next face to face meeting scheduled
to be held in South Africa at the end of 2013, a location which ex-
emplifies with a view to exploring further the advanced needs
of the global research community with the Square Kilometer
Array and the specific needs of developing NREN communities.
The Global R&E Network CEO Forum consists of the Chief Exec­
utive Officers of AARNet (Australia), CANARIE (Canada), CERNET
(China), CUDI (Mexico), DANTE (Europe), DFN (Germany), Internet2
(USA), Janet (UK), NORDUnet (European Nordics), REANNZ (New
Zealand), RedCLARA (Latin America), RENATER (France), RNP (Bra-
zil), and SURFnet (The Netherlands). (kh) M

Kurzmeldungen
CERN bekommt erste 100-Gigabit/s-Verbindung
Das neue in Budapest angesiedelte Data Centre des CERN gehört
zu den ersten Nutzern, die vom neuen Terabit-Netz des GÉANT
profitieren. Das „Wigner Research Centre for Physics“ wird in Zu-
kunft in großem Umfang ‚remote‘ Experimentaldaten des Large
Hadron Collider (LHC) speichern. Um die extremen Datenmengen,
die beim neuen Storage-Konzept des CERNs transportiert werden
müssen zu bewältigen, erhalten das CERN in Genf und das unga-
rische Wigner Centrum eine direkte 100-Gigabit/s-Verbindung.
Das LHC generiert derzeit Daten im Umfang von 30 Petabyte pro
Jahr. Die schnelle weltweite Verteilung dieser Daten zu den Wis-
senschaftsgruppen in verschiedenen Ländern stellt eine Voraus-
setzung für die Durchführung der Experimente am CERN dar. Die
Basis für die Distribution der Experimentaldaten bilden die na-
tionalen Forschungsnetze und das GÉANT als pan-europäischer
Backbone mit leistungsfähigen weltweiten Links. Neben dem
GÉANT ist auch das ungarische Forschungsnetz NIIF/Hungarnet
involviert, das die Verbindung vom GÉANT-PoP in Budapest bis
zum Wigner Centre bereitstellt. M
Partnerschaft zwischen GÉANT und Helix
Nebula Cloud
GÉANT-Betreiber Dante Ltd. und das europäische Grid-Projekt
„Helix Nebula Cloud“ haben im Dezember 2012 eine Partner-
schaft vereinbart, innerhalb derer GÉANT eine aktive Rolle bei
der Weiterentwicklung der Wissenschafts-Cloud für internati-
onale Großforschungsprojekte einnehmen wird. Führende eu-
ropäische Wissenschaftseinrichtungen hatten im vergangenen
Jahr das nach einem Planetennebel im Sternbild Wassermann
benannte europäische Wissenschafts-Grid Helix Nebula Cloud
gegründet. Zu den Initiatoren der Helix Nebula Cloud gehören
neben der Europäischen Raumfahrtagentur ESA, dem europäi-
schen Kernforschungszentrum CERN und dem Europäischen La-
boratorium für Molekularbiologie EMBL auch eine Reihe von In-
dustrie-Partnern aus dem IT-Bereich.
In der Helix Nebula Cloud wird die Nutzung zentraler Rechen-
und Speicherkapazitäten für aufwendige wissenschaftliche Be-
INTERNATIONAL | DFN Mitteilungen Ausgabe 84 | 25
rechnungen zwischen internationalen Partnern in einer Cloud-
Umgebung erprobt. Die Partnerschaft mit dem europäischen
Forschungsbackbone GÉANT bedeutet nicht nur eine massive
Stärkung des Projektes. GÉANT, das sein Netz soeben auf 100-Gi-
gabit-Technologie umgerüstet hat und über leistungsfähige Ver-
bindungen in alle Kontinente verfügt, bringt nicht nur die welt-
weit leistungsfähigste Netz-Infrastruktur für die Wissenschaft
in die Partnerschaft ein, sondern auch den direkten Zugang zu
den Forschungsnetzen der nationalen Wissenschafts-Commu-
nities in Europa, die das GÉANT als gemeinsame Netz-Infrastruk-
tur initiiert haben. M
Erste transatlantische 100-Gigabit/s-Verbindung
angekündigt
Gemeinsam mit GÉANT haben die nordamerikanische Internet2-
Intiative und ESnet (beide USA), das skandinavische NORDUnet,
das niederländische SURFnet und Kanadas CANARIE eine Public
Private Partnership mit kommerziellen Dienstleistern zum Ausbau
der interkontinentalen Verbindung zwischen Forschungsnetzen
in Europa und Nordamerika angekündigt. Ziel des auf dem „In-
ternet2 Annual Meeting“ Ende April angekündigten Vorhabens
ist die Etablierung einer ersten interkontinentalen 100-Gigabit/s-
Verbindung über den Atlantik. Unter dem Arbeitstitel „Advan-
ced North Atlantic 100G Pilot“ (ANA-100G) sollen bereits im Juni
2013 anlässlich der TERENA Networking Conference in Maastricht
Anwendungen zwischen den USA und Europa demonstriert wer-
den.
Hintergrund ist, dass mehrere NRENs auf beiden Seiten des At-
lantik auf 40- bzw. 100 Gbit/s-Technologie aufrüsten werden. Ne-
ben dem X-WiN und GÉANT sind hier auch das britische JANET,
SURFnet und NORDUnet sowie die Internet2-Initiative und ES-
net zu nennen. Die transkontinentalen Verbindungen allerdings
sind dieser Entwicklung auch bedingt durch die Angebotspoli-
tik kommerzieller Provider bislang nicht oder nur unzureichend
gefolgt. ANA 100G soll nicht nur die internationalen Kooperatio-
nen in der Wissenschaft beflügeln, sondern auch einen Anstoß
in Richtung der am internationalen Markt tätigen Carrier und
Netzausrüster geben. M
26 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS

Gemeinsam sicher
Nordrhein-Westfalens Hochschulen setzen auf
gemeinsames Informationssicherheitsmanagement

Um den stetig wachsenden Anforderungen an die Hochschulen im Bereich Informa­

tionssicherheit zu begegnen, setzen Nordrhein-Westfalens Hochschulen seit 2011 auf
eine gemeinsame Strategie. Synergie statt individueller Anstrengungen lautet das
Motto, mit dem das Projekt PRISMA (Programm für ein gemeinsames Informations­
sicherheitsmanagement der Fachhochschulen NRW) die Einführung eines Information
Security Management Systems (ISMS) in den Hochschulen ermöglichen will. Gemein­
sames Ziel ist der Aufbau einer dauerhaften Kooperation zur Verbesserung der
Informationssicherheit, die Synergieeffekte mit sich bringt.
Text: Irene Weithofer (Fachhochschule Köln), Henning Mohren (Fachhochschule Düsseldorf)

ISMS – vom einsamen Helden zur und seinen mehr oder minder einsichti- auch eine personelle Verankerung auf Lei-
hochschulweiten Strategie gen Kollegen und Kolleginnen ins Gewis- tungsebene. Letztlich geht es zwar auch
sen redet, wenn es darum geht, Passworte um die Frage, ob in den Browsern und Be-
Informationssicherheit ist längst keine nicht länger unter der Schreibtischunter- triebssystemen die jeweils aktuellen Pat-
Aufgabe mehr für den einsamen Helden lage zu ‚verstecken’. Informationssicher- ches eingespielt wurden, im Kern jedoch
im Rechenzentrum, der sich mit der läs- heit an Hochschulen erfordert heute so- darum, ob alle Management-, Kern- und
tigen Materie Datensicherheit auskennt wohl ein professionelles Management als Supportprozesse der Hochschule auf In-
formationssicherheit ausgerichtet sind.
Dies stellt nicht nur kleinere Einrichtun-
Plan gen vor Probleme. Zwar existieren mit der
ISMS ISO/IEC Normen „ISO/IEC 27001 und 27002“
planen
und dem vom Bundesamt für Sicherheit
und
festlegen in der Informationstechnik entwickelten
„BSI-Standard“ Leitfäden, die detailliert
Kontinuierliche
Anforderungen ISMS
Umsetzung,
ISMS Informations- regeln, welche Maßnahmen auf dem Weg
und umsetzen instandhalten sicherheits-
Do Überwachung, Act zu mehr Informationssicherheit getroffen
Erwartungen und und Management-
an ein ISMS betreiben
Verbesserung
verbessern system (ISMS) werden müssen. Die Umsetzung des um-
und Betrieb
fangreichen Regelwerks an den Hochschu-
ISMS len ist allerdings nicht trivial und mit er-
überwachen
heblichem Organisations- und Arbeitsauf-
und
überprüfen wand verbunden.

Check
Die Fachhochschulen des Landes NRW ha-
Abb. 1: Ein ISMS soll als Bestandteil eines übergreifenden Managementsystems die Entwicklung, Imple-
ben aus diesem Grund bereits im Jahr 2011
mentierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der einen gemeinsamen Fördermittelantrag
Informationssicherheit abdecken. Dabei folgt das ISMS einem kontinuierlichen Verbesserungsprozess. zur Einführung eines Managementsystems

für Informationssicherheit bei der zustän-
digen Landesregierung gestellt. Im Rah-
men des durch Mitglieder des Arbeitskrei-
ses der Kanzlerinnen und Kanzler und der
DVZ-Leiter gesteuerten „Programms für
ein gemeinsames Informationssicherheits-
management der Fachhochschulen NRW“,
kurz PRISMA, wurde ein Referenzmodell
für die Einführung eines Information Se-
curity Management Systems (ISMS) entwi-
ckelt, das derzeit auf die teilnehmenden
Hochschulen transferiert wird.
PRISMA sorgt dabei nicht nur für den loka-
len Aufbau des ISMS an den teilnehmen-
den Hochschulen, zu dem auch die Be-
nennung eines CISOs (Chief Information
Security Officer) an jeder Hochschule ge-
hört, vielmehr legt das Projekt auch den
Grundstein für eine dauerhafte Koopera-
tion mit der Bezeichnung ISKo (Koopera-
tion zur Informationssicherheit).
ISKo versteht sich als offene Kooperation,
d.h., jede Hochschule in NRW kann an der
Kooperation teilnehmen und Mitglied wer-
den. Das schließt explizit auch Hochschu-
len ein, die nicht am Projekt PRISMA teil-
genommen haben. Inzwischen liegen auch
Beitrittsabsichten von Universitäten vor.
Das Projekt PRISMA gliedert sich in meh-
rere Projektphasen (Arbeitspakete). Dem
Deming-Zyklus „Plan – Do – Check – Act“
folgend wurden im Projekt zunächst über-
greifende Dokumente zum Informations-
sicherheitsmanagement erstellt.
Dokumente zum Informations-
sicherheitsmanagement
Die Leitlinie zur Informationssicherheit
(IS-Leitlinie) definiert verbindlich die Ziele,
die die Fachhochschulen in NRW gemein-
sam verfolgen wollen. Sie ist die Grund-
lage für die Kooperation der Hochschu-
len, die auch nach Projektende zur Ver-
besserung der Informationssicherheit
fortgeführt werden soll. In der IS-Leitli-
nie werden der Geltungsbereich, die Zie-
le und die Organisation der Kooperation
CAMPUS | DFN Mitteilungen Ausgabe 84 |
Abb. 2: Der Basis-Sicherheitscheck verlief orientiert am Schichtenmodell und den zugeordneten Baustei-
nen, wie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben. In den Referenz-
hochschulen wurde im Projekt PRISMA die Schicht I „Übergreifende Aspekte“ mit 14 der insgesamt
17 Bausteine überprüft:
B 1.0    Sicherheitsmanagement
B 1.1    Organisation
B 1.2    Personal
B 1.3    Notfallmanagement
B 1.4    Datensicherungskonzept
B 1.5    Datenschutz
B 1.6    Schutz vor Schadprogrammen
B 1.8    Behandlung von Sicherheitsvorfällen
B 1.9    Hard- und Softwaremanagement
B 1.10  Standardsoftware
B 1.13  Sensibilisierung und
Schulung zur Informationssicherheit
B 1.14  Patch- und Änderungsmanagement
B 1.15  Löschen und Vernichten von Daten
B 1.16  Anforderungsmanagement
festgelegt. Im grundlegenden Textteil, der
für alle Hochschulen gleichermaßen gilt,
ist auch der Kooperationsvertrag veran-
kert. Darüber hinaus kann jede Hochschule
eigene Ziele und lokale Organisationsfor-
men für ihr spezifisch ausgeprägtes Ma-
nagement der Informationssicherheit er-
gänzen. Auf diese Weise besitzt jede Hoch-
schule ihre eigene IS-Leitlinie – gestaltet
mit dem eigenen Logo – und setzt diese
verbindlich in Kraft.
Mit dem Ziel, die Zusammenarbeit auch
nach Ende des Projekts im Bereich des In-
formationssicherheitsmanagements fort-
zusetzen, sind die Fachhochschulen da-
bei, eine Kooperation zum Informations-
sicherheitsmanagement (ISKo) zu grün-
den. Die Bedingungen zur Teilnahme an
dieser Kooperation regelt der ISKo-Koope-
rationsvertrag. Er wurde im Rahmen des
Projekts entworfen und darüber hinaus
auch im Arbeitskreis der Kanzlerinnen und
Kanzler und gegenüber den DVZ-Leitern
vorgestellt.
Die an der Kooperation teilnehmenden
Hochschulen verschreiben sich zu:
gemeinsamen, in der IS-Leitlinie ver-
bindlich definierten Zielen der Infor-
mationssicherheit:
• Berücksichtigen der Informations-
sicherheit und des Datenschutzes
in jedem Geschäftsprozess.
27
Schicht I Übergreifende Aspekte
Schicht II Infrastruktur
Schicht III IT-Systeme
Schicht IV Netze
Schicht V Anwendungen
• Schützen von Informationen über
die Sicherstellung ihrer Verfügbar-
keit, Integrität und Vertraulichkeit,
Authentizität, Revisionsfähigkeit
und Transparenz.
gemeinsamen Elementen der Orga-
nisation:
• Benennen eines CISO (Chief Infor-
mation Security Officer) durch je-
de ISKo-Hochschule.
• Aktive Mitarbeit im ISKo-Team.
den Standards
• der BSI 2-Standardreihe zur Infor-
mationssicherheit (100-1 – Manage-
mentsysteme für Informationssi-
cherheit (ISMS), 100-2 – IT-Grund-
schutz-Vorgehensweise,
100-3 –
Risikoanalyse auf der Basis von
IT-Grundschutz,
100-4 – Notfall-
management und Normen)
Diese Punkte definieren den allgemeinen
Konsens aller Hochschulen.
Das Management der Informationssicher-
heit wird neben der IS-Leitlinie in weite-
ren Dokumenten detaillierter festgelegt
und beschrieben. Im Projekt PRISMA ent-
stand eine erste Fassung eines Handbuchs
zur Informationssicherheit (IS-Handbuch),
das anschließend vom ISKo-Team laufend
fortentwickelt werden soll. Das IS-Hand-
buch richtet sich an CISOs und andere
Beteiligte im Management der Informa-
tionssicherheit und enthält eine Anlei-
tung zur Entwicklung einer IS-Strategie
28 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS

B 1.0 Bester Umsetzungsgrad

Sicherheitsmanagement Durchschnittlicher Umsetzungsgrad
B 1.16 B 1.1
Schlechtester Umsetzungsgrad
Anforderungsmanagement Organisation

B 1.15 B 1.2
Löschen und Vernichten von Daten Personal

B 1.14
B 1.3
Patch- und Änderungs-
Notfallmanagement
management

B 1.13
B 1.4
Sensibilisierung und Schulung
Datensicherungskonzept
zur Informationssicherheit

B 1.10 B 1.5
Standardsoftware Datenschutz

B 1.9 B 1.6
Hard- und Software-Management Schutz vor Schadprogrammen

B 1.8
Behandlung von Sicherheitsvorfällen

Der Basis-Sicherheitschecks an den drei Referenzhochschulen zeigte kurz vor Abschluss im September 2012 in vielen Aspekten einheitlich gute und schlechte
Werte mit nur wenigen Abweichungen zwischen bestem und schlechtestem Ergebnis.

sowie zahlreiche weitere Informationen
zum Informationssicherheitsprozess und
seinen Prinzipien, zu den Rollen im ISMS,
zu Schutzbedarfskategorien, zum IT-Risi-
komanagement etc. Ein gesonderter Ab-
schnitt beschreibt die möglichen Maßnah-
men zur Initialisierung des lokalen ISMS
auch für die Hochschulleitung.
Einführung des ISMS an den
Referenzhochschulen
Im Projekt PRISMA wurde auch der Um-
setzungsgrad des ISMS an drei Referenz-
hochschulen, den Fachhochschulen Aa-
chen, Düsseldorf und Köln, in Form von
Audits überprüft. Ziel war es, Gemeinsam-
keiten und Unterschiede im Bereich der
Umsetzung von Informationssicherheit
an den Referenzhochschulen zu ermitteln
und zu prüfen, ob sich daraus Synergie-
effekte für die Gesamtheit der Fachhoch-
schullandschaft in NRW ergeben können.
Die Audits an den Referenzhochschulen
wurden entsprechend der Prüfkataloge
des BSI durchgeführt. Dabei wurden be-
stimmte sicherheitsrelevante Abläufe in
Hinblick auf die Informationssicherheit
exemplarisch bewertet. Die nach der IT-
Grundschutz-Methode des BSI angewende-
te Form der Überprüfung nennt sich Basis-
Sicherheitscheck – sie wurde in Form von
Interviews durchgeführt. Ziel war, einen
ausgewogenen Soll-Ist-Vergleich durchzu-
führen. Gemeinsam mit den Interview-Teil-
nehmerinnen und -Teilnehmern wurden
zunächst die relevanten Gefährdungssi-
tuationen herausgearbeitet. Danach wur-
de das vorhandene Sicherheitsniveau (Ist)
anhand gefährdungsabwehrender Maß-
nahmen aus den BSI-Grundschutzkatalo-
gen (Soll) festgestellt.
Die Audits wurden in offener Form durch-
geführt, so dass an den jeweiligen Termi-
nen auch Beschäftigte anderer Hochschu-
len des Landes NRW teilnehmen konnten.
Dadurch hat das PRISMA-Projekt sicherge-
stellt, dass die gewonnenen Erfahrungen
bei der Einführung des ISMS allen Einrich-
tungen zugutekommen können.
Im Ergebnis hat sich gezeigt, dass die Refe-
renzhochschulen einen ähnlichen Umset-
zungsgrad des Informationssicherheits-
managements vorweisen. Während Be-
reiche wie Organisation und Personal
durchweg gut abgeschnitten haben, wur-
de Verbesserungspotenzial in den Berei-
chen Notfallmanagement und Sicherheits-
management festgestellt. Die Ergebnis-
se aus den Referenzhochschulen wurden
im September 2012 im Rahmen eines ein-
tägigen Workshops vorgestellt, zu dem
alle teilnehmenden Hochschulen einge-
laden waren. Im November 2012 wurde
ebenfalls der Arbeitskreis der Kanzlerin-
nen und Kanzler der teilnehmenden Hoch-
schulen über den Stand des Projektes und
den baldigen Beginn der Transferphase
unterrichtet.
 CAMPUS | DFN Mitteilungen Ausgabe 84 | 29

Die Transferphase
In der bereits angelaufenen Transferpha-
se wird das im Projekt erarbeitete und an
den Referenzhochschulen verifizierte Wis-
sen auf möglichst viele Hochschulen in
NRW übertragen – nicht zuletzt als Basis
der langfristigen Kooperation. Der Trans-
fer wird in mehreren Runden in unter-
schiedlicher Zusammensetzung der Teil-
nehmerkreise durchgeführt, um sowohl
die Hochschulleitungen als auch die ope-
rativ tätigen Bereiche sachgerecht zum
Informationssicherheitsmanagement zu
informieren und für die Kooperation zu
gewinnen.
Für die Transferphase ist der Zeitraum
von April bis September 2013 vorgesehen.
Schließlich wird das Projekt mit der Grün-
dung der Kooperation zum Informations-
sicherheitsmanagement (ISKo) enden, die
das Thema an jeder einzelnen teilnehmen-
den Hochschule sowie in der Gesamtheit
aller Hochschulen als Daueraufgabe vor-
antreiben soll.
Kooperation zur Informations-
sicherheit (ISKo)
In der Kooperation ISKo soll das Manage-
ment der Informationssicherheit gerade
dort, wo Synergieeffekte zu erwarten sind,
kontinuierlich und gemeinsamen verbes-
sert werden. Denn die grundlegende Ko-
operationsidee ist ja ein möglichst scho-
nender Ressourceneinsatz, geschaffen
durch die Zusammenarbeit der Hochschu-
len untereinander. Auf Basis gleichartiger
Anforderungen zu abgestimmten Sicher-
heitsthemen sollen für alle Hochschulen
möglichst gleichermaßen anwendbare Ba-
siskonzepte und Lösungen entwickelt wer-
den. Ebenso sollen Erfahrungen bei der An-
wendung von Sicherheitsmaßnahmen und
im Umgang mit Sicherheitsvorfällen mit-
einander ausgetauscht werden, um wir-
kungsvolle Prävention zu schaffen.
In diesem Sinne sollen die zu benennenden
CISOs sowie die Datenschutzbeauftragten
der teilnehmenden Hochschulen als Team
zusammenarbeiten und wesentlich dazu
beitragen, dass die oben genannten Ziele
der Kooperation verbindlich verfolgt wer-
den. Dieses Team soll die Bezeichnung IS-
Ko-Team erhalten. Das ISKo-Team soll sich
eine Geschäftsordnung auf Basis des Ko-
operationsvertrages geben.
Mitglieder von ISKo sind zur aktiven Ko-
operation und Umsetzung der gemeinsa-
men Ziele in ihrer Hochschule verpflich-
tet. Die Verantwortung für die Informati-
onssicherheit verbleibt dabei bei den je-
weiligen Hochschulleitungen. M

Das „Managementsystem für Informationssicherheit“ (ISMS)

Informationen sind das Kerngeschäft einer jeden Hochschu-
le. Forschung generiert Informationen, Lehre und Weiterbil-
dung vermitteln Informationen. Auch in der Verwaltung und
Organisation der Hochschulen in NRW spielen Informationen
eine zentrale Rolle. Sie werden von den zahlreichen Profes-
sorinnen bzw. Professoren, Lehrbeauftragten, weiteren Be-
schäftigten sowie den Studierenden erstellt und bearbeitet.
Informationssicherheit ist nicht allein Voraussetzung für den
Erfolg in Lehre, Forschung und Weiterbildung, sondern stellt
sich für viele Prozesse in der Wissenschaft zunehmend als
Grundlage dar. Nicht zuletzt ist Informationssicherheit auch
Bedingung für die gesetzeskonforme Arbeit von und an Hoch-
schulen. Betroffen sind davon alle Informationen, die erho-
ben, genutzt und weitergegeben werden.

Informationen sind zum Beispiel Forschungsergebnisse, Prü-
fungsdaten, Finanz- oder Personaldaten. Sehr oft handelt
es sich dabei auch um personenbezogene Informationen.
Die Mitglieder und Angehörigen der Hochschulen sind da-
mit gleichzeitig Betroffene personenbezogener Daten und
Akteure der Informationsverarbeitung.
Die Schutzziele der Informationssicherheit beziehen sich auf
unterschiedliche Arten von Daten und Zustände, die abgesi-
chert werden müssen. Hierbei spielen Fragen des Schutzes
vor Missbrauch persönlicher Daten genauso eine Rolle wie
die Gewährleistung der informationellen Selbstbestimmung
der Hochschulangehörigen, der Vertraulichkeit und Integri-
tät von Daten und Kommunikationsvorgängen oder der Ver-
fügbarkeit, etwa durch Verhinderung von Systemausfällen.
Ebenfalls gilt es, die Authentizität, Überprüfbarkeit und Ver-
trauenswürdigkeit von Daten sicherzustellen.
Die Komplexität dieser Aufgabe ist geprägt von der zuneh-
menden Abhängigkeit der meisten Arbeitsabläufe von der IT,
ihrer schnellen Entwicklung und den immer kürzeren Lebens-
zyklen der Anwendungen und Systeme. Zusätzlich haben die
Möglichkeiten, die die neuen Medien und soziale Netzwer-
ke bieten, zu einem veränderten Nutzungs- und Kommuni-
kationsverhalten geführt. Hochschulen und ihre Angehöri-
gen vernetzen sich mit Hochschulen, Unternehmen und an-
deren Organisationen regional und global.
Die Sicherung der Qualität, Zuverlässigkeit und Nachhaltig-
keit der Informationsverarbeitung an den Hochschulen er-
fordert ein bewusstes und umsichtiges Handeln aller. Eine
konsequente und geeignete Anwendung der Informations-
sicherheit und des Datenschutzes bietet hierzu Hilfestellun-
gen und Vorgaben.
30 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
 SICHERHEIT | DFN Mitteilungen Ausgabe 84 | 31

Sicherheit
Audit der DFN-PKI
von Jürgen Brauckmann, Dr. Ralf Gröper

Sicherheit aktuell
von Heike Ausserfeld, Dr. Ralf Gröper
32 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT

Audit der DFN-PKI

Im vergangenen Jahr hat die DFN-PKI einen weiteren großen Schritt nach vorne ge-
macht: Die Zertifizierungsdienste der DFN-PKI im Sicherheitsniveau „Global“ wurden
nach einem umfangreichen Auditprozess erfolgreich gemäß dem ETSI-Standard TS 102
042 zertifiziert. Hierdurch kann das hohe Sicherheitsniveau der DFN-PKI auch Dritten
gegenüber nachvollziehbar dargestellt und so die Browserverankerung der ausgestell-
ten Zertifikate für die Zukunft sichergestellt werden.

Text: Jürgen Brauckmann (DFN-CERT GmbH), Dr. Ralf Gröper (DFN-Verein)

Foto: © RioPatuca Images - Fotolia.com

 SICHERHEIT | DFN Mitteilungen Ausgabe 84 | 33

Hintergrund Die Root-Integration des Sicherheitsniveaus „Global“ der DFN-

Digitale Zertifikate aus der DFN-PKI sind an vielen Einrichtun-
gen im DFN nicht mehr wegzudenken. Von der Absicherung von
Webservern per HTTPS über die Signatur und Verschlüsselung
von E-Mails per S/MIME bis zu chipkartenbasierten Authentifi-
zierungsmechanismen für Mitarbeiter und Studierende spielen
Zertifikate eine entscheidende Rolle. Hierfür wurde der Dienst
über viele Jahre entwickelt und immer wieder veränderten Ge-
gebenheiten angepasst.
Entwicklung
Die DFN-PKI begann mit dem 1996 gestarteten Projekt „PCA im
DFN – Aufbau einer Policy Certification Authority für das Deut-
sche Forschungsnetz“ an der Universität Hamburg. Im Projekt
wurde zunächst davon ausgegangen, dass praktisch alle Einrich-
tungen im DFN ihre Zertifizierungsstellen selbst betreiben wür-
den. Daher lag der Schwerpunkt der Arbeit auf der Ausstellung
von CA-Zertifikaten und der Bereitstellung von Unterlagen zum
PKI wurde 2007 durch eine Verkettung mit der „Deutsche Tele-
kom Root CA 2“ umgesetzt. Hierdurch benötigt der DFN keine ei-
gene „Root im Browser“, sondern erbt diese Eigenschaft durch
die bereits browserverankerte Telekom CA.
Struktur der DFN-PKI im Sicherheitsniveau Global
Die Browserverankerung der DFN-PKI erfolgt über ein Wurzelzer-
tifikat der T-Systems (Deutsche Telekom Root CA 2), von dem ein
Sub-CA-Zertifikat für unsere PCA (DFN-Verein PCA Global – G01)
ausgestellt wurde. Die Struktur ist in Abbildung 1 dargestellt.
Von der PCA sind dann die einzelnen CAs für die teilnehmenden
Einrichtungen ausgestellt – derzeit sind dies knapp 350. Die ei-
gentlichen End-Entity-Zertifikate, also z.B. Server- und Nutzerzer-
tifikate, werden dann schließlich von diesen CAs ausgestellt.
Deutsche Telekom
Root CA2
Legende

Aufbau einer eigenen CA, wie z.B. dem DFN-PCA Handbuch „Auf- CA-Zertifikat

bau und Betrieb einer Zertifizierungsinstanz“. Die ersten Policy-

Dokumente wurden 1997 fertiggestellt, und regeln hauptsäch- DFN-Verein PCA End-Entity-Zertifikat
Global - G01
lich das Ausstellen von CA-Zertifikaten und die Anforderungen
an von einer Einrichtung selbst betriebene CA. Die Ausstellung
von Zertifikaten für Anwender, die noch keine eigene CA betrei-
ben, war aber ebenfalls schon vorgesehen.
Universität Forschungszentrum
HS Pellworm
Musterstadt Beispielhausen
Nachdem sich im Laufe der Zeit herausstellte, wie groß der tech-
nische und organisatorische Aufwand zum Betrieb einer eigenen
Zertifizierungsstelle in der Praxis wirklich ist, stellte der DFN-
GRP:
Verein dann ab 2005 eine Erweiterung des Konzepts vor: Mit der www.hs-pellworm.de
www.hs-pellworm.de
www.hs-pellworm.de
Max
Max Mustermann
MaxMustermann
Mustermann
GRP:
GRP:
Serveradministration
Serveradministration
Serveradministration
neuen Zertifizierungsrichtlinie vom Februar 2005 konnten in der
DFN-PKI die Aufgaben der Registrierungs- und der Zertifizierungs-
stelle von unterschiedlichen Parteien wahrgenommen werden. Abb. 1: Struktur der DFN-PKI „Global“
Dadurch konnten die Einrichtungen im DFN die technisch kom-
plexen und personalintensiven Aufgaben eines CA-Betriebs an Neue Anforderungen an browserverankerte CAs
die DFN-PCA abgeben und nur die Aufgaben selbst wahrnehmen,
die sinnvollerweise bei ihnen verbleiben sollten, wie z.B. die Iden- Angriffe auf Zertifizierungsstellen
tifizierung von Zertifikatinhabern. Mit diesem neuen Konzept War sichere Kommunikation Anfang der neunziger Jahre noch ein
konnte der Aufwand zur Nutzung der DFN-PKI deutlich gesenkt Hobby von begeisterten Informatikern, so ist die verschlüsselte
werden, so dass die Zahl der Teilnehmer und der ausgestellten und authentische Übermittlung von Daten inzwischen Grundvo-
Zertifikate deutlich stieg. raussetzung für praktisch alle ernstzunehmenden Anwendun-
gen. Daher stehen SSL, X.509-Zertifikate und CAs als System zur
Root-Integration Kommunikationssicherung seit einigen Jahren verstärkt im Blick-
Ein weiterer Grund für den Erfolg der DFN-PKI ist die Browser- punkt, z.B. durch Vorträge auf der Blackhat-Konferenz wie „New
verankerung der ausgestellten Zertifikate durch die Root-Inte- Tricks for Defeating SSL in Practice“ von Moxie Marlinspike. Es
gration. Nur so können Betriebssysteme und Webbrowser auto- lassen sich drei Themenbereiche unterscheiden, die besonderes
matisch die Vertrauenswürdigkeit der Zertifikate überprüfen. öffentliches Interesse finden:
Andernfalls würden Warnmeldungen die Nutzer verunsichern
und das einfache „Wegklicken“ dieser Warnungen das Vertrau- • Fehler in den zugrundeliegenden (kryptographischen)
ensniveau unterlaufen. Protokollen
34 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT
• Lücken in Anwendungssoftware
• Sicherheitslücken bei CAs
In allen drei Bereichen gab es spektakuläre Veröffentlichungen,
z.B. die sogenannte BEAST Attacke im Herbst 2011, die mit einem
Angriff auf die kryptographischen Grundfunktionen von TLS 1.0
die Entschlüsselung von Teilen von verschlüsseltem Netzwerk-
Traffic ermöglicht. Diese kryptographischen Angriffe betreffen
aber nicht die zugrundeliegende RSA-Verschlüsselung und so
gab es jeweils schnelle Abhilfe durch entsprechende Updates
für die beteiligte Software.
Besonders viel Aufsehen haben aber einige verheerende Angrif-
fe auf browserverankerte CAs in den Jahren 2011 und 2012 er-
regt, bei denen nicht autorisierte Zertifikate ausgestellt wurden,
die dann auch zum Abhören vermeintlich sicher verschlüsselter
Verbindungen eingesetzt wurden. Im Nachgang dieser Angriffe
stellte sich heraus, dass teilweise haarsträubende organisatori-
sche und technische Mängel bei den betroffenen CAs diese An-
griffe ermöglichten.
So wurde am 17. März 2011 eine externe Registrierungsstelle
von Comodo kompromittiert und unautorisierte Zertifikate für
Foto: © PaulFleet - iStockphoto.de
u.a. login.live.com und mail.google.com ausgestellt. Durch ei-
ne schnelle Reaktion von Comodo wurden die Zertifikate in Zu-
sammenarbeit mit den Browserherstellern innerhalb weniger
Stunden gesperrt.
Im Juni 2011 musste mit StartSSL eine weitere CA für mehrere Ta-
ge ihren Betrieb einstellen, ohne dass die betreffende Firma die
Ursache der Betriebseinstellung kommunizierte.
Im August 2011 wurde dann bekannt, dass die niederländische
CA DigiNotar für mehrere Wochen kompromittiert war, und meh-
rere hundert unautorisierte Zertifikate, u.a. wieder für google.
com, ausgestellt wurden. DigiNotar stellte nicht nur normale
SSL-Zertifikate aus, sondern war auch eine Zertifizierungsstel-
le für qualifizierte Zertifikate für eGovernment-Services in den
Niederlanden. Der Einbruch scheint durch ein veraltetes Content
Management System ermöglicht worden zu sein. Die erbeuteten
Zertifikate von DigiNotar wurden nachweislich für Man-in-the-
middle-Angriffe auf Internet-Nutzer im Iran verwendet, um de-
ren E-Mail-Kommunikation über Google Mail abzuhören. DigiNo-
tar wurde als vertrauenswürdige CA aus allen Webbrowsern per
Software-Update entfernt und ging wenig später in die Insolvenz.
Für all diese Angriffe gibt es sogar eine Art Bekennerschreiben

auf pastebin.com. Dort wurde auch behauptet, dass eine weite-
re CA namens GlobalSign komplett gehackt wurde. Hier stellte
sich aber heraus, dass „lediglich“ der Webauftritt, nicht aber die
eigentliche CA-Infrastruktur kompromittiert wurde.
Organisatorische Unzulänglichkeiten
Nach den gezielten Angriffen wurden weitere Vorfälle bekannt,
die ihre direkte Ursache in organisatorischen Unzulänglichkei-
ten hatten: Anfang November 2011 musste eine malaysische CA
zugeben, dass sie mehrere Zertifikate mit zu schwachen Schlüs-
seln (512 Bit RSA!) und mit fehlerhaften Zertifikatnutzungen aus-
stellte. Auch diese CA wurde aus Webbrowsern entfernt.
Ende Januar 2012 wurde bekannt, dass eine im Browser veran-
kerte CA namens TrustWave mindestens ein Zertifikat verkauft
hat, mit dem in Produkten zur Data Loss Prevention ein Man-in-
the-middle-Angriff auf Nutzer ermöglicht wurde.
Im Dezember 2012 entdeckte das Security Team von Google ein
Zertifikat, das von der CA Turktrust ausgestellt wurde, und mit
dem ein Man-in-the-middle-Angriff möglich gewesen wäre. Es
stellte sich heraus, dass aufgrund eines Konfigurationsfehlers
in der CA ein eigentlich für Webserver gedachtes Zertifikat auch
als Sub-CA-Zertifikat nutzbar war und anscheinend versehentlich
in einer SSL Inspection Appliance eingesetzt wurde.
Turktrust und TrustWave konnten darlegen, dass es sich um ein-
malige Vorfälle handelte, und es wurde vermutlich auch niemand
geschädigt. Daher behielten beide CAs ihre Browser-Verankerung.
Reaktion der Betriebssystem- und Browserhersteller
Die beschriebenen Vorfälle fanden ein großes öffentliches Echo.
Auch abseits der Fachpresse erschienen Berichte über das Thema
und brachten es so in den Blickpunkt einer breiten Öffentlichkeit.
Als Reaktion auf die Angriffe und Unzulänglichkeiten verschärf-
ten die Betriebssystem- und Browserhersteller die Anforderun-
gen ihrer jeweiligen Root-CA-Programme. Die meisten Hersteller
haben dabei zum einen ihre eigenen Regeln verändert und der
neuen Bedrohungslage angepasst, und zum anderen die „Base-
line Requirements“ des CA/Browser-Forums (siehe Kasten) als
verbindlich vorgeschrieben.
Die T-Systems als Betreiber der Root-CA der DFN-PKI muss die-
se Anforderungen an ihre Sub-CAs und damit auch an den DFN-
Verein weiterreichen.
Zwei Änderungen betreffen die DFN-PKI im Besonderen: Ers-
tens mussten früher Sub-CAs unterhalb von im Browser ver-
ankerten Root-CA nicht nach einem vorgegebenen Standard
auditiert werden. Das hat sich jetzt geändert, auch Sub-CAs
benötigen nun ein externes Audit durch einen akkreditierten
SICHERHEIT | DFN Mitteilungen Ausgabe 84 | 35
Auditor nach einem vorgegebenen Standard.
Und zweitens müssen die „Baseline Requirements“ eingehalten
werden, was kleinere Anpassungen an den Prozessen und der
Technik der DFN-PKI zur Folge hatte.
ETSI und Webtrust
In den letzten 15 Jahren haben sich mehrere Verfahren heraus-
gebildet, nach denen der Betrieb eine CA auditiert werden kann.
Betriebssystem- und Browserhersteller verlangen immer ein Au-
dit der bei ihnen verankerten CAs nach einem von mehreren ge-
bräuchlichen Standards. Mozilla akzeptiert beispielsweise fol-
gende Standards:
• ETSI TS 101 456 „Electronic Signatures and Infrastructures
(ESI); Policy requirements for certification authorities issu -
ing qualified certificates“
• ETSI TS 102 042 „Policy requirements for certification
authorities issuing public key certificate“
• ISO 21188:2006 „Public key infrastructure for financial
services – Practices and policy framework“
• WebTrust „Principles and Criteria for Certification
Authorities 2.0“
• WebTrust „SSL Baseline Requirements Audit Criteria V1.1“
• WebTrust „Principles and Criteria for Certification
Authorities – Extended Validation Audit Criteria 1.4“
Diesen Standards ist gemein, dass es sich um umfangreiche Re-
gelwerke handelt, in denen Leitlinien zum Zertifizierungsbe-
trieb in abstrakter Form aufgelistet sind. Im Rahmen eines Au-
dits muss dann eine Abbildung zwischen diesen Leitlinien und
den tatsächlich existierenden Verfahren der untersuchten CA
gefunden werden. Dabei muss nicht nur die Policy betrachtet
werden, sondern die gesamte Dokumentationsstruktur: Inter-
ne Betriebshandbücher, Administrationsdokumente, Dokumen-
te für Zertifikatinhaber, Risikoanalysen, Zertifikatantragsformu-
lare und vieles mehr.
Es ist nicht zu erwarten, dass jede Leitlinie sofort eine offen-
sichtliche Entsprechung in der Dokumentation hat, und so muss
zu jedem Punkt aus den Audit-Standards einzeln argumentiert
werden, wieso dieser abgedeckt ist.
Ablauf des Audits der DFN-PKI
Klärung „Audit nach welchem Standard?“
Am Anfang eines Auditprozesses steht die Frage nach dem Stan-
dard, nach dem das Audit durchgeführt werden soll. Im Fall der
DFN-PKI ergeben sich die Optionen aus den Anforderungen der
Root-CA Programme der Browserhersteller (siehe oben). In Fra-
36 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT
ge kommen aus diesen Optionen nur ETSI TS 102 042 sowie Web-
Trust „Principles and Criteria for Certification Authorities 2.0“,
da die anderen Standards nur für CAs mit speziellen Aufgaben
bzw. für CAs zur Ausstellung von Extended Validation Zertifika-
ten geeignet sind.
Im Jahr 2011 wurde mit der TÜV Informationstechnik GmbH (TÜ-
ViT) ein Audit nach ETSI TS 102 042 gestartet. Dieser Standard ist
zur Auditierung der DFN-PKI sehr gut geeignet, da der Fokus des
Audits auf den technischen und organisatorischen Sicherheits-
maßnahmen im CA-Betrieb und der Konformität der Policy liegt.
Erstes Voraudit
Der Auditierungsprozess der DFN-PKI begann Mitte 2011 mit ei-
nem ersten Voraudit. Hierbei wird die bestehende Situation vom
Auditor mit dem Ziel geprüft, Abweichungen vom Standard zu
erkennen und eine entsprechende Liste zu erstellen. Im Audit
werden die Aspekte „Policy“, „Bauliche Sicherheit“ und „IT-Si-
cherheit“ getrennt betrachtet.
Um eines vorwegzunehmen: Das Ergebnis des ersten Voraudits
war sehr positiv und die DFN-PKI hat vom TÜViT einen sehr gu-
ten Ausgangszustand bescheinigt bekommen. Der Großteil der
festgestellten Abweichungen vom Standard folgte nicht aus ei-
nem mangelhaften Sicherheitsniveau der DFN-PKI, sondern da-
raus, dass viele Dinge zwar anders gemacht wurden, als es im
ETSI-Standard vorgesehen ist, nicht aber schlechter. Das Ergeb-
nis des ersten Voraudits soll hier anhand von einigen Beispie-
len erläutert werden.
Die Policy einer PKI wird vom Auditor mit dem zugrundeliegenden
Prüfstandard verglichen. Hierbei muss der Prüfer für jede Anfor-
derung aus dem Standard eine Entsprechung beim Prüfling fin-
den. Im Bereich Policy mussten nach der ersten Sichtung der Do-
kumente fast 100 Punkte einzeln mit TÜViT abgeklärt werden, z.B.:
• „Im CP, CPS fehlt gemäß ETSI 7.1 a) der Verweis auf ETSI TS
102 042 und die zugehörige certificate policy.“
• „Im CP/CPS fehlt gemäß ETSI 7.2.5 a) die Angabe, dass
CA-Schlüssel nicht für andere Zwecke verwendet werden.“
• „Wie wird der Zertifikatnehmer nach ETSI 7.3.6 f) darüber
informiert, dass eine Sperrung seines Zertifikates erfolgt ist?“
Die allermeisten Punkte konnten entweder direkt geklärt wer-
den oder benötigten lediglich eine kurze Ergänzung der Beschrei-
bung. Nur bei zehn Punkten mussten tatsächlich Prozesse oder
Technik leicht modifiziert werden.
Im Bereich „Bauliche Sicherheit“ untersuchte TÜViT in erster Linie
die Brand- und Einbruchschutzmaßnahmen der Räumlichkeiten,
in denen die CA-Infrastruktur betrieben wird. Die zu beantwor-
tenden Fragen betrafen hauptsächlich Nachweise für bereits ge-
troffene Maßnahmen, die noch beschafft werden mussten. Na-
türlich mussten auch kleinere Ergänzungen der Infrastruktur
vorgenommen werden wie z.B. zusätzliche Brandmelder oder
ein weiteres Schloss für einen Schaltkasten. Darüber hinaus wur-
den Sensoren zur Brandfrühesterkennung eingebaut, die bereits
auslösen, wenn am anderen Ende des Raumes mit einem Lötkol-
ben gearbeitet wird.
Der Bereich „IT-Sicherheit“ umfasst alle Sicherheitsmaßnahmen
auf Netzwerk- und Server-Ebene. Es werden sowohl die organisa-
torischen als auch die technischen Aspekte betrachtet, beispiels-
weise das Patch-Management, die Netzwerk- und Firewallkonfi-
guration, die organisatorischen und technischen Maßnahmen
zur Begrenzung des administrativen Zugriffs auf Server. In die-
sem Bereich waren am wenigsten Fragen der Auditoren zu klären.
Neue Policy 2.3 der DFN-PKI im Sicherheitsniveau Global
Nach dem ersten Voraudit musste die DFN-PKI aufgrund der An-
forderungen der Browser- und Betriebssystemhersteller erst ein-
mal die Baseline Requirements des CA/Browserforums umset-
zen. Hierzu musste neben einigen technischen Änderungen bis
zum 1. Juli 2012 eine neue Policy in Kraft gesetzt werden, die die
entsprechenden Umsetzungen der Anforderungen enthält. Hier-
bei wurde gleichzeitig ein Großteil der aufgrund der Erkenntnis-
se aus dem ersten ETSI-Voraudit notwendigen Änderungen mit
berücksichtigt. Die Policy in der Version 2.3 wurde am 26. Juni
2012 in Kraft gesetzt.
Die auffälligsten Änderungen betreffen die Verwendung von Be-
griffen in der Policy. Dies wurde notwendig, da in ETSI TS 102 042,
aber auch in den Baseline Requirements, die Verwendung be-
stimmter Begriffe genau definiert ist, und die DFN-PKI hier teil-
weise andere Bezeichnungen verwendete oder in einer etwas
anderen Bedeutung eingesetzt hat:
• Die Registrierungsstellen (RA) bei den Teilnehmern der
DFN-PKI heißen nun Teilnehmerservice, die dort arbeiten-
den Personen Teilnehmerservice-Mitarbeiter (bisher: RA-
Operator).
• Die einzige Registrierungsstelle (engl. Registration Autho-
rity) der DFN-PKI wird von der DFN-PCA selber in Hamburg
betrieben.
• Aus dem Zertifikatnehmer wird der Zertifikatinhaber (engl.
Subject)
• Der Anwender heißt nun „Teilnehmer“ (engl. Subscriber).
• Darüber hinaus wurden die RA-Operatorzertifikate, welche
zur Authentifizierung der Mitarbeiter mit Prüfaufgaben
(wie die persönliche Identifizierung von Antragstellern)
dienen, auf persönliche Zertifikate anstelle der vorher ver-
wendeten Gruppenzertifikate umgestellt.
 SICHERHEIT | DFN Mitteilungen Ausgabe 84 | 37

Weitere wichtige Änderungen, die auch jede Einrichtung be- len Gründen leider noch nicht in die Version 2.3 aufgenommen
treffen, sind: werden konnten. Hierfür wurde am 15. November 2012 eine wei-
tere überarbeitete Policy in Kraft gesetzt. Neben einigen verfei-
• Zertifikate mit lokalen Hostnamen oder internen IP-Adres- nerten Formulierungen ist die einzige inhaltliche Änderung der
sen dürfen nur noch mit einem Ablaufdatum bis Oktober zusätzliche und formal notwendige Satz „Die DFN-PCA und alle
2015 ausgestellt werden. Nach diesem Termin gibt es keine ihre nachgeordneten CAs (Sub-CAs) erfüllen die Anforderungen
Zertifikate mit lokalen Hostnamen oder internen IP-Adres- von ETSI TS 102 042 nach der LCP Policy.“
sen mehr in der DFN-PKI (und auch nicht von anderen Zer-
tifizierungsstellen, die im Browser verankert sind). Audit
• Viele Prüfungen sind nach 39 Monaten zu wiederholen, Das eigentliche Audit lief ähnlich ab wie die Voraudits: Die Prü-
z.B. persönliche Identifizierungen oder der Nachweis über fer vom TÜViT prüften zuerst die Papierlage, also in erster Linie
den Besitz an einer Domain, die in Zertifikaten erscheint. die Policy, aber auch die anderen relevanten Dokumente wie
• Bisher gab es für jede teilnehmende Einrichtung ein ei- „Pflichten der Teilnehmer“ oder „Informationen für Zertifikatin-
genes Certification Practice Statement (CPS). Dieses wird haber“. In einem anschließenden Workshop wurden wieder of-
jetzt nicht mehr benötigt und durch ein gemeinsames CPS fene Fragen geklärt. Diesmal konnten alle Fragen des TÜViT ab-
sowie die neuen Dokumente „Informationen für Zertifikat­ schließend beantwortet werden.
inhaber“ und „Pflichten der Teilnehmer“ ersetzt.
In einer beispielhaft durchgeführten Zertifikatbeantragung wur-
Darüber hinaus gab es viele kleinere Änderungen, die beispielswei- de überprüft, ob die tatsächlichen Prozesse auch den in der Poli-
se die Aufbewahrungsfristen von Papierdokumenten betreffen. cy definierten entsprechen. Hierzu wurde im Beisein des Prüfers
ein Zertifikat beantragt und der gesamte Prüfprozess bis zur Aus-
Zweites Voraudit
Im zweiten Voraudit im Jahr 2012 wurde die DFN-PKI erneut vom
TÜViT geprüft. Da die DFN-PKI nun bereits an die Anforderungen
aus ETSI angepasst war, war ein Prüfergebnis mit deutlich weni-
ger Fundstellen zu erwarten. Trotzdem hatte die Liste der offenen
Punkte im Bereich „Policy“ immer noch fast siebzig Einträge, al-
so nur ungefähr ein Drittel weniger als im ersten Voraudit. Dies
war zunächst überraschend. Im Workshop mit dem TÜViT stell-
te sich aber heraus, dass es sich fast ausschließlich um Nachfra-
gen zur Policy handelte, die sich schnell klären ließen. An einigen
Stellen wurde die Policy darauf hin noch ein wenig klarer formu-
liert, faktische Änderungen waren aber nicht mehr notwendig.

Bei der Prüfung der IT-Sicherheit ergaben sich keine größeren

Auffälligkeiten. Einziger „Höhepunkt“: Bei Netzwerkscans wur-
den zwei Webserver mit gesperrtem bzw. abgelaufenem Server-
zertifikat gefunden. Wir konnten TÜViT erklären, dass es sich da-
bei um unsere beiden Testserver https://revoked-demo.pca.dfn.
de/ und https://expired-demo.pca.dfn.de/ handelt, die zum Tes-
ten des Verhaltens von Clientsoftware bei gesperrten oder ab-
gelaufenen Zertifikaten dienen – also mit voller Absicht ungül-
tige Zertifikate ausliefern.

Das Fazit des zweiten Voraudits war, dass die DFN-PKI für das
eigentliche Audit bereit ist und keine weiteren Voraudits not-
wendig waren.

Neue Policy 3.0 der DFN-PKI im Sicherheitsniveau Global

Für das Audit der DFN-PKI mussten nun noch einige Änderun- Abb. 2: Das Zertifikat über die Erfüllung der Anforderungen nach ETSI
gen in der Policy der DFN-PKI umgesetzt werden, die aus forma- TS 102 042
38 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT
stellung des Zertifikats durchgeführt. Dies wurde einmal bei der
DFN-PCA in Hamburg selber und am Ende des Audits noch ein-
mal bei einem Teilnehmer der DFN-PKI vor Ort durchgeführt. Die
IT-Sicherheit wird durch die theoretische Bewertung der Sicher-
heitsmaßnahmen, aber auch durch konkrete Netzwerkscans und
Penetration Tests überprüft.
Am Ende des dreitägigen Vor-Ort Audits wurde vom Prüfer be-
reits vorab das Bestehen in Aussicht gestellt. Das formale positi-
ve Ergebnis war erst einige Zeit später verfügbar: Der TÜViT muss
nach einem Audit erst noch interne Qualitätssicherungsmaß-
nahmen durchführen, bei denen ein am bisherigen Audit nicht
beteiligter Mitarbeiter das gesamte Prüfergebnis noch einmal
auf Plausibilität prüft. Diese interne Prüfung wird dann in einem
formalen Akt mit der auch hier sogenannten Zertifizierung ab-
geschlossen, und es wird sogar ein Zertifikat ausgestellt: Eine
Urkunde mit einer Unterschrift des Leiters der Zertifizierungs-
stelle (nicht zu verwechseln mit einer CA, die digitale Zertifika-
te ausstellt). Dieser letzte Schritt konnte dann Anfang Dezem-
ber 2012 abgeschlossen werden.
Gültigkeit des Audits
Jedes Zertifikat zu einem Audit hat nur eine beschränkte Gül-
tigkeit von einem Jahr. Vor Ablauf des Jahres muss in einem er-
neuten Audit-Prozess nachgewiesen werden, dass die Prozesse
der CA nicht inzwischen vom Prüfstandard abweichen. Deshalb
wird auch im Herbst 2013 wieder ein Audit bei der DFN-PCA statt-
finden. Im Prinzip sollte dieses Re-Audit keinerlei Überraschun-
gen bieten und mit einem relativ geringen Aufwand und vor al-
lem ohne weiteren Aufwand bei den Teilnehmern der DFN-PKI
zu absolvieren sein.
Vorteile für DFN-Anwender
Wo bringt das Audit jetzt Vorteile? Schließlich war der Auditpro-
zess mit nicht unerheblichen Mehraufwänden beim DFN, aber
auch bei den an der DFN-PKI teilnehmenden Anwendern verbun-
den. Notwendige Änderungen wurden zwar so weit wie möglich
in der DFN-PCA intern umgesetzt, um die Aufwände bei den An-
wendern zu minimieren. Trotzdem ließen sich einige Aspekte
nur durch die Änderung von Prozessen bei den Anwendern um-
setzen. Umstellungen durch zwei neue Policy-Versionen, durch
personengebundene Teilnehmerservice-Mitarbeiter-Zertifikate
und durch geänderte Archivierungsfristen haben sicherlich auch
bei den Anwendern für einige Arbeit gesorgt.
Den Mehraufwänden stehen aber viele Vorteile gegenüber: Ge-
rade in diesem sicherheitskritischen Bereich ist es sehr wert-
voll, eine Bestätigung von unabhängiger Seite über die Güte der
Dienstleistung zu haben. Nur eine Überprüfung der Prozesse und
der eingesetzten Technik durch Dritte gewährleistet einen lang-
fristig sicheren Betrieb.
Darüber hinaus entwickeln sich die Anforderungen der Soft-
warehersteller weiter, so dass ein bestandenes Audit Vorausset-
zung für den Selbst-Betrieb einer Zertifizierungsstelle mit Brow-
ser-Verankerung ist. Damit haben wir durch den Audit-Prozess
sichergestellt, dass auch in den kommenden Jahren browser-
verankerte Zertifikate in der DFN-PKI in der gewohnten Flexi-
bilität und in dem hohen Volumen ausgestellt werden können.
Fazit
Trotz der auf den ersten Blick recht langen Dauer von einein-
halb Jahren und dem beträchtlichen Aufwand lief das Audit oh-
ne größere Schwierigkeiten ab, was auch an dem bereits vorher
realisierten hohen Sicherheitsniveau liegt. Dank der engagier-
ten Mitarbeit der DFN-PKI-Teilnehmer konnten auch aufwändi-
ge Schritte wie der Austausch von Teilnehmerservice-Mitarbei-
ter-Zertifikaten in kurzer Zeit durchgeführt werden.
Mit dem Audit und der Zertifizierung nach ETSI TS 102 042 hat
sich die kontinuierliche Weiterentwicklung der DFN-PKI der letz-
ten Jahre fortgesetzt, so dass wir für die Zukunft gut gerüstet
sind. M
„CA/Browser Forum“
Das CA/Browser Forum ist ein Konsortium von Brow-
serherstellern und CA-Betreibern. Das CA/Browser
Forum legt Richtlinien fest, nach denen browserver­
ankerte CAs vorgehen sollen, um ein ausreichendes
Sicherheits- und Vertrauensniveau für SSL-Zertifikate
sicherzustellen. Ursprünglich wurde im CA/Browser
Forum das Vorgehen zur Ausstellung von sogenann-
ten „Extended Validation“-Zertifikaten definiert.
Diese Regelungen hatten somit erst einmal keine Aus-
wirkungen auf die DFN-PKI. Durch die Sicherheitsvor-
fälle der Jahre 2011 und 2012 bei browserverankerten
CAs wurden aber auch die Aktivitäten beschleunigt,
Anforderungen für nicht-EV-Zertifikate zu definieren.
Am 1. Juli 2012 traten diese „Baseline Requirements
for the Issuance and Management of Publicly-Trusted
Certificates“ in Kraft. Die Mitglieder des CA/Browser-
forums verpflichteten sich selber zur sofortigen
Einhaltung, andere CAs wurden anschließend durch
die Anpassung der Root-Programme der Browser­
hersteller hierzu verpflichtet.

Sicherheit aktuell
Text: Heike Ausserfeld, Dr. Ralf Gröper (DFN-Verein)
IPv6 in der DFN-PKI
Im Rahmen der DFN-Betriebstagung wur-
de Anfang März 2009 das neue DFN-CERT
Portal bereitgestellt. Über dieses Portal
erhalten Anwender einfachen Zugriff auf
die Dienste, die im Rahmen des DFN-CERT
zur Verfügung gestellt werden. Im ersten
Schritt wurden die bekannten „Auto-
matischen Warnmeldungen“ funktional
erweitert und in das Portal integriert.
Einen ausführlichen Bericht hierzu gibt es
in diesen DFN-Mitteilungen. M
Interne Hostnamen in der
DFN-PKI
Viele Einrichtungen haben interne Ser-
ver-Strukturen, für die Zertifikate mit
Namen ausgestellt werden, die nur eine
interne Bedeutung haben: Beispielswei-
se CN=exchange.local oder CN=mail, oder
aber interne IP-Adressen wie 10.0.0.1. Bis
2012 konnten diese Namen in der DFN-PKI
und bei kommerziellen Zertifizierungsstel-
len uneingeschränkt verwendet werden.
Dieses Vorgehen ist in Zukunft durch die
Baseline Requirements des CA/Browser Fo-
rums nicht mehr zulässig. Daher werden
seit der Version 2.3 der Policy der DFN-PKI
vom 26.6.2012 Server-Zertifikate mit sol-
chen Namen automatisch nur noch mit ei-
nem Ablaufdatum bis zum 01.11.2015 ausge-
stellt. Bereits ausgestellte Zertifikate die-
ser Art müssen durch die DFN-PCA spätes-
tens am 01.10.2016 gesperrt werden. Diese
Regelung betrifft nicht nur die DFN-PKI,
sondern auch alle anderen CAs mit einer
Browser-Verankerung.
Für die DFN-Anwender bedeutet das, dass
sie ihre internen Dienste, die nicht mit welt-
SICHERHEIT | DFN Mitteilungen Ausgabe 84 |
weit auflösbaren FQDNs oder mit regist-
rierten IP-Adressen versehen sind, ab 2015
nicht mehr mit im Browser verankerten
Zertifikaten versehen können. Ein allge-
meingültiger Migrationspfad für Anwen-
der, die solche Zertifikate verwenden, kann
nicht angegeben werden, aber der DFN und
die DFN-PCA unterstützen die Anwender
natürlich dabei, eine für ihre Einrichtung
passende Lösung zu finden. M
Vertipper-Domains
Dem DFN-CERT wurden im März 2013 meh-
rere bei der Denic registrierte ‚Vertipper‘-
Domains gemeldet. Diese beziehen sich auf
unterschiedliche Einrichtungen und sind
immer in der gleichen Art aufgebaut: rz-*.
de, also beispielsweise „rz-uni-musterstadt.
de“. Die Domains wurden von zwei bekann-
ten Domain-Grabbern registriert und wer-
den hauptsächlich bei Sedo vermarktet. Ei-
ne mögliche Gefahr besteht, falls die Do-
mains auf einen Server zeigen, auf dem
beispielsweise eine Phishing-Seite oder
SSH-Zugang eingerichtet ist und die ein-
gegebenen Daten unbedarfter Nutzer auf-
gezeichnet werden. Die betroffenen Ein-
richtungen wurden vom DFN-CERT infor-
miert und können über das Widerspruchs-
verfahren bei der Denic die Löschung bzw.
Übernahme der Domains beantragen. M
Netzwerkdrucker als
DDoS-Waffe
Im April wurde dem DFN-CERT die Be-
teiligung von mehreren IP-Adressen an
DDoS-Angriffen gemeldet. Die Untersu-
chung zeigte, dass unter diesen IP-Ad-
ressen Drucker und ähnliche Geräte mit
39
(Web-)Konfigurationsschnittstellen vom
öffentlichen Internet heraus erreichbar
waren. Diese Schnittstellen stellen eine
hohe Einbruchsgefahr dar, da sie oftmals
in der Werkskonfiguration mit bekannten
Standard-Benutzernamen und Passwör-
tern versehen sind und zudem häufig aus-
nutzbare Schwachstellen enthalten. Solche
von außen erreichbare Geräte werden mit
hoher Wahrscheinlichkeit angegriffen, da
sie von Suchmaschinen indiziert werden
und somit mittels einer einfachen Such-
maschinen-Abfrage gefunden werden kön-
nen. Mit dem Netzwerkprüfer im DFN-CERT
Portal können Anwender im Voraus erken-
nen, welche Systeme in ihren Netzen von
außen sichtbar sind und so Drucker und
ähnliche Systeme durch entsprechende
Firewall-Regeln gegen derartige Angrif-
fe schützen. M
Kontakt
Wenn Sie Fragen oder Kommentare
zum Thema „Sicher­heit im DFN“ ha-
ben, schicken Sie bitte eine Mail an
sicherheit@dfn.de.
40 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT

Wissenschaftsparagraph geht
in die Verlängerung
Dritter Anlauf für § 52a Urheberrechtsgesetz

Selten wurde eine Vorschrift so heftig und lange diskutiert wie diese: § 52a Urheber-
gesetz (UrhG), in Fachkreisen auch „Wissenschafts- bzw. E-Learning-Paragraph“ ge-
nannt. Für Hochschulen ist er eine nicht mehr wegzudenkende Norm. Der Verlagsin-
dustrie ist er dagegen ein Dorn im Auge. Dessen Reichweite beschäftigt Gerichte seit
Jahren. Nun gewährte der Gesetzgeber eine Verlängerung der Norm bis 2014 – zum
dritten Mal in Folge. Welche Konsequenzen dies unter anderem für den schwelenden
Vergütungsstreit zwischen Wissenschaftseinrichtungen und Verlagsindustrie haben
wird, wird sich innerhalb der nächsten zwei Jahre – hoffentlich – zeigen.

Text: Susanne Thinius (Forschungsstelle Recht im DFN)

Die Vorschrift
§ 52a UrhG erlaubt es als sogenannte „Schrankenregelung des Ur-
heberrechts“ Hochschulen und schulischen Einrichtungen, ver-
öffentlichte Werkteile, Werke geringen Umfangs sowie einzelne
Beiträge aus Zeitungen oder Zeitschriften für einen bestimmt ab-
gegrenzten Kreis von Unterrichtsteilnehmern zum Online-Abruf
(beispielsweise im Intranet) bereitzustellen. Dies muss zum ange-
strebten Zweck geboten und zur Verfolgung nicht kommerzieller
Zwecke gerechtfertigt sein. Für die Bereitstellung muss eine an-
gemessene Vergütung an die Autoren oder stellvertretend die Ver-
wertungsgesellschaften gezahlt werden. Insbesondere E-Learning-
Plattformen profitieren von dieser Vorschrift. Denn § 52a UrhG
ermöglicht Hochschulen, ohne die Zustimmung des Urhebers
dessen Werk im Intranet hochzuladen und Studierenden auf die-
se Weise zur Verfügung zu stellen.
Durch die Instanzen
bar und maximal 10 % eines Werkes zum Lesen und Ausdrucken
für die Nutzer von E-Learning-Plattformen zugänglich gemacht
werden können (siehe dazu ausführlich Herring, „Die Vorschrift
des § 52a Urheberrechtsgesetz – ein Auslaufmodell?“, DFN-Info-
brief Recht 1/2012).
Im Anschluss daran urteilte das Oberlandesgericht Stuttgart
am 4.4.2012 (Az.: 4 U 171/11) jedoch, dass stets eine am Einzel-
fall orientierte Sichtweise hinsichtlich des Umfangs eines Wer-
kes anzusetzen sei und verwarf die Beurteilung anhand fester
Prozent- und Seitenzahlen. Vielmehr sei eine Abwägung zwi-
schen Nutzerinteresse nach öffentlichem Zugang und der
Beeinträchtigung der Rechteinhaber vorzunehmen (eine de-
taillierte Urteilsanalyse findet sich bei Fischer, „Es bleibt alles
anders! OLG Stuttgart zur Reichweite des § 52a Urheberrechts-
gesetz“, DFN-Infobrief Recht 3/2012). Die Rechtsprechung des
Landgerichts Stuttgart wurde damit zum Teil erheblich abge-
ändert.

Das Landgericht Stuttgart hat als erstes Instanzengericht in sei-
nem Urteil vom 27.09.2011 (Az.: 17 O 671/10) die Bedeutung des
§ 52a UrhG für die Wissenschaft und die Notwendigkeit des Zu-
gangs digitaler Studienliteratur hervorgehoben. Noch damals leg-
te das Gericht fest, dass lediglich 3 Seiten eines Werkes speicher-
Verlängerung schubweise
Bereits 2003 wurde § 52a UrhG in das UrhG eingefügt. Die Be-
fürchtungen der wissenschaftlichen Verleger vor unzumutba-
ren Beeinträchtigungen berücksichtigend, wurde die Norm zu-

nächst bis 31.12.2006 befristet. Eine Verlängerung folgte erst-
malig im Jahr 2006 um zwei Jahre und 2008 um weitere vier Jah-
re – bis zum 31.12.2012. Die Auswirkungen der Norm auf die
Praxis konnten trotz mehrfacher Evaluierungen bis dahin nicht
abschließend beurteilt werden.
Nun beschloss die CDU/CSU-Bundestagsfraktion im November
2012 – quasi in letzter Minute vor Fristablauf – einen Gesetz­
entwurf zur Verlängerung des § 52a UrhG bis 31.12.2014.
Grund für die erneute Verlängerung ist neben der Hoffnung auf
Aufklärung der Auswirkungen auf die Praxis auch die Tatsache,
dass sich die Hochschulen und die VG Wort (Verwertungsgesell-
schaft Wort) nicht auf eine Vergütung für die Nutzung der E-Lear-
ning-Materialien einigen können. Ein weiterer wichtiger Aspekt
ist, dass netzgestützte Lehr- und Forschungsstrukturen (in Form
elektronischer Semesterapparate) ermöglicht werden sollen. Die-
ses Ziel wird eben nicht nur durch vertragliche Vereinbarungen
mit den Verlagen direkt erreicht, sondern auch durch die Schran-
kenregelung des § 52a UrhG.
Es wird nun Aufgabe des Bundesgerichtshofes sein, dem lang
anhaltenden Vergütungsstreit ein möglichst schnelles Ende zu
bereiten und Licht ins Dunkel der Reichweite dieses umstritte-
nen Paragraphen zu bringen. Beim Bundesgerichtshof sind mo-
Foto: © Andres Rodriguez - Fotolia.com
RECHT | DFN Mitteilungen Ausgabe 84 | 41
mentan mehrere Musterprozesse anhängig, die es demnächst
zu entscheiden gilt.
Denn fest steht auch, dass die fortwährende Verlängerung der
Norm eine erhebliche Rechtsunsicherheit mit sich bringt, da
viele Wissenschaftseinrichtungen, darunter auch Hochschulen,
den Betrieb der E-Learning-Plattformen nicht verlässlich planen
können. Sie fordern daher die gänzliche Entfristung der Norm.
Die Wissenschaftsverlage dagegen plädieren für eine komplet-
te Abschaffung der Norm.
Konsequenzen für die Hochschulpraxis
Für die Hochschulen bringt die erneute Verlängerung neben
Rechtsunsicherheit aber auch immense Vorteile: Digitale Un-
terstützungsmöglichkeiten in Unterricht und Vorlesungen sind
kaum mehr aus der Wissenschaftswelt wegzudenken. Modernes
Lernen und Forschen wäre ohne die erwähnten technischen und
didaktischen Mittel nicht mehr möglich. Der Wissenschafts-
standort Deutschland würde an Wettbewerbsfähigkeit einbüßen.
Bleibt zu hoffen, dass in den kommenden zwei Jahren eine dau-
erhafte Regelung für Forschung und Lehre geschaffen wird, die
gleichermaßen den Interessen von Wissenschaft sowie Verla-
gen bzw. Autoren dient. M
42 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT

Das Ende für den Newsletter!?

Oberlandesgericht München: E-Mail-Versand mit der Bitte um Bestätigung der
Anmeldung stellt belästigende Reklame dar

Bisher konnte davon ausgegangen werden, dass die Frage, wann die Zusendung von
Newslettern zulässig ist, sich nach dem sogenannten „Double-Opt-In-Verfahren“
bestimmt. Dabei gibt der Adressat zunächst seine E-Mail-Adresse an und erhält dar-
aufhin einen Bestätigungslink zugeschickt, um sicherzustellen, dass er die Eintragung
auch tatsächlich vorgenommen hat. Diese bisherige Praxis hat das Oberlandesge-
richt München mit Urteil vom 27.09.2012 (Az.: 29 U 1682/12) nunmehr in Frage gestellt,
indem es die per E-Mail verschickte Bitte um Bestätigung eines Newsletter-Abos als
belästigende Reklame und somit als Spam angesehen hat. Die Konsequenz dieser
Ansicht wäre, dass das dargestellte Verfahren nicht mehr angewandt werden könnte,
da bereits die Bestätigungs-E-Mail des Anbieters unzulässige Werbung darstellt. An-
derweitige Lösungsvorschläge für den rechtskonformen Versand eines Newsletters
bleibt das Gericht jedoch schuldig. Bedeutet dies das Ende für den elektronischen
Newsletter?

Text: Julian Fischer (Forschungsstelle Recht im DFN)

I. Einleitung durch die Übermittlung der E-Mail-Datenmengen können ggf.

Das Versenden von Newslettern ist auch in Zeiten von Social-
Media (Facebook, Twitter etc.) sowie stets aktualisierter Home-
pageseiten eine der erfolgreichsten Möglichkeiten, um interes-
sierte Nutzer stets auf dem aktuellen Stand zu halten. Mittler-
weile gibt es spezielle Rund-E-Mails zu jedem erdenklichen The-
ma und für jeden Bereich. Durch die Möglichkeit der Mitteilung
neuer Informationen besteht – speziell für Hochschulen – die
Möglichkeit, über jeden Vortrag, jede Vorlesungsänderung oder
kürzlich zur Verfügung gestellte Materialien schnell und einfach
zu berichten.
E-Mail-Versand nur mit Einwilligung
So informativ der Newsletter-Versand auch ist, so lästig kann er
werden, sofern Newsletter verschickt werden, die den Empfän-
ger nicht interessieren oder deren zunehmende Anzahl ganze E-
Mail-Postfächer verstopfen. Mit dem Sichten und Aussortieren
von E-Mails ist unzweifelhaft Arbeitsaufwand verbunden und
zusätzliche Kosten durch den Provider anfallen. Daher muss,
gerade vor dem Hintergrund zunehmender Spam-E-Mails, mehr
denn je die Einhaltung der juristischen Vorgaben Beachtung fin-
den. Insoweit hat der DFN-Verein bereits frühzeitig mit dem weit
verbreiteten Irrtum aufgeräumt, dass Newsletter oder Werbein-
halte auch ohne Zustimmung des Empfängers verschickt wer-
den dürfen (hierzu: Golla, Zwölf hartnäckige Irrtümer, Die neuen
„Klassiker“ der juristischen Fehleinschätzung bei Homepages in:
DFN-Infobrief Recht September 2010, S. 2 – 4). Für den rechtskon-
formen Newsletter-Versand gilt dabei zunächst das sog. „Opt-In-
Verfahren“, wonach der Besteller ausdrücklich in den Erhalt der
E-Mail einwilligen muss. Anderenfalls verhält der Versender sich
wettbewerbswidrig und kann schließlich abgemahnt werden, vgl.
§ 7 Abs. 2 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb)
i. V. m. § 8 Abs. 3 UWG. Der Anbieter eines Newsletters darf da-
her seine Informationen grundsätzlich nur dann verschicken,
wenn er zunächst eine Einwilligung des Empfängers erhalten
hat („Opt-In“).

Foto: © guentermanaus - Fotolia.com
Gefahr der Abmahnung
Zwar stehen Hochschulen nicht zwingend in einem konkreten
Wettbewerbsverhältnis, da sie – was insbesondere auf reine In-
formations-E-Mails zutrifft – nicht versuchen, gleichartige Waren
oder Dienstleistungen innerhalb desselben Endverbraucherkrei-
ses abzusetzen (§ 2 Abs. 1 Nr. 3 UWG). Nichtsdestotrotz besteht
auch bei ihnen über die Vorschriften des Bürgerlichen Gesetz-
buches (§§ 823 Abs. 1, 1004 BGB) die Gefahr der Inanspruchnah-
me auf Unterlassung, verbunden mit einer meist kostspieligen
Abmahnung. Schließlich sind auch abseits wettbewerbsrechtli-
cher Ansprüche noch Ansprüche wegen eines Eingriffs in das all-
gemeine Persönlichkeitsrecht des Postfachinhabers oder, sofern
es sich um Firmenadressen handelt, in den ebenfalls geschütz-
ten Gewerbebetrieb möglich.
RECHT | DFN Mitteilungen Ausgabe 84 | 43
II. Juristische Vorgaben für den Newsletter-Versand
„Double-Opt-In“-Verfahren
Als gute und abgesicherte Methode beim Versand von Newslet-
tern hat sich, in Anlehnung an die juristischen Vorgaben, das
sog. „Douple-Opt-In-Verfahren“ herausgebildet, das vor allem
auch von Seiten der Gerichte als rechtskonform akzeptiert wur-
de. Hierbei handelt es sich um ein sog. doppeltes Einwilligungs-
verfahren, bei der ein interessierter Empfänger zunächst seine
E-Mail-Adresse auf der Homepage des Versenders einträgt und
daraufhin – häufig automatisiert – eine Bitte um Bestätigung
seiner Anmeldung per E-Mail erhält. Damit die einwilligungs-
bedürftige Anmeldung des Newsletter-Dienstes rechtskonform
abgeschlossen werden konnte, bedurfte es noch einer entspre-
chenden Bestätigung von Seiten des Postfachinhabers, indem
er beispielsweise auf einen Aktivierungslink in der E-Mail klickt.
Erst dann durfte der Anbieter sicher sein, dass der Newsletter-
Beitritt auch wirklich vom Adresseninhaber veranlasst worden
ist und dieser in den entsprechenden Verteiler mit aufgenom-
44 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | Recht
men werden möchte. Durch die Rücksendung/Aktivierung der
Bestätigungs-E-Mail konnte der Anbieter schließlich auch den
ihm obliegenden Beweis der Einwilligung erbringen.
Um hierbei dem Grundsatz der Datensparsamkeit gerecht zu
werden, darf in den Abfragefeldern der Newslettereintragung
nur nach der E-Mail-Adresse gefragt werden. Zusätzliche Anga-
ben wie Name, Adresse etc. sind für die Versendung der News-
letter- bzw. Bestätigungs-E-Mail nicht erforderlich und daher da-
tenschutzrechtlich unzulässig.
Austragungsmöglichkeit und Impressumspflicht
Darüber hinaus muss der Besteller jederzeit die Möglichkeit haben,
den Newsletter wieder abzubestellen. Hierzu genügt es, wenn für
ihn am Ende der E-Mail die Option besteht, sich durch Klicken ei-
nes Abmelde-Links wieder aus dem Verteiler austragen zu lassen.
Zu guter Letzt musste noch der Impressumspflicht genüge ge-
tan werden, da es sich bei dem Newsletter um einen Telemedi-
endienst handelt. Das Impressum musste dabei – entsprechend
den hierbei geltenden Vorgaben – über zwei Klicks erreichbar
und jederzeit verfügbar sein (siehe hierzu: Recht im DFN, Wis-
sensbasis, Abs. III, Angebot von abrufbaren Inhalten, Informati-
onspflicht beim Betrieb von Tele- und Mediendiensten (Impres-
sumspflicht)). Gewährleistet werden konnte dies dadurch, dass im
Newsletter ein Link auf die Homepage des Anbieters gesetzt wird.
III. Zusendung der Bestätigungs-E-Mail im
„Double-Opt-In-Verfahren“
Bisherige Rechtsprechung
Bei dem oben dargestellten Verfahren blieb jedoch stets frag-
lich, ob nicht die Zusendung der Bestätigungs-E-Mail im Rah-
men des „Double-Opt-In-Verfahrens“ seinerseits bereits unzuläs-
sig ist. Diese Überlegung und Diskussion beschränkte sich bis-
her allerdings allein auf die juristische Literatur. Auf Rechtspre-
chungsebene schien die Problematik spätestens beantwortet,
als der Bundesgerichtshof (BGH) am Rande eines Urteils vom 10.
02. 2011 (Az.: I ZR 164/09) zur Zulässigkeit von Werbeanrufen er-
klärte, dass derjenige, dessen E-Mail-Adresse mit der vermeint-
lich ihm zugehörigen Telefonnummer elektronisch abgegeben
wurde, um eine Bestätigung seines Teilnahmewunsches per E-
Mail gebeten werden darf.
Amts- (AG Hamburg, Urteil vom 11. 10. 2006, Az.: 6 C 404/06; AG
München, Urteil vom 30. 11. 2007, Az.: 161 C 29330/06) und Land-
gerichte (LG Berlin, Urteil vom 23. 01. 2007, Az.: 15 O 346/06) hat-
ten sich bereits zuvor, speziell für den Bereich der Newsletter-
Anmeldung, für die Zulässigkeit des Zusendens einer Bestäti-
gungs-E-Mail ausgesprochen. Einzige Ausnahme, bei der selbst
der Versand einer Überprüfungs-E-Mail unzulässig blieb, war der
Fall, dass der Versender sicher wusste, dass die E-Mail-Adresse
von jemand anderem eingetragen wurde.
Das Urteil des OLG München
Mit dem oben angegebenen Urteil des OLG München wird die Fra-
ge der rechtlichen Zulässigkeit des Zusendens der Bestätigungs-
E-Mail im Newsletter-Anmeldeverfahren erstmalig auch auf ge-
richtlicher Ebene in Frage gestellt. Dem Urteil lag die Klage einer
Steuerberatungsgesellschaft gegen eine Anlageberatungsfirma
zugrunde. Dabei gaben die Richter – entgegen der Vorinstanz (LG
München, Urteil vom 13. 03. 2012, Az.: 33 O 11089/11) – der Kläge-
rin Recht, indem sie den Versand der E-Mail mit der Bitte um Be-
stätigung der (kostenlosen) Newsletter-Anmeldung als rechtlich
unzulässig einstuften. Das Gericht erklärte, dass es für die Zusen-
dung von E-Mails stets der Einwilligung des Postfachinhabers –
hier der Steuerkanzlei – bedürfe („Opt-In-Verfahren“). Für deren
Vorliegen sei die Anlageberatung beweispflichtig und könne die-
sen Beweis nicht antreten. Daher sei die gleichwohl erfolgte Zu-
sendung sowohl als Wettbewerbsverstoß als auch als Eingriff in
den Gewerbebetrieb einzustufen. Daran könne schließlich auch
die Tatsache nichts ändern, dass es sich um eine E-Mail handele,
mit der zur Bestätigung einer Bestellung im Rahmen des „Doub-
le-Opt-In-Verfahrens“ aufgefordert wird. Diese Vorgehensweise
stelle konsequentermaßen eine unbestellte Dienstleistung dar
und sei folglich als unzulässige Werbung im Sinne des § 7 Abs.
2 Nr. 3 UWG einzustufen. Immerhin verfolge die Beklagte damit
das Ziel, die Erbringung ihrer Dienstleistung (Anlageberatung) zu
fördern. Ebenfalls keine Änderung könne sich aus der Tatsache
ergeben, dass es bei dem Versand der Bestätigungs-E-Mail ledig-
lich um das Bestreben gehe, eine ausdrückliche Einwilligung des
Adressaten für weitere Werbemaßnahmen zu erlangen. Auch die
Bestätigungs-E-Mail sei eine unmittelbar in Zusammenhang mit
der Förderung ihrer Anlageberatungstätigkeit stehende Maßnah-
me. Für das geltende Einwilligungserfordernis sei es nun einmal
auch nicht erforderlich, dass bereits die (Bestätigungs-)E-Mail
selbst eine Werbebotschaft enthalte. Der Aufwand zur Durch-
sicht und Löschung unbestellter E-Mails sei hiervon unabhängig.
Die Zusendung der E-Mail sei insoweit auch deswegen als rechts-
widrig anzusehen, da mit ihr ein unzumutbar belästigender Cha-
rakter einhergehe. Das Gericht betont in diesem Zusammenhang,
dass im Hinblick auf die billige, schnelle und aufgrund der Auto-
matisierung auch arbeitsparende Versendungsmöglichkeit der
E-Mail-Werbung mit einem immer weiteren Umsichgreifen die-
ser Werbeart zu rechnen sei, sofern hier keinerlei Einschränkun-
gen vorgenommen werden.

IV. Einordnung des Urteils und Konsequenz
Das Urteil des OLG München stellt die gesamte bisher ergange-
ne instanzgerichtliche Rechtsprechung zum zulässigen Versand
einer Bestätigungs-E-Mail in Frage. Nach Ansicht der OLG-Rich-
ter lässt sich nicht zwischen einer Bestätigungs-E-Mail und ei-
ner üblichen Werbe-E-Mail differenzieren.
Offensichtlich wollte das OLG München darauf hinweisen, dass
es keinen Unterschied machen dürfe, um welche Art der zuge-
stellten und dann im Postfach befindlichen E-Mail es sich han-
delt, sofern es an einer vorherigen rechtskonform erteilten
Einwilligung fehlt. Anderenfalls würde letztlich zwischen den
transportierten Dateninhalten (Überprüfungs- oder Werbe-
E-Mail) unterschieden, was wiederum zu weiterführenden un-
lösbaren Widersprüchen führen könnte. Das Gericht sieht vor
allem auch den wirksamen Schutz vor zunehmenden Spam-E-
Mails in Frage gestellt, dessen große Bedeutung es an verschie-
denen Stellen des Urteils herausstellt.
Praxisuntauglich
Foto: © Tiniiiii - photocase.de
RECHT | DFN Mitteilungen Ausgabe 84 | 45
Auf der anderen Seite scheinen die Richter die praktische Not-
wendigkeit des Newsletter-Anbieters zu vergessen, sich über die
Bestätigungs-E-Mail Gewissheit darüber zu verschaffen, ob der
Postfachinhaber tatsächlich an der Aufnahme des Newsletter-
Versands interessiert ist. Das Problem liegt darin, dass die meist
auf der Homepage befindliche Eintragungsmaske sich eben nicht
als Einwilligung einstufen lässt, da dort jeder die E-Mail-Adresse
eines beliebigen Postfachinhabers eintragen kann. Der Newslet-
ter-Anbieter darf aus datenschutzrechtlichen Gründen aber kei-
ne anderweitigen (Überprüfungs-)Angaben als die der E-Mail-Ad-
resse vom Nutzer erfragen. Dies führt zu der Konsequenz, dass
er sich auch nur auf diesem Wege die Gewissheit über die Fra-
ge der tatsächlich gewollten Aufnahme in den Newsletter ver-
schaffen kann. Daher besteht für den Versender des Newslet-
ters keine andere Möglichkeit der Überprüfung, als per E-Mail
den Postfachinhaber der angegebenen E-Mail-Adresse um eine
entsprechende Bestätigung zu bitten. Insoweit gehen die Vorga-
ben des OLG München an den praktischen Gegebenheiten vor-
bei. Jeder Anbieter eines Newsletters würde sich der Gefahr aus-
setzen, dass er eine Bestätigungs-E-Mail verschickt, aufgrund
derer er zulässigerweise abgemahnt werden könnte. Dieses Ri-
46 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT
siko würden vermutlich die wenigsten – die ihr Angebot ohne-
hin zumeist als benutzerfreundlichen Service verstehen – ein-
gehen. Am Ende würde der elektronische Newsletter daher qua-
si vor dem Aus stehen.
Alternative: Verzicht auf ein automatisiertes Verfahren
Als denkbare Alternative, die auch mit den Vorgaben der Rich-
ter aus München in Einklang zu bringen wäre, käme die Möglich-
keit in Betracht, auf einen automatisierten Bestellvorgang des
Newsletter-Versandes zu verzichten und das Erfordernis einer
eigenhändigen Bestellung von Seiten des Postfachinhabers ein-
zuführen. Hierdurch wäre die Gefahr gebannt, dass Unbekann-
te durch bloße Angabe der E-Mail-Adresse das Zusenden der Be-
stätigungs-E-Mail auslösen könnten. Diese wäre vor dem Hinter-
grund der ausschließlich individuellen Anforderung auch über-
haupt nicht mehr erforderlich. Inwieweit diese Variante dem,
auf unkomplizierte Eintragung und Versand angelegten, News-
letter dann noch gerecht wird, ist allerdings höchst zweifelhaft.
Schließlich müsste – anstelle eines automatisierten Verfahrens
– jede E-Mail einzeln bearbeitet und die E-Mail-Adressen in den
Newsletter-Versand mit aufgenommen werden. Darüber hinaus
würde mit großer Sicherheit durch die Umstellung die Zahl der
Interessenten deutlich reduziert. Ob Ertrag und Aufwand des
Newsletter-Angebots dann noch in einem vernünftigen Verhält-
nis zueinander stehen, darf stark bezweifelt werden.
Dokumentationsmöglichkeit mittels Logfile ratsam
Hoffnung verspricht daher die zugelassene Revision zum BGH,
der bereits in einem ähnlichen Fall den Versand einer Bestäti-
gungs-E-Mail für zulässig erachtet hat. Eine Änderung dieser
höchstrichterlichen Sichtweise dürfte – vor allem aus Praktika-
bilitätsgründen – nicht zu erwarten sein. Nicht zuletzt wäre ei-
ne Bestätigung der Ansicht des OLG München ein bedenklicher
Rückschritt des Online-Rechts um viele Jahrzehnte. Vor diesem
Hintergrund und der Tatsache, dass es sich bisher um ein äu-
ßerst fragwürdiges Einzelurteil handelt, erscheint eine Verän-
derung des Newsletter-Versands in der Hochschulpraxis nicht
zwingend erforderlich zu sein. Auch hat sich im Anschluss an das
Urteil weder eine Abmahnwelle noch eine Umstellung bei ander-
weitigen (kommerziellen) Newsletter-Angeboten ergeben, bei
denen durch das Bestehen einer Wettbewerbssituation die Ge-
fahr einer Abmahnung als wesentlich höher einzuschätzen ist.
Wichtiger denn je ist in jedem Fall die Dokumentation, um zu-
mindest belegen zu können, dass eine Newsletter-Anforderung
tatsächlich erfolgt ist und dem Versand der Bestätigungs-E-Mail
eine vorherige Aufforderung zu Grunde lag. Dies lässt sich bei-
spielsweise dadurch erreichen, dass die IP-Adresse mittels eines
Logfiles festgehalten wird. Die beklagte Anlageberatungsfirma
konnte einen derartigen Beweis während des gesamten Verfah-
rens jedenfalls nicht erbringen.
V. Fazit
Das Urteil des OLG München lässt sich aus juristischer Sichtwei-
se nicht zwingend als Fehlurteil einstufen. Es macht vielmehr
darauf aufmerksam, dass jeder E-Mail-Versand der vorherigen
Einwilligung des Postfachinhabers bedarf. Konsequenterweise
gilt dieses Erfordernis auch für den Versand einer E-Mail, mit der
der Postfachinhaber aufgefordert wird, eine zuvor im Newslet-
ter-Angebot eingetragene E-Mail-Adresse zu bestätigen.
Allerdings scheinen die Richter die Konsequenz zu ignorieren,
dass dem Anbieter eines Newsletters keine andere Daten als die
der E-Mail-Adresse zur Verfügung stehen und er sich demzufolge
auch nur auf diesem Weg Gewissheit darüber verschaffen kann,
ob der Postfachinhaber tatsächlich in den Newsletter-Versand
aufgenommen werden möchte. Das dahinter stehende Einwilli-
gungserfordernis kann nicht dazu führen, dass jeglicher Verkehr
auf elektronischem Wege derart risikobehaftet ist, dass er fak-
tisch durch die Gerichte verhindert wird. Es muss möglich sein,
erwünschte E-Mails und Newsletter weiterhin an Interessenten
zu versenden und gleichzeitig die missbräuchliche Eintragung
in E-Mail-Verteilern herauszufiltern.
Das insoweit bislang für rechtsprechungskonform angesehene
„Double-Opt-In-Verfahren“ hat sich vor diesem Hintergrund ab-
solut bewährt. Somit bestand auch überhaupt keine Veranlas-
sung derart weitgehende Zweifel aufkommen zu lassen. Bei der
Bestätigungs-E-Mail handelt es sich schließlich um einen Schutz
vor unerwünschten E-Mails und um eine Absicherung, dass die
erste Anforderung tatsächlich von dem Adressaten stammt. Der
Aufwand des Löschens einer unerwünschten Bestätigungs-E-Mail
ist zudem sehr gering. Diese Sichtweise scheint den, allein ju-
ristisch argumentierenden, Richtern des OLG München jedoch
nicht zugänglich.
Um den von ihrer Seite aufgestellten Anforderungen gerecht zu
werden, käme als einzig denkbare Alternative der Verzicht auf
ein automatisiertes Verfahren und die damit verbundene Um-
stellung auf eine individuelle Anforderung der Newsletter-Zu-
sendung in Betracht. Ob dieser Rückschritt im Internet-Zeitalter
vom BGH geteilt wird, ist aber ausgesprochen zweifelhaft. Es ist
vielmehr zu erwarten, dass der BGH – ganz im Sinne der prakti-
schen Notwendigkeit – die Zulässigkeit des jahrelang praktizier-
ten „Douple-Opt-In-Verfahrens“ bestätigt. Der Zeitpunkt hierfür
könnte jedenfalls nicht besser sein. M
 RECHT | DFN Mitteilungen Ausgabe 84 | 47

Wer sich auf Facebook präsen-

tiert, muss viel preisgeben
Zur Impressumspflicht für öffentliche Facebook-Fanseiten

Sogenannte Facebook- Fanseiten sind stark in Mode – diesem Trend können sich
deutsche Hochschulen schon seit einiger Zeit nicht mehr widersetzen. Doch auch bei
dieser Form des öffentlichen Auftritts müssen gewisse Regeln beachtet werden – wie
die Impressumspflicht. Ist das Impressum einer solchen „geschäftsmäßigen Webseite“
unvollständig oder gänzlich nicht vorhanden, so kann das für die Webseitenbetreiber
erhebliche Konsequenzen haben – u.a. einen Verstoß gegen das Wettbewerbsrecht.
Dies entschied kürzlich das Landgericht (LG) Regensburg. Doch was droht den Betrei-
bern im Falle eines Verstoßes und welche Angaben sind nun zwingend erforderlich?

Text: Susanne Thinius (Forschungsstelle Recht im DFN)

I. Rechtlicher Hintergrund der Impressumspflicht
§ 5 Telemediengesetz (TMG) postuliert die Informations-
(„Impressums“-)pflicht für Diensteanbieter von „geschäftsmäßi-
gen, in der Regel gegen Entgelt angebotenen Telemedien“. Es müs-
sen demnach Angaben wie Name und Anschrift sowie Rechtsform
und Vertretungsberechtigter (Nr. 1), Informationen zur schnellen
Kontaktaufnahme inklusive E-Mail-Adresse (Nr.2), die zuständi-
ge Aufsichtsbehörde (Nr. 3), Handelsregister und entsprechen-
de Registernummer (Nr. 4), Umsatzidentifikationsnummer NR.
48 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT
6) etc. leicht erkennbar, unmittelbar erreichbar und ständig ver-
fügbar gehalten werden.
Die Definition des Begriffes „Diensteanbieter“ und damit des
Adressaten der Impressumspflicht aus § 5 TMG findet sich in § 2
Nr. 1 TMG: darunter ist jede „natürliche oder juristische Person“
zu verstehen, die „eigene oder fremde Telemedien zur Nutzung
bereithält oder den Zugang zur Nutzung vermittelt“. Das sind an
erster Stelle Anbieter von Inhalten wie Webseiten.
Ein Diensteanbieter handelt „geschäftsmäßig“, wenn er Teleme-
dien aufgrund einer nachhaltigen Tätigkeit mit oder ohne Ge-
winnerzielungsabsicht erbringt. „Nachhaltigkeit“ bedeutet in
diesem Zusammenhang, dass die Tätigkeit auf einen längeren
Zeitraum ausgerichtet ist und sich nicht auf einen Einzelfall be-
schränkt. Private Gelegenheitsgeschäfte fallen somit nicht unter
den Begriff der Geschäftsmäßigkeit, wohl aber Hochschulauftrit-
te in sozialen Netzwerken, die ihre Studenten, Mitarbeiter und
Externe über ihre Angebote und Dienstleistungen informieren
wollen und Raum für Meinungsaustausch und Diskussion bie-
ten – und zwar auf Dauer angelegt.
Die Informationspflichten des § 5 TMG dienen dem Verbraucher-
schutz und der Transparenz von geschäftsmäßig erbrachten Te-
lediensten. Sie stellen aus diesem Grund sog. „Marktverhaltens-
regeln“ i.S.d. § 4 Nr. 11 des Gesetzes gegen unlauteren Wettbe-
werb (UWG) dar. Ein Verstoß gegen § 5 TMG beziehungsweise die
Nichteinhaltung der Voraussetzungen kann mithin ein unlaute-
res und gleichzeitig wettbewerbswidriges Verhalten darstellen.
Dies wiederum kann Ansprüche aus dem UWG begründen, wie
beispielsweise Unterlassungsansprüche nach § 8 UWG und Scha-
densersatzansprüche aus § 12 UWG. Im Rahmen dessen wird von
der Beklagtenpartei nicht selten gefordert, strafbewährte Un-
terlassungserklärungen abzugeben, bei deren Zuwiderhandlun-
gen Ordnungsgelder oder gar Ordnungshaft fällig werden kön-
nen. Schadensersatzansprüche können in Gestalt von vorgericht-
lichen Anwalts- bzw. Abmahnkosten geltend gemacht werden.
II. Entwicklung der Rechtsprechung in den
vergangenen Jahren
In den vergangenen Jahren gab es einige interessante Urteile
und Beschlüsse zur Impressumspflicht von sozialen Netzwer-
ken, insbesondere zu Facebook, unter anderem zu Adressat und
Umfang dieser Pflicht. Ein eindeutiger Trend lässt sich erken-
nen: Geschäftsmäßige Webseiten-Betreiber werden stärker in
die Pflicht genommen. Der augenscheinliche Grund dafür: Der
„Kunde“ beziehungsweise Nutznießer einer Webseite soll um-
fassend darüber aufgeklärt werden, wer für deren Inhalte ver-
antwortlich ist und an wen er sich im Zweifel zu wenden hat.
So beschloss das Oberlandesgericht (OLG) Celle im vergangenen
Jahr (Az. 13 U 72/12), dass Diensteanbieter derjenige ist, der die
„Funktionsherrschaft“ über die Domain beziehungsweise das
Telemedium hat. Das Telemedium war in diesem Fall eben auch
eine zumindest geschäftsmäßige Webseite. Für eine solche be-
deutet dies, dass der Unternehmer beziehungsweise der Arbeit-
geber – und nicht etwa der einzelne Mitarbeiter – Diensteanbie-
ter ist und somit die Verantwortung für die Richtigkeit des Im-
pressums übernimmt.
Das Landgericht Aschaffenburg hatte bereits mit Urteil aus dem
Jahr 2011 (Az. 2 HK O 4/11) entschieden, dass im Falle einer (auch)
geschäftsmäßigen beziehungsweise kommerziellen Nutzung ei-
nes Facebook-Profils oder sog. Facebook- Fanseiten eine Impres-
sumspflicht nach § 5 TMG entsteht. Das gelte ebenfalls für Nut-
zer von (einfachen) Facebook- Accounts, wenn diese nicht nur
rein privat genutzt werden. Die Weiterleitung via Link auf die un-
ternehmenseigene Webseite mit dortigem Impressum genüge
nicht, um das Fehlen des Impressums auf der Facebook-Seite zu
kompensieren, so die Aschaffenburger Richter. Auch die Angabe
von Anschrift und Telefonnummer allein genüge nicht den Im-
pressums-Anforderungen. Wer sich also zu Marketingzwecken
Facebook, Twitter und Co. bedient, den treffen strenge Impres-
sumspflichten. Der Grundstein für das Urteil des LG Regensburg
wurde damit gelegt.
III. Urteil des Landgerichts Regensburg
Das LG Regensburg hat in seiner jüngsten Entscheidung vom
31.1.2013 (Az. 1 HK O 1884/12) nunmehr bestätigt, dass auch ge-
schäftsmäßige Facebook-Seiten, die als Eingangskanal in Web-
seiten dienen, der allgemeinen Impressumspflicht nach § 5 TMG
unterliegen. Das Fehlen einer solchen sei sogar wettbewerbs-
widrig, so die Regensburger Richter. Im konkreten Fall ging es
um zwei IT-Systemhäuser, die ein sich ähnelndes Betriebsspek-
trum aufwiesen (Entwicklung von Software, Schulungen etc.).
Das Gericht sah beide Parteien aufgrund der Gleichartigkeit des
Leistungsangebots als Mitbewerber i.S.v. § 2 Nr. 3 UWG an, die in
einem konkreten Wettbewerbsverhältnis stehen. Diesen Mitbe-
werbern stehen grundsätzlich wettbewerbsrechtliche Ansprü-
che zu, so § 8 Abs. 3 Nr. 1 UWG.
Es kam, wie es kommen musste: Ein IT-Unternehmen klagte ge-
gen das andere, weil es sich am Impressum des anderen Unter-
nehmens auf dessen Facebook-Webseite störte. Das LG gab der
Klage statt, da die Angaben im Impressum den Anforderungen
des § 5 TMG tatsächlich nicht genügten. Konkret seien Name und
Anschrift unvollständig gewesen und auch die Angabe über den
Geschäftsführer und die zuständige Aufsichtsbehörde fehlten.
Dies stelle laut Gericht einen Wettbewerbsverstoß i.S.d. § 4 Nr.
11 UWG bzw. wettbewerbswidriges Verhalten dar. Nach § 4 Nr.

Foto: © ProMotion - Fotolia.com
11 UWG sind Handlungen unlauter, die einer gesetzlichen Vor-
schrift (in diesem Falle § 5 TMG) zuwiderhandeln, die Marktver-
haltensregeln darstellt. Diese Voraussetzungen erfüllt § 5 TMG.
Das Gericht stellte nun fest, dass die Klägerin aus § 8 UWG einen
Unterlassungsanspruch gegen die Beklagten und einen Anspruch
auf Ersatz ihrer Aufwendungen (für entstandene Abmahnkosten)
habe. Zudem verneinte das Gericht ein mögliches missbräuch-
liches Verhalten der Klägerin (i.S.d. § 8 Abs. 4 UWG) durch sog.
Massenabmahnungen. Massenabmahnungen liegen nur dann
vor, wenn die Tätigkeit der Klägerin hauptsächlich im Abmah-
nen selbst und nicht im angegebenen Betriebsfeld liege. Viel-
fach- oder Massenabmahnungen können dann einen Hinweis auf
Rechtsmissbrauch geben, wenn mehr als 180 Mal innerhalb einer
Woche durch dieselbe Person abgemahnt wird. Andere Umstän-
de müssten allerdings noch hinzutreten, um einen Rechtsmiss-
brauch anzunehmen, z.B. eine überhöhte Vertragsstrafe, über-
höhte Abmahngebühren etc.
Die Entscheidung bestätigt also, was seit mindestens 2 Jahren
diskutiert wird: Social-Media-Angebote sind zumindest dann im-
pressumspflichtig, wenn sie geschäftsmäßig genutzt werden.
IV. Auswirkungen auf die Hochschulpraxis
Für Hochschulen sind diese Entscheidungen von aktueller Be-
deutung, da es mittlerweile zum guten Ton einer jeden Hoch-
schule, aber auch Einrichtungen, Instituten und Fakultäten ge-
hört, sich in sozialen Netzwerken zu präsentieren und so eine
neue Kommunikationsplattform anzubieten. Wie eingangs er-
wähnt, treten sie damit geschäftsmäßig auf. Die erwähnten Ur-
teile finden somit Anwendung auf Hochschulen.
RECHT | DFN Mitteilungen Ausgabe 84 | 49
Aus dem Regensburger Urteil lässt sich der Schluss ziehen, dass
Mitbewerber von Hochschulen im wettbewerbsrechtlichen Sinne
auch andere Hochschulen sein können, da sie gleichermaßen um
Studenten werben und Dienstleistungen rund um Studium und
Lehre anbieten. Sie stehen somit zueinander im konkreten Wett-
bewerbsverhältnis. Im Falle von unvollständigen Impressumsan-
gaben – auch und gerade bei öffentlichen Facebook-Auftritten
– kann deshalb jederzeit eine Abmahnung einer anderen Hoch-
schule ins Haus flattern – je nachdem, wie gewissenhaft ande-
re Hochschulen ihre Ordnungshüter-Eigenschaft wahrnehmen.
Zu beachten für die Hochschulen ist, dass ein Impressum auch
dann unvollständig ist, wenn lediglich eine gültige Adresse so-
wie Telefonnummer und E-Mail-Adresse angegeben werden. Auch
die schnelle elektronische Kontaktaufnahme und die unmittel-
bare Kommunikationsmöglichkeit sind bereitzustellen. Korrek-
te und vollständige Impressumsangaben sind eben unverzicht-
bar, wenn kostspielige Abmahnungen oder gar Klagen vermie-
den werden sollen. Vorsicht ist also geboten!
Es darf auf der anderen Seite jedoch nicht vergessen werden,
dass letztlich eine Pflicht zur elektronischen Kommunikation
nicht besteht. Angesichts der rechtlichen (Impressums- und an-
deren) Pflichten, die mit der Entscheidung zum Auftritt in so-
zialen Netzwerken wie Facebook einhergehen, sowie hinsicht-
lich datenschutzrechtlicher Bedenken sollte jede Einrichtung
selbst über ihre öffentlichen Auftritte im Netz entscheiden kön-
nen und müssen. M
50 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | DFN-VEREIN
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins (Stand: 05/2013)
Laut Satzung fördert der DFN-Verein die
Schaffung der Voraussetzungen für die
Errichtung, den Betrieb und die Nutzung
eines rechnergestützten Informations- und
Kommunikationssystems für die öffentlich
geförderte und gemeinnützige Forschung
in der Bundesrepublik Deutschland. Der
Satzungszweck wird verwirklicht insbe-
sondere durch Vergabe von Forschungs-
aufträgen und Organisation von Dienst-
leistungen zur Nutzung des Deutschen
Forschungsnetzes.
Als Mitglieder werden juristische Per-
sonen aufgenommen, von denen ein we-
sentlicher Beitrag zum Vereinszweck zu er-
warten ist oder die dem Bereich der insti-
tutionell oder sonst aus öffentlichen Mit-
teln geförderten Forschung zuzurechnen
sind. Sitz des Vereins ist Berlin.
Die Organe des DFN-Vereins sind:
• die Mitgliederversammlung
• der Verwaltungsrat
• der Vorstand
Die Mitgliederversammlung ist u. a. zustän-
dig für die Wahl der Mitglieder des Verwal-
tungsrates, für die Genehmigung des Jah-
reswirtschaftsplanes, für die Entlastung
des Vorstandes und für die Festlegung der
Mitgliedsbeiträge. Derzeitiger Vorsitzen-
der der Mitgliederversammlung ist Prof.
Dr. Gerhard Peter, HS Heilbronn.
Verwaltungsrat
Der Verwaltungsrat beschließt alle wesent-
lichen Aktivitäten des Vereins, insbeson-
dere die technisch-wissenschaftlichen Ar-
beiten, und berät den Jahreswirtschafts-
plan. Für die 10. Wahlperiode sind Mitglie-
der des Verwaltungsrates:
• Prof. Dr. Hans-Joachim Bungartz (TU
München)
• Prof. Dr. Rainer W. Gerling (MPG Mün-
chen)
• Prof. Dr. Ulrike Gutheil (TU Berlin)
• Dir. u. Prof. Dr. Siegfried Hackel (PTB
Braunschweig)
• Dr.-Ing.habil. Carlos Härtel (GE Global
Research)
• Prof. Dr.-Ing. Ulrich Lang (Univ. zu Köln)
• Prof. Dr. Joachim Mnich (DESY)
• Prof. Dr. Wolfgang E. Nagel (TU Dresden)
• Prof. Dr. Bernhard Neumair (KIT)
• Dr.-Ing. Christa Radloff (Univ. Rostock)
• Prof. Dr. Peter Schirmbacher (HU zu
Berlin)
• Dr. Wolfgang A. Slaby (Kath. Univ.
Eichstätt-Ingolstadt)
• Prof. Dr. Horst Stenzel (FH Köln)
Der Verwaltungsrat hat als ständige
Gäste:
• einen Vertreter der KMK: gegenwärtig
Herrn Grothe, SMWK Sachsen
• einen Vertreter der HRK: gegenwärtig
Prof. Dr. Metzner, Präsident der FH Köln
• einen Vertreter der Hochschulkanzler:
gegenwärtig Herrn Schöck, Kanzler
der Universität Erlangen-Nürnberg
• den Vorsitzenden des ZKI: gegenwär-
tig Prof. Dr. Lang, Universität zu Köln
• den Vorsitzenden der Mitgliederver-
sammlung: gegenwärtig Prof. Dr. Peter,
HS Heilbronn
Vorstand
Der Vorstand des DFN-Vereins im Sinne des
Gesetzes wird aus dem Vorsitzenden und
den beiden stellvertretenden Vorsitzen-
den des Verwaltungsrates gebildet. Der-
zeit sind dies Prof. Dr. Hans-Joachim Bun-
gartz, Vorsitz, sowie Prof. Dr. Ulrike Gutheil
und Prof. Dr. Bernhard Neumair.
Der Vorstand wird beraten von einem Tech-
nologie-Ausschuss (TA), einem Betriebsaus-
schuss (BA) und einem Ausschuss für Recht
und Sicherheit (ARuS), der zugleich auch
als Jugendschutzbeauftragter für das DFN
fungiert.
Der Vorstand bedient sich zur Erledigung
laufender Aufgaben einer Geschäftsstel-
le mit Standorten in Berlin und Stuttgart.
Sie wird von einer Geschäftsführung gelei-
tet. Als Geschäftsführer wurden vom Vor-
stand Jochem Pattloch und Dr. Christian
Grimm bestellt.
 DFN-VEREIN | DFN Mitteilungen Ausgabe 84 | 51

Aachen Fachhochschule Aachen Deutsche Forschungsgemeinschaft (DFG)

Rheinisch-Westfälische Technische Hochschule Aachen (RWTH) Deutscher Akademischer Austauschdienst e. V. (DAAD)
Aalen Hochschule Aalen Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)
Albstadt Hochschule Albstadt-Sigmaringen (FH) GESIS – Leibniz-Institut für Sozialwissenschaften e. V.
Amberg Hochschule Amberg-Weiden für angewandte Wissenschaften Rheinische Friedrich-Wilhelms-Universität Bonn
Ansbach Hochschule für angewandte Wissenschaften, Fachhochschule Ansbach Zentrum für Informationsverarbeitung und Informationstechnik
Aschaffenburg Hochschule Aschaffenburg Borstel FZB, Leibniz-Zentrum für Medizin und Biowissenschaften
Augsburg Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg Brandenburg Fachhochschule Brandenburg
Universität Augsburg Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen
GmbH
Bamberg Otto-Friedrich-Universität Bamberg
Helmholtz-Zentrum für Infektionsforschung GmbH
Bayreuth Universität Bayreuth
Berlin Alice Salomon Hochschule Berlin Hochschule für Bildende Künste Braunschweig

BBB Management GmbH Johann-Heinrich von Thünen-Institut, Bundesforschungs-

institut für Ländliche Räume, Wald und Fischerei
Beuth Hochschule für Technik Berlin – University of Applied Sciences
Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen
Bundesamt für Verbraucherschutz und Lebensmittelsicherheit
Physikalisch-Technische Bundesanstalt (PTB)
Bundesanstalt für Materialforschung und -prüfung
Technische Universität Carolo-Wilhelmina zu Braunschweig
Bundesinstitut für Risikobewertung
Bremen Hochschule Bremen
Deutsche Telekom AG Laboratories
Hochschule für Künste Bremen
Deutsches Herzzentrum Berlin
Jacobs University Bremen gGmbH
Deutsches Institut für Normung e. V. (DIN)
Universität Bremen
Deutsches Institut für Wirtschaftsforschung (DIW)
Bremerhaven Alfred-Wegener-Institut, Helmholtz-Zentrum für Polar- und
Fachinformationszentrum Chemie GmbH (FIZ Chemie) Meeresforschung (AWI)
Forschungsverbund Berlin e. V. Hochschule Bremerhaven
Freie Universität Berlin (FUB) Stadtbildstelle Bremerhaven
Helmholtz-Zentrum Berlin für Materialien und Energie GmbH Chemnitz Technische Universität Chemnitz
Hochschule für Technik und Wirtschaft – University of Applied Sciences Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)
Hochschule für Wirtschaft und Recht Technische Universität Clausthal-Zellerfeld
Humboldt-Universität zu Berlin (HUB) Coburg Hochschule für angewandte Wissenschaften, Fachhochschule Coburg
International Psychoanalytic University Berlin Cottbus Brandenburgische Technische Universität Cottbus
IT-Dienstleistungszentrum Darmstadt European Space Agency (ESA)
Konrad-Zuse-Zentrum für Informationstechnik (ZIB) Evangelische Hochschule Darmstadt
Robert Koch-Institut GSI Helmholtzzentrum für Schwerionenforschung GmbH
Stanford University in Berlin Hochschule Darmstadt
Stiftung Deutsches Historisches Museum Merck KGaA
Stiftung Preußischer Kulturbesitz Technische Universität Darmstadt
Technische Universität Berlin (TUB) T-Systems International GmbH
T-Systems International GmbH Deggendorf Hochschule für angewandte Wissenschaften,
Fachhochschule Deggendorf
Umweltbundesamt
Dortmund Fachhochschule Dortmund
Universität der Künste Berlin
Technische Universität Dortmund
Wissenschaftskolleg zu Berlin
Dresden Helmholtz-Zentrum Dresden-Rossendorf e. V.
Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)
Hannah-Arendt-Institut für Totalitarismusforschung e. V.
Biberach Hochschule Biberach
Hochschule für Bildende Künste Dresden
Bielefeld Fachhochschule Bielefeld
Hochschule für Technik und Wirtschaft
Universität Bielefeld
Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.
Bingen Fachhochschule Bingen
Leibniz-Institut für Polymerforschung Dresden e. V.
Bochum ELFI Gesellschaft für Forschungsdienstleistungen mbH
Sächsische Landesbibliothek – Staats- und Universitätsbibliothek
Evangelische Fachhochschule Rheinland-Westfalen-Lippe
Technische Universität Dresden
Hochschule Bochum
Düsseldorf Fachhochschule Düsseldorf
Hochschule für Gesundheit
Heinrich-Heine-Universität Düsseldorf
Ruhr-Universität Bochum
Information und Technik Nordrhein-Westfalen (IT.NRW)
Technische Fachhochschule Georg Agricola für Rohstoff,
Energie und Umwelt zu Bochum Eichstätt Katholische Universität Eichstätt-Ingolstadt

Bonn Bundesministerium des Innern Emden Hochschule Emden/Leer

Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit Erfurt Fachhochschule Erfurt

Universität Erfurt
52 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | DFN-VEREIN

Erlangen Friedrich-Alexander-Universität Erlangen-Nürnberg Gottfried Wilhelm Leibniz Universität Hannover

Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V. HIS Hochschul-Informations-System GmbH
Universität Duisburg-Essen Hochschule für Musik, Theater und Medien
Esslingen Hochschule Esslingen Landesamt für Bergbau, Energie und Geologie
Flensburg Fachhochschule Flensburg Medizinische Hochschule Hannover
Universität Flensburg Technische Informationsbibliothek und Universitätsbibliothek
Frankfurt/M. Bundesamt für Kartographie und Geodäsie Stiftung Tierärztliche Hochschule
Deutsche Nationalbibliothek Heide Fachhochschule Westküste, Hochschule für Wirtschaft und Technik
Deutsches Institut für Internationale Pädagogische Forschung Heidelberg Deutsches Krebsforschungszentrum (DKFZ)
Fachhochschule Frankfurt am Main European Molecular Biology Laboratory (EMBL)
Johann Wolfgang Goethe-Universität Frankfurt am Main Network Laboratories NEC Europe Ltd.
KPN EuroRings B.V. Ruprecht-Karls-Universität Heidelberg
Philosophisch-Theologische Hochschule St. Georgen e.V. Heilbronn Hochschule für Technik, Wirtschaft und Informatik Heilbronn
Senckenberg Gesellschaft für Naturforschung Hildesheim Hochschule für angewandte Wissenschaft und Kunst
Fachhochschule Hildesheim/Holzminden/Göttingen
Stonesoft Germany GmbH
Stiftung Universität Hildesheim
Frankfurt/O. IHP GmbH – Institut für innovative Mikroelektronik
Hof Hochschule für angewandte Wissenschaften Hof – FH
Stiftung Europa-Universität Viadrina
Ilmenau Bundesanstalt für IT-Dienstleistungen im Geschäftsbereich des BMVBS
Freiberg Technische Universität Bergakademie Freiberg
Technische Universität Ilmenau
Freiburg Albert-Ludwigs-Universität Freiburg
Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen
Friedrichshafen Zeppelin Universität gGmbH
Hochschule für angewandte Wissenschaften FH Ingolstadt
Fulda Hochschule Fulda
Jena Ernst-Abbe-Fachhochschule Jena
Furtwangen Hochschule Furtwangen – Informatik, Technik, Wirtschaft, Medien
Friedrich-Schiller-Universität Jena
Garching European Southern Observatory (ESO)
Institut für Photonische Technologien e. V.
Gesellschaft für Anlagen- und Reaktorsicherheit mbH
Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)
Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften
Jülich Forschungszentrum Jülich GmbH
Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)
Kaiserslautern Fachhochschule Kaiserslautern
Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenfor-
schung GmbH Technische Universität Kaiserslautern
Gelsenkirchen Westfälische Hochschule Karlsruhe Bundesanstalt für Wasserbau
Gießen Technische Hochschule Mittelhessen Fachinformationszentrum Karlsruhe (FIZ)
Justus-Liebig-Universität Gießen Karlsruher Institut für Technologie – Universität des Landes Baden-
Württemberg und nationales Forschungszentrum in der Helmholtz-
Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)
Gemeinschaft (KIT)
Verbundzentrale des Gemeinsamen Bibliotheksverbundes
FZI Forschungszentrum Informatik
Greifswald Ernst-Moritz-Arndt-Universität Greifswald
Hochschule Karlsruhe – Technik und Wirtschaft
Friedrich-Loeffler-Institut, Bundesforschungsinstitut für Tiergesundheit
Zentrum für Kunst und Medientechnologie
Hagen Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft
Kassel Universität Kassel
FernUniversität in Hagen
Kempten Hochschule für angewandte Wissenschaften, Fachhochschule Kempten
Halle/Saale Institut für Wirtschaftsforschung Halle
Kiel Christian-Albrechts-Universität zu Kiel
Martin-Luther-Universität Halle-Wittenberg
Fachhochschule Kiel
Hamburg Bundesamt für Seeschifffahrt und Hydrographie
Institut für Weltwirtschaft an der Universität Kiel
Datenlotsen Informationssysteme GmbH
Helmholtz-Zentrum für Ozeanforschung Kiel (GEOMAR)
Deutsches Elektronen-Synchrotron (DESY) Koblenz Hochschule Koblenz
Deutsches Klimarechenzentrum GmbH (DKRZ) Köln Deutsche Sporthochschule Köln
DFN – CERT Services GmbH Fachhochschule Köln
HafenCity Universität Hamburg Hochschulbibliothekszentrum des Landes NRW
Helmut-Schmidt-Universität, Universität der Bundeswehr Katholische Hochschule Nordrhein-Westfalen
Hochschule für Angewandte Wissenschaften Hamburg Kunsthochschule für Medien Köln
Hochschule für Bildende Künste Hamburg Rheinische Fachhochschule Köln gGmbH
Hochschule für Musik und Theater Hamburg Universität zu Köln
Technische Universität Hamburg-Harburg Konstanz Hochschule Konstanz Technik, Wirtschaft und Gestaltung (HTWG)
Universität Hamburg Universität Konstanz
Hameln Hochschule Weserbergland
Köthen Hochschule Anhalt
Hamm SRH Hochschule für Logistik und Wirtschaft Hamm
Krefeld Hochschule Niederrhein
Hannover Bundesanstalt für Geowissenschaften und Rohstoffe
Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.
Hochschule Hannover
Landshut Hochschule Landshut, Fachhochschule
Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische
Landesbibliothek
 DFN-VEREIN | DFN Mitteilungen Ausgabe 84 | 53

Leipzig Deutsche Telekom, Hochschule für Telekommunikation Leipzig Paderborn Fachhochschule der Wirtschaft Paderborn
Helmholtz-Zentrum für Umweltforschung – UFZ GmbH Universität Paderborn
Hochschule für Grafik und Buchkunst Leipzig Passau Universität Passau
Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“ Peine Deutsche Gesellschaft zum Bau und Betrieb von Endlagern
Hochschule für Technik, Wirtschaft und Kultur Leipzig für Abfallstoffe mbH

Leibniz-Institut für Troposphärenforschung e. V. Potsdam Fachhochschule Potsdam

Mitteldeutscher Rundfunk Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ

Universität Leipzig Hochschule für Film und Fernsehen „Konrad Wolf“

Lemgo Hochschule Ostwestfalen-Lippe Potsdam-Institut für Klimafolgenforschung (PIK)

Lübeck Fachhochschule Lübeck Universität Potsdam

Universität zu Lübeck Regensburg Hochschule für angewandte Wissenschaften – Fachhochschule

Regensburg
Ludwigsburg Evangelische Hochschule Ludwigsburg
Universität Regensburg
Ludwigshafen Fachhochschule Ludwigshafen am Rhein
Rosenheim Hochschule für angewandte Wissenschaften – Fachhochschule
Lüneburg Leuphana Universität Lüneburg
Rosenheim
Magdeburg Hochschule Magdeburg-Stendal (FH)
Rostock Leibniz-Institut für Ostseeforschung Warnemünde
Leibniz-Institut für Neurobiologie Magdeburg
Universität Rostock
Mainz Fachhochschule Mainz
Saarbrücken Universität des Saarlandes
Johannes Gutenberg-Universität Mainz
Salzgitter Bundesamt für Strahlenschutz
Universität Koblenz-Landau
Sankt Augustin Hochschule Bonn Rhein-Sieg
Mannheim Hochschule Mannheim
Schmalkalden Fachhochschule Schmalkalden
TÜV SÜD Energietechnik GmbH Baden-Württemberg
Schwäbisch Pädagogische Hochschule Schwäbisch Gmünd
Universität Mannheim Gmünd
Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW) Schwerin Landesbibliothek Mecklenburg-Vorpommern
Marbach a. N. Deutsches Literaturarchiv Senftenberg Hochschule Lausitz (FH)
Marburg Philipps-Universität Marburg Siegen Universität Siegen
Merseburg Hochschule Merseburg (FH) Speyer Deutsche Universität für Verwaltungswissenschaften Speyer
Mittweida Hochschule Mittweida Straelen GasLINE Telekommunikationsnetzgesellschaft deutscher
Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft
Mülheim an der Hochschule Ruhr West
Ruhr Stralsund Fachhochschule Stralsund
Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V. Stuttgart Cisco Systems GmbH
München Bayerische Staatsbibliothek Duale Hochschule Baden-Württemberg
Hochschule München (FH) Hochschule der Medien Stuttgart
Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V. Hochschule für Technik Stuttgart
Helmholtz Zentrum München Deutsches Forschungszentrum für NextiraOne Deutschland GmbH
Gesundheit und Umwelt GmbH
Universität Hohenheim
ifo Institut – Leibniz-Institut für Wirtschaftsforschung e. V.
Universität Stuttgart
Ludwig-Maximilians-Universität München
Tautenburg Thüringer Landessternwarte Tautenburg
Max-Planck-Gesellschaft
Trier Hochschule Trier
Technische Universität München
Universität Trier
Universität der Bundeswehr München
Tübingen Eberhard Karls Universität Tübingen
Münster Fachhochschule Münster
Leibniz-Institut für Wissensmedien
Westfälische Wilhelms-Universität Münster
Ulm Hochschule Ulm
Neubranden- Hochschule Neubrandenburg
burg Universität Ulm

Neu-Ulm Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm Vechta Universität Vechta

Nordhausen Fachhochschule Nordhausen Private Fachhochschule für Wirtschaft und Technik

Nürnberg Kommunikationsnetz Franken e. V. Wadern Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH (LZI)

Technische Hochschule Nürnberg Georg Simon Ohm Weidenbach Hochschule Weihenstephan

Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen Weimar Bauhaus-Universität Weimar

Nuthetal Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke Weingarten Hochschule Ravensburg-Weingarten

Oberursel Dimension Data Germany AG & Co. KG Pädagogische Hochschule Weingarten

Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH Wernigerode Hochschule Harz (FH)

Offenbach/M. Deutscher Wetterdienst (DWD) Weßling T-Systems Solutions for Research GmbH

Offenburg Hochschule Offenburg, Fachhochschule Wiesbaden Hochschule RheinMain

Oldenburg Carl von Ossietzky Universität Oldenburg Statistisches Bundesamt

Landesbibliothek Oldenburg Wildau Technische Hochschule Wildau (FH)

Osnabrück Hochschule Osnabrück (FH) Wilhelmshaven Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth

Universität Osnabrück
54 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | DFN-VEREIN

Wismar Hochschule Wismar

Witten Private Universität Witten/Herdecke gGmbH
Wolfenbüttel Ostfalia Hochschule für angewandte Wissenschaften
Herzog August Bibliothek
Worms Fachhochschule Worms
Wuppertal Bergische Universität Wuppertal
Würzburg Hochschule für angewandte Wissenschaften – Fachhochschule
Würzburg-Schweinfurt
Julius-Maximilians-Universität Würzburg
Zittau Hochschule Zittau/Görlitz
Internationales Hochschulinstitut
Zwickau Westsächsische Hochschule Zwickau