Beruflich Dokumente
Kultur Dokumente
www.dfn.de
Mitteilungen
X-WiN Confidential
Potenziale der neuen DWDM-Technik
Audit
DFN-PKI gemäß ETSI-
Standard zertifiziert
GÉANT
Europäischer
Forschungsbackbone
schaltet um auf
Terabit-Technologie
Impressum
DFN-Verein
Alexanderplatz 1, 10178 Berlin
Tel.: 030 - 88 42 99 - 0
Fax: 030 - 88 42 99 - 70
Mail: dfn-verein@dfn.de
Web: www.dfn.de
ISSN 0177-6894
Fotonachweis:
Titel © Ljupco Smokovski - Fotolia.com
Seite 6/7 © 77SG - Fotolia.com
Seite 30/31 © chris-m - Fotolia.com
Niels Hersoug and Matthew Scott,
DANTE Joint General Managers
The creation and sharing of data is increasing exponentially, impacting research networks, high
performance computing and grids – collectively known as e-infrastructures. Major projects in-
volving global partners, such as CERN‘s Large Hadron Collider and the forthcoming Square Kilo-
meter Array, generate enormous amounts of data that need to be distributed, analysed, stored
and made accessible for research. This need for fast, stable transfer of data depends heavily on
the high speed and dedicated bandwidth offered by research networks such as X-WiN or GÉANT.
GÉANT (GN3plus) is the latest in a series of projects comprising the pan-European GÉANT network
and associated services, and is a 2 year project co-funded by the European Union comprising 41
partners including DFN. GÉANT’s overall objectives are to meet the communications needs of Eu-
ropean and world-wide research communities in all fields. Such needs include both a transport fa-
cility for production data and also a network environment where experiments can be conducted.
Addressing the exponential growth in data, DANTE – the organisation that on behalf of Europe’s
NRENs has built and operates the network – is presently implementing a major upgrade to support
capacity of up to 2 Terabits per second across its core network, due for completion in July 2013.
In continually striving for networking excellence, GÉANT relies heavily on strong relationships
with its NREN partners, together delivering the robust data communications infrastructure that
serves the international research community. DFN has long been an essential and highly valued
partner in providing powerful national and global research and education connectivity.
Within GN3plus, the project is introducing a new production Service Activity: „Testbeds as a Ser-
vice<“. This will provide two types of testbed capabilities: a Dynamic Packet Network Testbed Ser-
vice to address upper layer network research and a Dark Fibre Testbed to provide photonic layer
long haul facilities for testing novel optical/photonic technologies in the field.
Another portion of the project budget has been reserved to fund specific tasks, to be carried out
by new beneficiaries by means of a competitive open call.
As a result of these ongoing efforts, GÉANT and the NRENs remain well positioned to support cur-
rent and future communication needs in the pan-European research community.
4 | DFN Mitteilungen Ausgabe 84 | Mai 2013
1 2 3 4
5 6 7 8
9 10 11 12
Inhalt
Wissenschaftsnetz Sicherheit
DFN-Verein
Campus
Übersicht über die Mitgliedseinrichtungen
Gemeinsam sicher – Nordrhein-Westfalens und Organe des DFN-Vereins .................................................... 50
Hochschulen setzen auf gemeinsames
Informationssicherheitsmanagement
von Irene Weithofer, Henning Mohren.................................. 26
6 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 | 7
Wissenschaftsnetz
X-WiN Confidential
Potenziale der neuen DWDM-Technik im
Wissenschaftsnetz
von Kai Hoelzner, Birgit Kraft, Kai Ramsch
Kurzmeldungen
8 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
X-WiN Confidential
Potenziale der neuen DWDM-Technik im Wissenschaftsnetz
Mit der Migration des X-WiN auf eine neue, auf Wellenlängen-Multiplexern des Netzwerkausrüsters
ECI Telecom basierenden Infrastruktur, ergeben sich neue Perspektiven für Nutzung und Betrieb des
Wissenschaftsnetzes. Neben dem Upgrade des Super-Core auf 100-Gigabit/s-Technik und der Mög-
lichkeit, native 100-Gigabit-Anschlüsse in der obersten Kategorie des DFN-Internetdienstes zu nut-
zen, sind es vor allem die Potenziale zur Optimierung von Betriebsprozessen, die das neue Netz für
Anwender wie Betreiber interessant machen.
Mehr Netzintelligenz auf opti- jungen optischen Plattform des Wissen- auf den Glasfaser-Netzen des vergange-
scher Ebene schaftsnetzes sind mehr als positiv. nen Jahrzehnts erledigt haben, ermögli-
chen Geräte wie die im X-WiN eingesetzten
Am 20. Dezember 2012 wurde die letz- Nicht nur technologisch, sondern auch für Apollo-Multiplexer von ECI nicht nur eine
te Kernnetz-Strecke des X-WiN mit neu- die Organisation und das Netzmanage- Vervielfachung der Kapazitäten, sondern
er DWDM-Technik des israelischen Netz- ment war die Migration ein echter Para- verlagern auch ein Stück weit Netzintelli-
werkausrüsters ECI Telecom in Betrieb digmenwechsel. Zwar betreibt der DFN- genz auf die optische Ebene.
genommen. Sieben Monate waren seit Verein bereits seit vielen Jahren die IP-Ebe-
dem Zuschlag an ECI vergangen und hin- ne des Wissenschaftsnetzes, doch war der Die neue optische Technik ermöglicht es,
ter den Aufbauteams lag ein halbes Jahr Zugriff auf die optische Ebene bislang nur das Netzwerk komfortabler zu betreiben
intensiver Arbeit an den 111 Standorten im eingeschränkt möglich. Mit dem Wechsel und Funktionalitäten der IP-Plattform op-
X-WiN. Inzwischen befindet sich die neue auf ECI-Technik besteht erstmals voller Zu- tisch zu ersetzen bzw. zu ergänzen. Das
DWDM-Plattform des Wissenschaftsnet- griff auch auf die unterste Schicht des Net- optische Transportnetz (OTN, engl.: opti-
zes seit fünf Monaten im Produktionsbe- zes. Gegenüber den klassischen Wellenlän- cal transport network) ist eine von der ITU
trieb und die Erfahrungen mit der noch gen-Multiplexern, die die Transport-Arbeit im Standard G.709/G.872 vereinheitlichte
Add/Drop
North
R R
T T
/ /
DWDM-
DWDM- Knoten
Knoten
Add/Drop
Add/Drop
East
West
Add/Drop
T T T T T T T T
/ / / / / / / /
R X
R R R R R R R
colored: für jede „Farbe“ ein spezifischer Port je Add/Drop-Block colorless: jede „Farbe“ an jedem Add/Drop-Port
directed: genau eine Ausgangsrichtung erreichbar je Add/Drop-Block directionless: jede Ausgangsrichtung erreichbar für jeden Add/Drop-Port
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 | 9
ESF
Grundvoraussetzung ist dabei die Ver- SAA KAI
HEI
ERL
schaltung von optischen Leitern, so dass KIT REG
STU
an den Netzwerkknoten die Daten ver- STB Das Kernnetz des X-WiN
KEH FHM
mit „ODU Cross Connect
schiedener Kommunikationsverbindun-
GAR
Backbone“, der sich über 14
gen aus der Glasfaser entnommen (Add/ BAS Kernnetzknoten erstreckt.
Drop) bzw. zur nächsten optischen Kom-
ponente weitergeleitet werden. Der Ein- der Schaltung neuer Wellenlängen oder ‚klassischen‘ optischen Schicht des Netzes,
satz von rekonfigurierbaren Add-Drop-Mul- Konfigurationsarbeiten am Netz gehören dem „Optical Channel Layer“, befinden sich
tiplexern (ROADM – Reconfigurable Opti- seit der Migration des X-WiN der Vergan- im heutigen X-WiN drei „digitale Schich-
cal Add-Drop Multiplexer) verbessert dabei genheit an. Nicht zuletzt bringt die Verfü- ten“, nämlich die „Optical Channel Trans-
die Neu- und Umschaltung von Verbindun- gungsgewalt über die DWDM-Technik auf port Unit“ (OTU), die „Optical Channel Da-
gen und gleichzeitig auch die Verfügbar- lange Sicht auch erhebliche Kostenvortei- ta Unit“ (ODU) und „Optical Channel Pay-
keit bei Glasfaserwartungen und nicht ge- le. Wo früher ganze Wellenlängen inklu- load Unit“ (OPU), welche elektrisch verar-
planten Unterbrechungen. sive Service durch den Betreiber geleast beitet werden. Nutzdaten werden als OPU
werden mussten, wird künftig remote ei- Payload in ODU Frames verpackt und bil-
Diese neue Generation von Add-Drop-Multi- ne Wellenlänge zugeschaltet. den so die logische Dateneinheit, die zwi-
plexern bietet im Gegensatz zur alten Tech- schen den Eingangsports zweier Standor-
nologie die Möglichkeit, Wellenlängen „co- Datenströme gebündelt und te transportiert werden soll. In Form von
lorless“ und „directionless“ ein- und aus- OTU Frames werden sie dann an den Opti-
verpackt
zukoppeln. „Colorless“ bezeichnet die Ei- cal Channel Layer zum Transport überge-
genschaft, verschiedene Wellenlängen im Der wohl größte Unterschied zur bislang ben. In den ODUs und OTUs ist definiert, mit
Gegensatz zu einem festen Port beliebi- eingesetzten DWDM-Technologie be- welcher Datenrate bzw. Bandbreite Daten
gen Ports zuzuordnen, „directionless“ be- steht in der Möglichkeit, niedrigratige übertragen werden können. Die neue Hard-
deutet, dass jeder Add/Drop-Port mit allen Datenströme auf den Kernstrecken des ware ist in der Lage, verschiedene ODUs
möglichen Richtungen durch den Multiple- X-WiN gebündelt zu übertragen. Bei die- zu kombinieren und in eine OTU zu „ver-
xer verbunden werden kann. Somit ist an sem Sammeltransport können bis zu zehn packen“ (ODU Cross Connect). Damit kön-
jedem Add/Drop-Port jede Farbe und jede 1-Gigabit/s-Ströme zu einem 10-Gigabit/s- nen die Daten von Ports unterschiedlicher
Ausgangsrichtung möglich und dies kann Strom aggregiert werden, anstatt wie bis- Bandbreiten kostengünstig in eine Wellen-
im laufenden Betrieb „aus der Ferne“ kon- her 10 Wellenlängen zu belegen. Auf einer länge integriert werden.
figuriert werden (siehe Abb. 1). 100-Gigabit/s-Verbindung können dem-
entsprechend eine Vielzahl von 1- und Der Einsatz von Switching-Fabric-Kompo-
In Kombination mit umfangreichen remo- 10-Gigabit/s-Verbindungen zusammenge- nenten ermöglicht es außerdem, Verbin-
te-Funktionalitäten ermöglicht die DWDM- fasst werden. Die technische Basis dieses dungen zwischen optischen und elektri-
Technik eine flexible Wegeführung von Ver- Verfahrens ist ein OTN-Backbone, der an 14 schen Komponenten sowie den Ports der
bindungen und ein intelligentes Ausnutzen zentralen Kernnetzknoten mit 2-3 OTU2- Anwender bzw. angeschlossenen Router
von Netzkapazitäten ohne technologische Verbindungen zu je 10 Gbit/s pro Kante auf- dynamisch und ohne physische Verände-
Beschränkungen. Lange Vorlaufzeiten bei gespannt ist (siehe Abb. 2). Oberhalb der rungen an der Technik zu schalten. Dadurch
10 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
können beispielsweise VPNs (Virtual Pri- Multiplexer der Apollo-Serie sind mit der Fä- der Zusammenarbeit mit dem DFN-Verein
vate Networks) direkt auf dem optischen higkeit ausgestattet, Leitungs- bzw. Dämp- bestens bewährt hat. Mit dem entschei-
Medium ohne Beteiligung von IP-Geräten fungseigenschaften einer Glasfaser auto- denden Unterschied allerdings, dass auch
eingerichtet werden. Weitere Einsatzmög- matisch zu erkennen und das abgegebene bei der Überwachung eine volle Transpa-
lichkeiten dieser Technik sind MPLS (Multi- Signal auf die jeweils angesprochene Fa- renz für den DFN-Verein als Auftraggeber
protocol Label Switching) zur schnellen Da- ser zu justieren. Wird eine neue Faser in gegeben ist.
tenübermittlung auf OSI-Layer 2 und Band- das Netz integriert oder eine bereits vor-
width on Demand zur Provisionierung von handene nach einem Leitungsbruch repa- Und die Anwender?
Bandbreiten für zeitlich begrenzte Anfor- riert, mussten bislang Mitarbeiter ausrü-
derungen. cken, die die Eigenschaften der Fasern vor Wer einen X-WiN-Anschluss sein Eigen
Ort mit speziellen Messgeräten ermitteln nennt, hat die Auswirkungen der Migra-
Anpassung der Netz-Topologie und die Multiplexer per Hand auf die Ei- tion auf die neue optische Plattform be-
genschaften der jeweiligen Faser abstim- reits in positiver Weise zu spüren bekom-
Die Migration auf neue optische Übertra- men. Dieser Prozess erfolgt heute remote men. Trotz der erheblichen Investitionen
gungstechnik machte ein Re-Design der und ist in hohem Maße nutzerfreundlich. des DFN-Vereins bei der Anschaffung der
IP-Plattform des X-WiN sinnvoll. Bereit ge- Dieses Feature erlaubt dem DFN-Verein, DWDM-Technik ist es bereits ein halbes
gen Ende der Migration im vergangenen die Verantwortlichkeit für Wartung und Jahr nach Abschluss der Migration mög-
Jahr wurden neue Faserverbindungen in Management des Netzes weitgehend in lich, die Leistung sowohl für die VPN-Stre-
das Netz integriert, die im Norden von Ros- die eigene Hand zu nehmen. cken im X-WiN als auch für die Anwender-
tock über Greifswald nach Frankfurt/Oder anschlüsse beim Dienst DFNInternet bei
sowie im Westen von Bonn nach Saarbrü- Zur laufenden Überwachung des Netz-Sta- unverändertem Entgelt zu steigern. Zum 1.
cken führen. tus kommuniziert die DWDM-Plattform des Juli 2013, kurz nach Erscheinen dieses Hef-
X-WiN Fehlerzustände über das Simple Net- tes also, werden erhebliche Leistungsstei-
Die wohl wichtigste Neuerung im X-WiN work Management Protocol (SNMP). Die gerungen für die gängigen Nutzungsfor-
aber betrifft den Super-Core des X-WiN sel- Glasfaserstrecken selbst werden dabei men der Anwender realisiert. Augenfällig
ber. Derzeit sind die Mitarbeiter der Ge- durch eine spezielle Wellenlänge – den Op- ist dabei, dass die oberste Anschluss-Kate-
schäftsstellen des DFN-Vereins gemeinsam tical-Supervising-Channel – überwacht, der gorie des Dienstes DFNInternet bereits in
mit den Kollegen von ECI damit befasst, auf einem Interface an den Kernnetzstand- der 100-Gigabit-Klasse angesiedelt ist. Wer
den inneren Backbone des X-WiN zwischen orten endet, von wo aus die Mess-Daten bislang einen 40 Gigabit/s-Anschluss sein
Frankfurt/Main, Hannover, Berlin und Er- auf zwei Service-Rechner im Netz gesen- Eigen nannte, spielt künftig bandbreiten-
langen von bisher 20-Gigabit/s-Technik auf det werden. Von hier aus werden sämtli- mäßig auf Augenhöhe z.B. mit dem CERN,
100 Gigabit/s aufzurüsten. che Netzparameter laufend an die Netz- das vor kurzem den ersten 100-Gigabit-An-
überwachung kommuniziert, die wie in der schluss an das GÉANT realisiert hat. (Siehe:
Monitoring, Rekonfiguration und Vergangenheit durch einen spezialisierten Internationale Kurzmeldungen) M
Wartung Dienstleister durchgeführt wird, der sich in
By: Yitzhak Aizner, Amitay Melamed, Sharon Rozov (ECI Telecom Ltd.)
As a direct consequence, we are looking 3. Disaster Planning Strategies (in- Software-Defined Networking
at increased investments in storage units, cluding Disaster Avoidance) (SDN) for Dynamic Data Centers
data centers and cloud technologies, with Mission-critical application environ-
no signs of declining in the foreseeable fu- ments, including their associated da- Until recently, optical networks could rely
ture. In fact, according to Gartner Research, ta-bases and virtual machines, must on a simple practice to deal with the chal-
data center expansion is expected to in- be proactively migrated from a da- lenge of massive traffic growth, by meeting
crease from roughly $90B in 2011 to over ta center in the path of natural ca peak hour demands. However, this be-
$150B in 2016, including servers, storage lamities, such as hurricanes, to an comes unrealistic as optical networks reach
& networking. alternate location. Disaster planning their physical barrier for capacity, so that
strategies and content replications any further expansions are dependent on
We are also witnessing the rapid growth are often required by regulators in digging more fibers, not always a possi
of cloud service offerings from companies many countries. bility. In the case of data centers, because
such as Amazon, Google, Yahoo, Facebook, of the bursty nature of traffic, relying on
Apple, Microsoft, and IBM. These providers The cloud phenomenon, particularly inter- peak hour demands as the default at all
use several geographically distributed da- data-center replication and redundancy, times is a very costly proposition, eco
ta centers to improve end-to-end perfor- causes exponentially raised demands for nomically and in terms of power consump-
mance, as well as to offer high availabili- bandwidth and imposes high-bandwidth tion and environmental concerns.
ty in case of failures. As such, cloud servi- requirements on the wide area network
ces and cloud-based data centers are in- (WAN). The solution? Introducing network dynam
creasingly and dramatically changing the icity into resource and power consumpti-
data stream behavior over our networks. Leading content service providers are see- on per actual demand, through software-
ing data center interconnect (DCI) traffic defined networking, or SDN.
If, once, data and content were relatively grow ten times faster than user traffic. The
static in terms of storage as enterprises, DCI traffic is characterized by traffic bursts Optical networks serve as the infrastruc-
organizations and institutions kept their that need the full peak rate available at run ture for many diverse applications, making
information locally, they now travel among time, to guarantee coherency of inter-data optical planning per application demands
data centers for increased reliability and center operations. This requirement pre- impossible. The introduction of SDN as the
performance, for the following reasons: sents unique challenges when designing means for dynamic networking is an im-
a DCI network, including performance, ef- portant trend, as it supports dynamic re-
1. Data Center Capacity Expansion ficiency and cost effectiveness. Therefore, source provisioning for efficient network
and/or Consolidation it is not only the issue of traffic capacity, planning and operations.
Applications need to be migrated but also run-time resource management,
from one data center to another as to guarantee network resources will be dy- SDN calls for the decoupling of the con-
part of data center maintenance or namically assigned and available, when a trol plane and the data plane of network
consolidation, without any down- specific DCI operation is being executed. nodes. The control plane provides abstrac-
time. Conversely, virtual machines tion of network capabilities, while hiding
have to be migrated to a secondary So we must look at what the future has to the complexity of the underlying transport,
data center as part of expansions to offer in terms of more capacity and more so network resources can be monitored
address power, cooling, and space flexibility, to cope with the sporadic, simul- and programmed per application demand.
constraints in the primary one. taneous and independent nature of DCI re- An orchestration layer enables a wider net-
plication scenarios, not to mention bursty work view and supports multi-layer, mul-
2. Virtualized Server Resource Dis- broadband consumption. ti-domain and multi-vendor correlations.
tribution over Distances Correlation is made possible by mashing
Virtual machines need to be migrat Which brings us to software-defined net- up multiple abstracted resources (see
ed between different data center working and 400G transmission rates… figure 1.)
sites to provide computing power
from a data center closer to the cli- In a multi-layer solution, packet-transport
ent (“follow the sun”), or to load-bal layer services diffuse into the optical net-
ance across multiple sites. work. Optical transport muxing can be
made more intelligent, inheriting packet
layer capabilities, such as partial rate,
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 | 13
asymmetric, on-demand, scheduled and mum optimization of the network - By 2015, expected capacity require-
QoS-based muxing. In the future we may and cloud resources. ments of 10x the requirements of
also be able to dynamically provision wave- 2010, i.e., Terabit
lengths to provide optical sub-rates, based - Multi-tenancy: securing applica-
on similar policies and in alignment with tions and organizations by isolating - By 2020, expected capacity require-
packet network services. them from each other, while keeping ments of 100x the requirements of
the underlying physical network hid- 2010, i.e., 10 Terabit
SDN can make the optical network pro- den from end customers
grammable, for example in the following - Higher speed at lower cost per bit
contexts: The OIF (Optical Interworking Forum) and needed by Ethernet interconnect.
the ONF (Open Networking Foundation), Not “can it be done,” but rather “can
- Bandwidth-on-demand: immedi organizations promoting SDN adoption, it be done at the right cost?”
ate provisioning of additional band- have both established optical transport
width between locations to facili working groups to address the applicabil In March 2013, in a „Call for Interest“ meet
tate large data transfers or other im- ity of SDN to optical networks and recom- ing at the IEEE, there was broad consensus
mediate bandwidth needs in case mend reference architecture. to form a working group for 400G Ethernet,
of cloud bursting or cloud disaster with the following issues as the main con-
recovery However, the introduction of SDN in opti- cerns: reach, physical layers and architec-
cal networks will not be straightforward ture (see figure 2.)
- Bandwidth scheduling: scheduled as network operators are not expected to
provisioning of additional band- completely replace their working networks The IEEE sees the ITU-T defined OTN as the
width per pre-planned large data and management systems. Instead, some long-reach default solution to carry 400G,
transfers driven by scheduled ap- type of a transformation process, based on even in non-WDM environment. A common
plications and maintenance legacy capabilities, will be built to achieve join effort between the ITU-T and the IEEE
the goal of optical network programma- is required to build a working, mature eco-
- Workload balancing: sharing the bility and unified resource management system. Since packet is the major source
workload, applications and services for both cloud and transport network re- of traffic at the OTN layer, it is clear that
among links and servers for maxi- sources. Eventually optical networks will the next Ethernet rate and the new ITU-T
14 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | WISSENSCHAFTSNETZ
ITU-T defined
„Core OTN Transport“
carrying Ethernet traffic
X.000 km
defined OTN need to be correlated to op- OTN challenges, on the other hand, are In addition, to increase line rate and main-
timally carry the Ethernet rate. much more complex, as OTN should sup- tain the 88 channels, higher SR may not
port legacy wavelengths with different help at all, and we may need to increase
However, given that the market will de- rates, amplified optics and power limitati- the spectrum density – the amount of bits/
mand 1T rates by 2015, how come 400G on to prevent non-linearity (NLE). Yet ano- sec that may be transferred on a spectrum
met with such broad consensus from ther major OTN challenge is the Bit/second/ piece (such as 1Hz). Increasing spectrum
IEEE members? HZ issue. Starting from 100G, fibers used density is a well-known technique in radio
for WDM transport become bandwidth- technology – microwave or cellular, but it
Looking into the future scarce, and preserving 88 channels for will always come with penalty of perfor-
beyond 100G is not possible, since the mance. In the optical space, it basically
The ITU has completely adopted the Ether- symbol rate (SR) and the bandwidth are means lower distance. Thankfully, 100G
net-based CFP (100G MSA client transceiver roughly the same. The SR of standard ITU- provides us with similar performance as
package) package as its basic OTN client in- OIF 100G (DP-QPSK) is 33 G Symbol/sec ~ – 10G, but as we know from radio, increasing
terface, and even for line side, CFP will be which is more than 33Ghz BW. To double symbol complexity has ~ 3dB OSNR penal-
used for coherent transceiver. The new CFP the SR for rate increasing, say to 66GSy/ ty for each step – so, for example, moving
coherent transceiver includes SD-FEC on sec, will exceed the 50 GHz spectrum of from QPSK to QAM16 has ~6dB OSNR penal-
the DSP chip, and will enable carrier Ether- WDM channels. ty (~0.25 x 100G distance). (See Picture 3.)
net switch routers (CESR) to skip the OTN
layer when working at long-reach fiber.
400 DP-16QAM 4.6 or 5.3 bits/s/Hz
Yet the challenges of Ethernet and OTN
are completely different. Besides the va-
riations in distance (with Ethernet from
0 – ~40Km, and OTN >~40Km), Ethernet
uses fiber as dark fiber, being able to be
defined depending on how it is optimized
(line code, number of colors, wavelengths,
optical power…). It is the only single inter-
face that lives on fiber.
87.5 or 75 Ghz
Fig. 3: Source: Adapted from IEEE.
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 84 | 15
100 Gb/sλ
possible if we rely on technologies that
10 Gb/sλ
40 Gb/sλ
10 Gb/sλ
40 Gb/sλ
40 Gb/sλ
40 Gb/sλ
40 Gb/sλ
are “almost here.” Despite the 2015 1T bps
IEEE 802.3BWA challenge, the industry is
still missing the right technology, which
will probably involve some major break-
1569.59 1569.18 1568.77 1568.36 1567.95 λ nm
1531.12 1530.72 1530.33
through in the silicon photonic segment.
The lack of such breakthrough technolo- C-band, fixed 50 GHz grid
gy was the key driver for the broad 400G
IEEE agreement.
100 Gb/sλ
100 Gb/sλ
400 Gb/sλ
400 Gb/sλ
We believe that a joint economic and tech-
1 Tb/sλ
nologic approach is required to enhance
the OTN rate, as it mostly serves the pack
et world. This joint approach might inclu-
de the following ideas:
1569.59 1569.18 1568.77 1568.36 1567.95 λ nm
1531.12 1530.72 1530.33
• Increase spectral density by moving Example of a future C-band, 50 – 200 GHz Flexible Grid (in 25 GHz increments)
to QAM16
Fig. 4: Source: Adapted from IEEE.
Kurzmeldungen
Vom CISO bis zur Hochschul-App: Nutzergruppe Hochschulverwaltung
tagt zum 11. Mal
Bereits zum 11. Mal trafen sich vom 6. bis gungen und Informationsveranstaltun- reichend die administrativen und die wis-
zum 8. Mai 2013 die Mitarbeiter der Hoch- gen ihre spezifischen Interessen formu- senschaftlichen Aspekte der Netznutzung
schulverwaltungen im Rahmen der alle lieren. Die Veranstaltungen der Nutzer- heute ineinander greifen.
zwei Jahre stattfindenden Tagung der DFN- gruppe sind von besonderer Relevanz für
Nutzergruppe Hochschulverwaltung. Un- das Deutsche Forschungsnetz, da die Ver- Einen Überblick über die Themen und Ar-
ter dem Motto „Mobiler Campus“ wurden waltungen der Hochschulen sich traditio- beitsgebiete der Nutzergruppe gibt das Ta-
an der Universität Mannheim neueste Ent- nell in einer Doppelrolle gegenüber ‚dem gungsprogramm, das auf den Webseiten
wicklungen im Bereich ‚IT an Hochschulen‘ Netz‘ befinden. Sie sind zugleich Nutzer der Nutzergruppe hinterlegt ist. Zu fast
diskutiert. Das Themenspektrum der Ver- mit höchsten Ansprüchen etwa in den Be- allen Vorträgen und Präsentationen fin-
anstaltung reichte von der titelgebenden reichen Sicherheit, Usability und Relevanz den sich Folien und Abstracts. Wer sich
Mobilität in all ihren Aspekten über Fra- für die realen Bedarfe der Wissenschaft, über den Stand und das Potenzial mobi-
gen der Risikoanalyse und IT-Sicherheit bis zum anderen sind die Verwaltungen tief ler Systeme an den Hochschulen informie-
zum Prozessmanagement und den vielfäl- eingebunden in die Entscheidungsprozes- ren möchte, wird auf den Webseiten der
tigen, nicht zuletzt sicherheitstechnisch se im IT-Bereich. Insbesondere die Etablie- Hochschulverwalter ebenso fündig wie der-
und juristisch relevanten Fragen rund um rung von IT-Entscheidungen auf der Füh- jenige, der einen Überblick über die der-
Cloud-Technologien. rungsebene der Hochschule durch CTOs zeit im Einsatz befindlichen „Hochschul-
(Chief Technology Officer) oder die von vie- Apps“ sucht. M
Die Hochschulverwalter bilden eine der len Seiten gestellte Forderung nach der http://www.hochschulverwaltung.de
dienstältesten Communities im DFN-Ver- Einführung sogenannter CISO’s (Chief In-
ein, die als Nutzergruppe mit eigenen Ta- formation Security Officer) zeigt, wie weit-
Foto: © vm - iStockphoto
18 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
GÉANT 2013: Terabit- schungsnetzen zu beobachten, das mit wie das CERN oder zukünftig das Square
Technologie im Einsatz einer zunehmenden Internationalisie- Kilometer Array generieren enorme Daten-
rung des Datenverkehrs einhergeht. For- mengen, die über viele nationale Domains
Seit Jahren ist ein exponentielles Wachs- schungskollaborationen und international hinweg verteilt, analysiert und gespeichert
tum des Datenaufkommens in den For- aufgestellte Projekte und Infrastrukturen werden müssen. Damit wachsen nicht nur
INTERNATIONAL | DFN Mitteilungen Ausgabe 84 | 19
„Need for Speed“ schaftlern künftig die Möglichkeit, Test- ned Networks z.B. auf der Basis von Open-
beds zur Erprobung neuer Netztechnologi- Flow in einer realistischen Weitverkehrs-
Die Ausrüster der neuen GÉANT-Generati- en und innovativer Anwendungen zu nut- Umgebung und bei Bedarf über mehrere
on heißen Infinera und Juniper Networks. zen. Hierzu stehen im GÉANT zwei Typen Domains hin zu erproben und möglichst
Auf der Switching-Plattform kommen seit von Testbed-Ressourcen zur Verfügung: zeitnah für die wissenschaftliche Netznut-
Mai Router der MX 3D Serie von Juniper Ein ‚Dynamic Packet Testbed‘ ermöglicht zung zu erschließen.
Networks mit 100-Gigabit/s-Kapazität Untersuchungen und Technologieerpro-
zum Einsatz. Die optische Transportebe- bungen auf den höheren Netzwerk-Ebe- Der DFN-Verein war in jüngster Vergangen-
ne des GÉANT ist nun mit Infineras neues- nen, während ein ‚Dark Fibre Testbed‘ ei- heit in verschiedenen Arbeitsgruppen an
ter DTN-X Technik bestückt sein, die „XTC“ ne Infrastruktur für Feldversuche mit op- der netztechnischen Weiterentwicklung
Add Drop Multiplexer und „OTC“ Optical tischen und photonischen Technologien des GÉANT beteiligt, unter anderem in den
Line Amplifiers mit EDFA/RAMAN Verstär- bereitstellt, auf der sich technologische In- Bereichen Federated Network Architectu-
kern kombiniert. Den mehr als 50 Millionen novationen in realistischen Weitverkehrs- res sowie Virtualisierung von Netzen. Hier-
Endnutzern, die über die 32 europäischen verbindungen erproben lassen. Nicht zu- bei wurde untersucht, welche Rolle die Fö-
NRENs und eine Fülle interkontinentaler letzt werden davon eine Reihe nationaler derierung von Netzen bzw. das Virtualisie-
Verbindungen via GÉANT kommunizieren, NRENs profitieren, die in den kommenden ren von Netzkomponenten spielen werden.
steht damit eine annähernd frei skalierba- Jahren mit dem Umstieg von 10- auf 100
re und hoch belastbare Netzinfrastruktur -Gigabit-Technologie befasst sein werden. GÉANT Open Call
zur Verfügung.
Das ‚GÉANT Dark Fibre Testbed‘ besteht In einem Open-Call-Verfahren wurden im
Forschen am Netz aus Faserverbindungen, die nach dem Ab- April und Mai 2013 Projektvorschläge ge-
schluss der aktuellen Netzwerk-Migration sammelt, die sich mit spezifischen Themen
Finanziert wird das GÉANT aus Nutzungs- des GÉANT verfügbar bleiben. Fünf solcher innovativen Netzwerkens befassen. Die Lis-
entgelten der nationalen Forschungsnetze Routen mit einer Gesamtlänge von 2.500 te dieser Themen reicht von Photonic Level
und aus Mitteln des 7. Rahmenprogramms Kilometern können von Oktober 2013 an Access – also dem Zugriff auf Netzstruktu-
der Europäischen Union. Hierzu wurden im bis Ende Juni 2015 für Tests genutzt wer- ren unterhalb der IP- und Ethernet-Ebene
Rahmen des Projektes GN3plus für die kom- den: Die Strecken London – Paris, Frank- Software Defined Networking, Bandwith
menden zwei Jahre 42 Millionen Euro von furt – Genf, Amsterdam – Frankfurt, Amster- on Demand oder Terabit Transmission Tri-
der Europäischen Kommission bewilligt, dam – Brüssel und Mailand – Wien sind mit als über eine Fülle von Utility-Themen wie
mit denen neben dem Betrieb des Netzes optischen Verstärkern ausgestattet und Network as a Service, hochverfügbare Net-
auch der Aufbau von Testbeds sowie ein ei- werden an den Endpunkten der jeweili- ze oder Cloud-Access bis hin zu innovati-
genes Förderprogramm für Entwicklungs- gen Strecken durch das Alcatel DWDM- ven Demonstrationsprojekten.
projekte unterstützt werden. Insbesonde- System des „alten“ GÉANT beleuchtet. Das
re die Durchführung von netznahen Inno- GÉANT Dark Fibre Testbed ermöglicht die Für die Durchführung dieser Projekte ste-
vationsprojekten stellt für GÉANT ein No- Technologie-Erprobung auf der Transport- hen in GN3plus 3,3 Millionen Euro bereit.
vum dar. Die Aufgabe, die die Europäische Ebene und wird nicht nur für das GÉANT, Formuliertes Ziel ist, möglichst netznahe
Kommission dem GÉANT für die kommen- sondern ebenso auch für die nationalen Forschungsvorhaben zu unterstützen, die
den beiden Jahre mitgegeben hat, lautet, Forschungsnetze interessant sein, die ih- für die Zukunft des GÉANT und der natio-
über Open Calls eine Reihe von Miniprojek- re Netze in den kommenden Jahren mit ei- nalen Forschungsnetze relevant werden
ten auszuschreiben und durchzuführen. ner neuen Generation von Routern, Swit- können. Dabei wird eine enge Abstimmung
Gesucht werden hierfür Use-Cases, eigen- chen, Multiplexern und Verstärkern aus- der eingereichten Projekte mit den laufen-
ständige Forschungs- und Technologie-Ent- statten werden und in diesem Zusammen- den Aktivitäten in GN3plus angestrebt. Die
wicklungen zur Unterstützung laufender hang Hardwaretests durchführen müssen. Laufzeit der Open-Call-Projekte soll von
Projektaktivitäten sowie innovative Pro- Oktober 2013 bis zum Ende der Planungs-
jekte und Demonstrationen in NREN-über- Das ‚GÉANT Dynamic Packet Testbed‘ stellt zeitraumes des 7. Rahmenprogramms der
greifenden Multi-Domain-Umgebungen. interessierten Wissenschaftlern eine Fülle EU reichen, das im März 2015 ausläuft. M
von Netzwerk-Ressourcen zur Verfügung,
GÉANT Testbeds mit denen sich verschiedenste Ansätze für
virtuelle und dynamische Vernetzungen er-
Mit dem Schwerpunkt „Testbeds as a Ser- proben lassen. Ziel ist, künftige Konzepte
vice“ in GN3plus bietet GÉANT Wissen- und Technologien wie etwa Software Defi-
INTERNATIONAL | DFN Mitteilungen Ausgabe 84 | 21
Kai Nan, Director Jiangping Wu, Director David West, Dante Ltd. Christian Grimm, Director DFN
CSTNET CERNET Center Project Manager ORIENTplus Chair ORIENTplus Steering Group
Who is behind ORIENTplus? JW:CERNET was the Chinese partner in ORIENT and connected
CSTNET in China. CERNET is very pleased CSTNET has become a
DW: ORIENTplus was born out of the successful ORIENT col- full partner in ORIENTplus. The equal funding and project res-
laboration between Europe and China. Through the planning ponsibility from China and Europe symbolises the shared com-
and operation of ORIENTplus the relationship has further de- mitment of both sides.
veloped. We now have both major Chinese research and edu-
cation networks, CERNET and CSTNET, fully involved in the pro- Aren’t 10Gb connections commonplace these days? What makes
ject. We also have 9 European NREN partners*, though all Eu- this upgrade so special?
ropean NRENs are connected via GÉANT, and DANTE is co-ordi-
nating on behalf of the EU and Chinese partners. Operational CG: Not at all! I agree we have 10Gb in the European GÉANT foot-
management is jointly coordinated by the GÉANT and CNGI-6IX print and on our links to the US. This is why most Internet traffic
NOCs. The project is absolutely a partnership of equals between to Asia still goes the long way round, via the US and through the
Europe’s and China’s NRENs - committed to work together to Pacific. But with ORIENTplus we now have a direct link between
provide world class e-Infrastructure for world class collabora- Europe and China which goes overland through Siberia. Unfor-
tive research. The project receives financial backing from the tunately, this comes at a cost which is why we sought EC and
EC’s FP7 programme and from the Chinese government as well Chinese government funding support. But it has the great ad-
as from the NREN communities. vantage of being the only high-capacity connection between Eu-
rope and China using the shortest route available – a must-have
22 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
for many data-intensive and time-critical research applications. for correlating massive data in real-time from radio-telescopes
in Europe and on CSTNET’s network in China. Similarly, the AR-
The upgrade from 2.5 to 10Gb was clearly needed to keep pace GO-YBJ cosmic ray studies involve the transfer of terabytes of
with the increased user demand we are seeing. To illustrate how data every year from a telescope in Tibet to a processing cen-
capacity to China has grown I may recall that ORIENTplus e– tre in Italy – thousands of miles away. Real-time processing and
volved from a direct 2Mbps peering between the UK and China analysis of these data do not work with packet loss or a jittery
to a high-speed inter-regional link over a thousand times that connection – so the applications need dedicated R&E network
capacity. Not to mention that in DFN we celebrated a 64kbps link links, such as ORIENTplus, to deliver this. Genomic research bet-
between Germany and China less than 15 years ago. ween China and Europe needs the same strong networking. The
commodity Internet would simply not be able to tackle the data
JW: But ORIENTplus is more than just a link with huge capaci- traffic generated by DNA sequencing and processing by life sci-
ty. Thanks to good co-operation between CERNET, TransPAC3, ences institutions, such as the Beijing Genomics Institute (BGI)
and Internet2, and ORIENTplus there is now also an integral ele- and the European Bioinformatics Institute (EBI).
ment of “around the globe” connectivity support. A recent mu-
tual back-up agreement between the four partners guarantees JW: More and more collaborative projects between universities
network reliability and resilience by automatically re-routing in China and Europe have increasing bandwidth demands. There
the traffic via the US in the event of any outage. I believe this is are, for example, many UK universities setting up remote campu-
the first-ever global back-up partnership and a great example ses and offices in China, the online courses, videoconferences and
of collaboration between network providers. other forms of virtual meetings and discussions are becoming
a key part of this type of remote education. Certainly, ORIENT-
We understand that link is operated in hybrid mode. What are plus is the basic infrastructure to support these collaborations.
the advantages of that?
What special value does China see in ORIENTplus?
CG: Indeed. The hybrid nature of the link means that it can carry
both IP and point-to-point traffic. It will allow us to deploy tools JW: In the late 90’s, before ORIENT and ORIENTplus, CERNET’s first
and services, such as PerfSONAR, eduroam and dynamic point-
to-point links. In addition to the upgraded link capacity, this will
give us adequate flexibility to support communities with spe-
cial networking requirements. ORIENTplus
KN: Let us not forget the good team work to make this happen.
Between 2007 and 2010 the ORIENT project provided the
We have set up a joint EU-China technical support team. So we
first high capacity link between GÉANT and China with
have the most efficient and simplified troubleshooting process
FP6 funding support and successfully enabled many inno-
to ensure reliable and high quality network transmission. And I
vative EU-China research and application collaborations
agree, the hybrid mode provides the opportunity to deploy dif-
to flourish.
ferent, innovative techniques and equipment, such as accelera-
ORIENTplus is created to maintain and further develop
tion devices, to match specific application needs.
infrastructure between GÉANT and China that is open for
use by all European and Chinese researchers. The main fo-
Who uses this link today and what are the growth areas? cus of the this project is to support the infrastructure link.
To mark the significant upgrade of the ORIENTplus link to
CG: It comes as no surprise that users from the LHC community 10 Gbps, project partners, senior EC and Chinese govern-
were among the first to fill the increased capacity. But we ex- ment officials, media representatives as well as members
pect many more from other disciplines. As an interesting effect, of the user community gathered on 12 April for a com-
by making the ORIENTplus capacity available to our users we memorative event networked over the ORIENTplus link,
learned a lot about the many existing collaborations between with a main venue in London connected by high-quality
European and Chinese researchers. video-conferencing to 14 sites across Europe and China.
The launch event provided an opportunity to hear and see
KN: We have already seen take-up in the field of radio-astrono- first-hand from scientists how this high-speed China-EU
my. eVLBI, for example, relies on a stable network connection link makes a real difference in advancing collaborative
research.
*BASNET, CESNET, DFN, e-ARENA, GARR, GRNET, JANET, NORDUNET and PSNC
INTERNATIONAL | DFN Mitteilungen Ausgabe 84 | 23
direct links to Europe were with JANET and DFN only. With ORI- How do you see the EU-China collaboration develop in the com
ENT and now ORIENTplus, China’s researchers can now reach ing years?
the whole of Europe with just one link. As the link capacity
grows and our researchers can collaborate more, the rela DW: We already see China is the EU’s 2nd largest trading partner
tionships get stronger and lead to new discoveries and inno- and the EU is China’s biggest trading partner. The current ORI-
vation. On China’s side we have the vision of global network ENTplus project runs to the end of 2014.The growing research
ing since research challenges are global. We are very pleased and technology development programmes between Europe
this is Europe’s vision too. It leads to good partnership and and China mean there is a clear need for the world class e-Inf-
success. rastructure links to continue to be provided and further devel
oped. So we are now starting to discuss not ‘if’ but ‘how’ this is
KN: ORIENTplus brings the best Chinese and European minds done, building on the already excellent working relationships.
together. In addition to our major science programmes, there As well as the connectivity we would like to broaden this in to
are important applications for all our people, such as e-health further service and user collaborations.
and environmental monitoring. During the Sichuan earthquake
in 2008, for example, the ORIENT link was able to distribute high- We have some way to go, but I hope it will not be too long be-
resolution satellite images of the damaged region for immedi- fore the project that follows on from ORIENTplus is able to tell
ate analysis to help plan rescue, relief and recovery. DFN-Mitteilungen of its latest upgrade to 100Gb or higher! M
The CEOs critically reviewed the common strategic challenges to develop a common view on the political approach to funding
they face in delivering advanced ICT services to the Research and the Global Network Architecture. Both these groups will have
Education communities they serve. Outcomes of this meeting strict timetables to ensure close alignment and delivery across
include significant progress on the four major challenges the our multiple global boundaries.
CEOs defined at their first meeting as well as developing new
areas of common strategic interest. 2. Global Realtime Communications Exchange – The CEOs en-
dorsed the work done so far to develop a global dialing directory
The four challenges are as follows: for audio and video collaboration tools using NRENUM.net, SIP,
and H.323 as the major technical direction. Each participating
1. Global Network Architecture – While clear principles for a co- NREN, if not have already done so, will begin implementation
herent global R&E network architecture continue to take form, of this before the end of the 2013. The level of global interoper
the CEOs decided to refine these principles by commissioning ability resulting from this project will be a key enabler for the
a high-level action group to study and report back on key areas collaboration goals of the sector globally during the next five
such of procurement, the relationships with intercontinental year horizon in order to enhance both research and teaching &
carriers and new intercontinental fiber builds, and federated learning growth.
operations. A subgroup of the CEO Forum has also been formed
24 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
3. Global Service Delivery – An initial group of seven of the CEO own device) and the increased risk profile as big data hits extra-
Forum’s NRENs are aligning their efforts on Global Service De- ordinary growth rates. The CEOs created two new groups. The
livery and are collaborating on creating business models and first one to determine how we can keep our networks and servi-
developing contracts to work with cloud providers on a global ces both open and secure. The second one on how to take away
scale. This initiative is not without significant challenge, specifi- barriers in global mobile communications for our community,
cally with respect to achieving common global legal agreements. leading to clearly developed action plans in order to assess and
The progress of this project requires rapid global development address any R&E market failure.
and implementation in order for the sectors across the world
to seize immediate cost and efficiency benefits in the effective On the area of working with existing global or regional expert
delivery of market leading technology solutions. groups, the CEOs acknowledged their commitment to work with
these groups to determine how their efforts can contribute to
4. Global Federated Identity Management – To support the ef- the initiatives of the Global R&E Network CEO Forum.
fective global use of cloud services and on-line learning envi-
ronments such as MOOCs, the CEOs committed to interconnect The CEO Forum will continue to move forward with regular vid
each of their federations before the end of 2013. This effort will eo conferences and will meet again face to face to ensure pro-
be aligned such that the Global Realtime Communications Ex- gress against the specific project milestones. The strategic im-
change and the Global Service Delivery can build on the interfed portance of countries with emerging NRENs was clearly recog-
eration work. This interfederation platform is a fundamental nized by the group with the next face to face meeting scheduled
building block ensuring seamless linkages of both people and to be held in South Africa at the end of 2013, a location which ex-
projects across both national and regional boundaries. It was emplifies with a view to exploring further the advanced needs
recognized that if the global NREN community did not pursue of the global research community with the Square Kilometer
this approach as a matter of urgency there was a risk that less Array and the specific needs of developing NREN communities.
appropriate and fragmented solutions would be adopted which
would be highly detrimental to the coherence of global research The Global R&E Network CEO Forum consists of the Chief Exec
and educational collaboration. utive Officers of AARNet (Australia), CANARIE (Canada), CERNET
(China), CUDI (Mexico), DANTE (Europe), DFN (Germany), Internet2
In addition to these four challenge areas, there also was signif (USA), Janet (UK), NORDUnet (European Nordics), REANNZ (New
icant discussion around the areas of both security and mobili- Zealand), RedCLARA (Latin America), RENATER (France), RNP (Bra-
ty, particularly with the exponential growth in BYOD (bring your zil), and SURFnet (The Netherlands). (kh) M
Kurzmeldungen
CERN bekommt erste 100-Gigabit/s-Verbindung rechnungen zwischen internationalen Partnern in einer Cloud-
Umgebung erprobt. Die Partnerschaft mit dem europäischen
Das neue in Budapest angesiedelte Data Centre des CERN gehört Forschungsbackbone GÉANT bedeutet nicht nur eine massive
zu den ersten Nutzern, die vom neuen Terabit-Netz des GÉANT Stärkung des Projektes. GÉANT, das sein Netz soeben auf 100-Gi-
profitieren. Das „Wigner Research Centre for Physics“ wird in Zu- gabit-Technologie umgerüstet hat und über leistungsfähige Ver-
kunft in großem Umfang ‚remote‘ Experimentaldaten des Large bindungen in alle Kontinente verfügt, bringt nicht nur die welt-
Hadron Collider (LHC) speichern. Um die extremen Datenmengen, weit leistungsfähigste Netz-Infrastruktur für die Wissenschaft
die beim neuen Storage-Konzept des CERNs transportiert werden in die Partnerschaft ein, sondern auch den direkten Zugang zu
müssen zu bewältigen, erhalten das CERN in Genf und das unga- den Forschungsnetzen der nationalen Wissenschafts-Commu-
rische Wigner Centrum eine direkte 100-Gigabit/s-Verbindung. nities in Europa, die das GÉANT als gemeinsame Netz-Infrastruk-
Das LHC generiert derzeit Daten im Umfang von 30 Petabyte pro tur initiiert haben. M
Jahr. Die schnelle weltweite Verteilung dieser Daten zu den Wis-
senschaftsgruppen in verschiedenen Ländern stellt eine Voraus-
setzung für die Durchführung der Experimente am CERN dar. Die Erste transatlantische 100-Gigabit/s-Verbindung
Basis für die Distribution der Experimentaldaten bilden die na- angekündigt
tionalen Forschungsnetze und das GÉANT als pan-europäischer
Backbone mit leistungsfähigen weltweiten Links. Neben dem Gemeinsam mit GÉANT haben die nordamerikanische Internet2-
GÉANT ist auch das ungarische Forschungsnetz NIIF/Hungarnet Intiative und ESnet (beide USA), das skandinavische NORDUnet,
involviert, das die Verbindung vom GÉANT-PoP in Budapest bis das niederländische SURFnet und Kanadas CANARIE eine Public
zum Wigner Centre bereitstellt. M Private Partnership mit kommerziellen Dienstleistern zum Ausbau
der interkontinentalen Verbindung zwischen Forschungsnetzen
in Europa und Nordamerika angekündigt. Ziel des auf dem „In-
Partnerschaft zwischen GÉANT und Helix ternet2 Annual Meeting“ Ende April angekündigten Vorhabens
Nebula Cloud ist die Etablierung einer ersten interkontinentalen 100-Gigabit/s-
Verbindung über den Atlantik. Unter dem Arbeitstitel „Advan-
GÉANT-Betreiber Dante Ltd. und das europäische Grid-Projekt ced North Atlantic 100G Pilot“ (ANA-100G) sollen bereits im Juni
„Helix Nebula Cloud“ haben im Dezember 2012 eine Partner- 2013 anlässlich der TERENA Networking Conference in Maastricht
schaft vereinbart, innerhalb derer GÉANT eine aktive Rolle bei Anwendungen zwischen den USA und Europa demonstriert wer-
der Weiterentwicklung der Wissenschafts-Cloud für internati- den.
onale Großforschungsprojekte einnehmen wird. Führende eu-
ropäische Wissenschaftseinrichtungen hatten im vergangenen Hintergrund ist, dass mehrere NRENs auf beiden Seiten des At-
Jahr das nach einem Planetennebel im Sternbild Wassermann lantik auf 40- bzw. 100 Gbit/s-Technologie aufrüsten werden. Ne-
benannte europäische Wissenschafts-Grid Helix Nebula Cloud ben dem X-WiN und GÉANT sind hier auch das britische JANET,
gegründet. Zu den Initiatoren der Helix Nebula Cloud gehören SURFnet und NORDUnet sowie die Internet2-Initiative und ES-
neben der Europäischen Raumfahrtagentur ESA, dem europäi- net zu nennen. Die transkontinentalen Verbindungen allerdings
schen Kernforschungszentrum CERN und dem Europäischen La- sind dieser Entwicklung auch bedingt durch die Angebotspoli-
boratorium für Molekularbiologie EMBL auch eine Reihe von In- tik kommerzieller Provider bislang nicht oder nur unzureichend
dustrie-Partnern aus dem IT-Bereich. gefolgt. ANA 100G soll nicht nur die internationalen Kooperatio-
nen in der Wissenschaft beflügeln, sondern auch einen Anstoß
In der Helix Nebula Cloud wird die Nutzung zentraler Rechen- in Richtung der am internationalen Markt tätigen Carrier und
und Speicherkapazitäten für aufwendige wissenschaftliche Be- Netzausrüster geben. M
26 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS
Gemeinsam sicher
Nordrhein-Westfalens Hochschulen setzen auf
gemeinsames Informationssicherheitsmanagement
ISMS – vom einsamen Helden zur und seinen mehr oder minder einsichti- auch eine personelle Verankerung auf Lei-
hochschulweiten Strategie gen Kollegen und Kolleginnen ins Gewis- tungsebene. Letztlich geht es zwar auch
sen redet, wenn es darum geht, Passworte um die Frage, ob in den Browsern und Be-
Informationssicherheit ist längst keine nicht länger unter der Schreibtischunter- triebssystemen die jeweils aktuellen Pat-
Aufgabe mehr für den einsamen Helden lage zu ‚verstecken’. Informationssicher- ches eingespielt wurden, im Kern jedoch
im Rechenzentrum, der sich mit der läs- heit an Hochschulen erfordert heute so- darum, ob alle Management-, Kern- und
tigen Materie Datensicherheit auskennt wohl ein professionelles Management als Supportprozesse der Hochschule auf In-
formationssicherheit ausgerichtet sind.
Dies stellt nicht nur kleinere Einrichtun-
Plan gen vor Probleme. Zwar existieren mit der
ISMS ISO/IEC Normen „ISO/IEC 27001 und 27002“
planen
und dem vom Bundesamt für Sicherheit
und
festlegen in der Informationstechnik entwickelten
„BSI-Standard“ Leitfäden, die detailliert
Kontinuierliche
Anforderungen ISMS
Umsetzung,
ISMS Informations- regeln, welche Maßnahmen auf dem Weg
und umsetzen instandhalten sicherheits-
Do Überwachung, Act zu mehr Informationssicherheit getroffen
Erwartungen und und Management-
an ein ISMS betreiben
Verbesserung
verbessern system (ISMS) werden müssen. Die Umsetzung des um-
und Betrieb
fangreichen Regelwerks an den Hochschu-
ISMS len ist allerdings nicht trivial und mit er-
überwachen
heblichem Organisations- und Arbeitsauf-
und
überprüfen wand verbunden.
Check
Die Fachhochschulen des Landes NRW ha-
Abb. 1: Ein ISMS soll als Bestandteil eines übergreifenden Managementsystems die Entwicklung, Imple-
ben aus diesem Grund bereits im Jahr 2011
mentierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der einen gemeinsamen Fördermittelantrag
Informationssicherheit abdecken. Dabei folgt das ISMS einem kontinuierlichen Verbesserungsprozess. zur Einführung eines Managementsystems
CAMPUS | DFN Mitteilungen Ausgabe 84 | 27
für Informationssicherheit bei der zustän- Abb. 2: Der Basis-Sicherheitscheck verlief orientiert am Schichtenmodell und den zugeordneten Baustei-
nen, wie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben. In den Referenz-
digen Landesregierung gestellt. Im Rah-
hochschulen wurde im Projekt PRISMA die Schicht I „Übergreifende Aspekte“ mit 14 der insgesamt
men des durch Mitglieder des Arbeitskrei- 17 Bausteine überprüft:
ses der Kanzlerinnen und Kanzler und der
DVZ-Leiter gesteuerten „Programms für B 1.0 Sicherheitsmanagement
B 1.1 Organisation
ein gemeinsames Informationssicherheits- B 1.2 Personal
management der Fachhochschulen NRW“, B 1.3 Notfallmanagement
B 1.4 Datensicherungskonzept
kurz PRISMA, wurde ein Referenzmodell B 1.5 Datenschutz
Schicht I Übergreifende Aspekte
für die Einführung eines Information Se- B 1.6 Schutz vor Schadprogrammen
Schicht II Infrastruktur
B 1.8 Behandlung von Sicherheitsvorfällen
curity Management Systems (ISMS) entwi-
B 1.9 Hard- und Softwaremanagement
ckelt, das derzeit auf die teilnehmenden Schicht III IT-Systeme
B 1.10 Standardsoftware
Hochschulen transferiert wird. B 1.13 Sensibilisierung und
Schicht IV Netze
Schulung zur Informationssicherheit
B 1.14 Patch- und Änderungsmanagement Schicht V Anwendungen
PRISMA sorgt dabei nicht nur für den loka- B 1.15 Löschen und Vernichten von Daten
B 1.16 Anforderungsmanagement
len Aufbau des ISMS an den teilnehmen-
den Hochschulen, zu dem auch die Be-
nennung eines CISOs (Chief Information festgelegt. Im grundlegenden Textteil, der • Schützen von Informationen über
Security Officer) an jeder Hochschule ge- für alle Hochschulen gleichermaßen gilt, die Sicherstellung ihrer Verfügbar-
hört, vielmehr legt das Projekt auch den ist auch der Kooperationsvertrag veran- keit, Integrität und Vertraulichkeit,
Grundstein für eine dauerhafte Koopera- kert. Darüber hinaus kann jede Hochschule Authentizität, Revisionsfähigkeit
tion mit der Bezeichnung ISKo (Koopera- eigene Ziele und lokale Organisationsfor- und Transparenz.
tion zur Informationssicherheit). men für ihr spezifisch ausgeprägtes Ma- gemeinsamen Elementen der Orga-
nagement der Informationssicherheit er- nisation:
ISKo versteht sich als offene Kooperation, gänzen. Auf diese Weise besitzt jede Hoch- • Benennen eines CISO (Chief Infor-
d.h., jede Hochschule in NRW kann an der schule ihre eigene IS-Leitlinie – gestaltet mation Security Officer) durch je-
Kooperation teilnehmen und Mitglied wer- mit dem eigenen Logo – und setzt diese de ISKo-Hochschule.
den. Das schließt explizit auch Hochschu- verbindlich in Kraft. • Aktive Mitarbeit im ISKo-Team.
len ein, die nicht am Projekt PRISMA teil- den Standards
genommen haben. Inzwischen liegen auch Mit dem Ziel, die Zusammenarbeit auch • der BSI 2-Standardreihe zur Infor-
Beitrittsabsichten von Universitäten vor. nach Ende des Projekts im Bereich des In- mationssicherheit (100-1 – Manage-
formationssicherheitsmanagements fort- mentsysteme für Informationssi-
Das Projekt PRISMA gliedert sich in meh- zusetzen, sind die Fachhochschulen da- cherheit (ISMS), 100-2 – IT-Grund-
rere Projektphasen (Arbeitspakete). Dem bei, eine Kooperation zum Informations- schutz-Vorgehensweise,
100-3 –
Deming-Zyklus „Plan – Do – Check – Act“ sicherheitsmanagement (ISKo) zu grün- Risikoanalyse auf der Basis von
folgend wurden im Projekt zunächst über- den. Die Bedingungen zur Teilnahme an IT-Grundschutz,
100-4 – Notfall-
greifende Dokumente zum Informations- dieser Kooperation regelt der ISKo-Koope- management und Normen)
sicherheitsmanagement erstellt. rationsvertrag. Er wurde im Rahmen des
Projekts entworfen und darüber hinaus Diese Punkte definieren den allgemeinen
Dokumente zum Informations- auch im Arbeitskreis der Kanzlerinnen und Konsens aller Hochschulen.
sicherheitsmanagement Kanzler und gegenüber den DVZ-Leitern Das Management der Informationssicher-
vorgestellt. heit wird neben der IS-Leitlinie in weite-
Die Leitlinie zur Informationssicherheit ren Dokumenten detaillierter festgelegt
(IS-Leitlinie) definiert verbindlich die Ziele, Die an der Kooperation teilnehmenden und beschrieben. Im Projekt PRISMA ent-
die die Fachhochschulen in NRW gemein- Hochschulen verschreiben sich zu: stand eine erste Fassung eines Handbuchs
sam verfolgen wollen. Sie ist die Grund- zur Informationssicherheit (IS-Handbuch),
lage für die Kooperation der Hochschu- gemeinsamen, in der IS-Leitlinie ver- das anschließend vom ISKo-Team laufend
len, die auch nach Projektende zur Ver- bindlich definierten Zielen der Infor- fortentwickelt werden soll. Das IS-Hand-
besserung der Informationssicherheit mationssicherheit: buch richtet sich an CISOs und andere
fortgeführt werden soll. In der IS-Leitli- • Berücksichtigen der Informations- Beteiligte im Management der Informa-
nie werden der Geltungsbereich, die Zie- sicherheit und des Datenschutzes tionssicherheit und enthält eine Anlei-
le und die Organisation der Kooperation in jedem Geschäftsprozess. tung zur Entwicklung einer IS-Strategie
28 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS
B 1.15 B 1.2
Löschen und Vernichten von Daten Personal
B 1.14
B 1.3
Patch- und Änderungs-
Notfallmanagement
management
B 1.13
B 1.4
Sensibilisierung und Schulung
Datensicherungskonzept
zur Informationssicherheit
B 1.10 B 1.5
Standardsoftware Datenschutz
B 1.9 B 1.6
Hard- und Software-Management Schutz vor Schadprogrammen
B 1.8
Behandlung von Sicherheitsvorfällen
Der Basis-Sicherheitschecks an den drei Referenzhochschulen zeigte kurz vor Abschluss im September 2012 in vielen Aspekten einheitlich gute und schlechte
Werte mit nur wenigen Abweichungen zwischen bestem und schlechtestem Ergebnis.
sowie zahlreiche weitere Informationen Die Audits an den Referenzhochschulen Dadurch hat das PRISMA-Projekt sicherge-
zum Informationssicherheitsprozess und wurden entsprechend der Prüfkataloge stellt, dass die gewonnenen Erfahrungen
seinen Prinzipien, zu den Rollen im ISMS, des BSI durchgeführt. Dabei wurden be- bei der Einführung des ISMS allen Einrich-
zu Schutzbedarfskategorien, zum IT-Risi- stimmte sicherheitsrelevante Abläufe in tungen zugutekommen können.
komanagement etc. Ein gesonderter Ab- Hinblick auf die Informationssicherheit
schnitt beschreibt die möglichen Maßnah- exemplarisch bewertet. Die nach der IT- Im Ergebnis hat sich gezeigt, dass die Refe-
men zur Initialisierung des lokalen ISMS Grundschutz-Methode des BSI angewende- renzhochschulen einen ähnlichen Umset-
auch für die Hochschulleitung. te Form der Überprüfung nennt sich Basis- zungsgrad des Informationssicherheits-
Sicherheitscheck – sie wurde in Form von managements vorweisen. Während Be-
Einführung des ISMS an den Interviews durchgeführt. Ziel war, einen reiche wie Organisation und Personal
Referenzhochschulen ausgewogenen Soll-Ist-Vergleich durchzu- durchweg gut abgeschnitten haben, wur-
führen. Gemeinsam mit den Interview-Teil- de Verbesserungspotenzial in den Berei-
Im Projekt PRISMA wurde auch der Um- nehmerinnen und -Teilnehmern wurden chen Notfallmanagement und Sicherheits-
setzungsgrad des ISMS an drei Referenz- zunächst die relevanten Gefährdungssi- management festgestellt. Die Ergebnis-
hochschulen, den Fachhochschulen Aa- tuationen herausgearbeitet. Danach wur- se aus den Referenzhochschulen wurden
chen, Düsseldorf und Köln, in Form von de das vorhandene Sicherheitsniveau (Ist) im September 2012 im Rahmen eines ein-
Audits überprüft. Ziel war es, Gemeinsam- anhand gefährdungsabwehrender Maß- tägigen Workshops vorgestellt, zu dem
keiten und Unterschiede im Bereich der nahmen aus den BSI-Grundschutzkatalo- alle teilnehmenden Hochschulen einge-
Umsetzung von Informationssicherheit gen (Soll) festgestellt. laden waren. Im November 2012 wurde
an den Referenzhochschulen zu ermitteln ebenfalls der Arbeitskreis der Kanzlerin-
und zu prüfen, ob sich daraus Synergie- Die Audits wurden in offener Form durch- nen und Kanzler der teilnehmenden Hoch-
effekte für die Gesamtheit der Fachhoch- geführt, so dass an den jeweiligen Termi- schulen über den Stand des Projektes und
schullandschaft in NRW ergeben können. nen auch Beschäftigte anderer Hochschu- den baldigen Beginn der Transferphase
len des Landes NRW teilnehmen konnten. unterrichtet.
CAMPUS | DFN Mitteilungen Ausgabe 84 | 29
Die Transferphase das Thema an jeder einzelnen teilnehmen- wendung von Sicherheitsmaßnahmen und
den Hochschule sowie in der Gesamtheit im Umgang mit Sicherheitsvorfällen mit-
In der bereits angelaufenen Transferpha- aller Hochschulen als Daueraufgabe vor- einander ausgetauscht werden, um wir-
se wird das im Projekt erarbeitete und an antreiben soll. kungsvolle Prävention zu schaffen.
den Referenzhochschulen verifizierte Wis-
sen auf möglichst viele Hochschulen in Kooperation zur Informations- In diesem Sinne sollen die zu benennenden
NRW übertragen – nicht zuletzt als Basis sicherheit (ISKo) CISOs sowie die Datenschutzbeauftragten
der langfristigen Kooperation. Der Trans- der teilnehmenden Hochschulen als Team
fer wird in mehreren Runden in unter- In der Kooperation ISKo soll das Manage- zusammenarbeiten und wesentlich dazu
schiedlicher Zusammensetzung der Teil- ment der Informationssicherheit gerade beitragen, dass die oben genannten Ziele
nehmerkreise durchgeführt, um sowohl dort, wo Synergieeffekte zu erwarten sind, der Kooperation verbindlich verfolgt wer-
die Hochschulleitungen als auch die ope- kontinuierlich und gemeinsamen verbes- den. Dieses Team soll die Bezeichnung IS-
rativ tätigen Bereiche sachgerecht zum sert werden. Denn die grundlegende Ko- Ko-Team erhalten. Das ISKo-Team soll sich
Informationssicherheitsmanagement zu operationsidee ist ja ein möglichst scho- eine Geschäftsordnung auf Basis des Ko-
informieren und für die Kooperation zu nender Ressourceneinsatz, geschaffen operationsvertrages geben.
gewinnen. durch die Zusammenarbeit der Hochschu-
len untereinander. Auf Basis gleichartiger Mitglieder von ISKo sind zur aktiven Ko-
Für die Transferphase ist der Zeitraum Anforderungen zu abgestimmten Sicher- operation und Umsetzung der gemeinsa-
von April bis September 2013 vorgesehen. heitsthemen sollen für alle Hochschulen men Ziele in ihrer Hochschule verpflich-
Schließlich wird das Projekt mit der Grün- möglichst gleichermaßen anwendbare Ba- tet. Die Verantwortung für die Informati-
dung der Kooperation zum Informations- siskonzepte und Lösungen entwickelt wer- onssicherheit verbleibt dabei bei den je-
sicherheitsmanagement (ISKo) enden, die den. Ebenso sollen Erfahrungen bei der An- weiligen Hochschulleitungen. M
Informationen sind das Kerngeschäft einer jeden Hochschu- Informationssicherheit ist nicht allein Voraussetzung für den
le. Forschung generiert Informationen, Lehre und Weiterbil- Erfolg in Lehre, Forschung und Weiterbildung, sondern stellt
dung vermitteln Informationen. Auch in der Verwaltung und sich für viele Prozesse in der Wissenschaft zunehmend als
Organisation der Hochschulen in NRW spielen Informationen Grundlage dar. Nicht zuletzt ist Informationssicherheit auch
eine zentrale Rolle. Sie werden von den zahlreichen Profes- Bedingung für die gesetzeskonforme Arbeit von und an Hoch-
sorinnen bzw. Professoren, Lehrbeauftragten, weiteren Be- schulen. Betroffen sind davon alle Informationen, die erho-
schäftigten sowie den Studierenden erstellt und bearbeitet. ben, genutzt und weitergegeben werden.
Informationen sind zum Beispiel Forschungsergebnisse, Prü- Die Komplexität dieser Aufgabe ist geprägt von der zuneh-
fungsdaten, Finanz- oder Personaldaten. Sehr oft handelt menden Abhängigkeit der meisten Arbeitsabläufe von der IT,
es sich dabei auch um personenbezogene Informationen. ihrer schnellen Entwicklung und den immer kürzeren Lebens-
Die Mitglieder und Angehörigen der Hochschulen sind da- zyklen der Anwendungen und Systeme. Zusätzlich haben die
mit gleichzeitig Betroffene personenbezogener Daten und Möglichkeiten, die die neuen Medien und soziale Netzwer-
Akteure der Informationsverarbeitung. ke bieten, zu einem veränderten Nutzungs- und Kommuni-
kationsverhalten geführt. Hochschulen und ihre Angehöri-
Die Schutzziele der Informationssicherheit beziehen sich auf gen vernetzen sich mit Hochschulen, Unternehmen und an-
unterschiedliche Arten von Daten und Zustände, die abgesi- deren Organisationen regional und global.
chert werden müssen. Hierbei spielen Fragen des Schutzes
vor Missbrauch persönlicher Daten genauso eine Rolle wie Die Sicherung der Qualität, Zuverlässigkeit und Nachhaltig-
die Gewährleistung der informationellen Selbstbestimmung keit der Informationsverarbeitung an den Hochschulen er-
der Hochschulangehörigen, der Vertraulichkeit und Integri- fordert ein bewusstes und umsichtiges Handeln aller. Eine
tät von Daten und Kommunikationsvorgängen oder der Ver- konsequente und geeignete Anwendung der Informations-
fügbarkeit, etwa durch Verhinderung von Systemausfällen. sicherheit und des Datenschutzes bietet hierzu Hilfestellun-
Ebenfalls gilt es, die Authentizität, Überprüfbarkeit und Ver- gen und Vorgaben.
trauenswürdigkeit von Daten sicherzustellen.
30 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | INTERNATIONAL
SICHERHEIT | DFN Mitteilungen Ausgabe 84 | 31
Sicherheit
Audit der DFN-PKI
von Jürgen Brauckmann, Dr. Ralf Gröper
Sicherheit aktuell
von Heike Ausserfeld, Dr. Ralf Gröper
32 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT
Aufbau einer eigenen CA, wie z.B. dem DFN-PCA Handbuch „Auf- CA-Zertifikat
auf pastebin.com. Dort wurde auch behauptet, dass eine weite- Auditor nach einem vorgegebenen Standard.
re CA namens GlobalSign komplett gehackt wurde. Hier stellte
sich aber heraus, dass „lediglich“ der Webauftritt, nicht aber die Und zweitens müssen die „Baseline Requirements“ eingehalten
eigentliche CA-Infrastruktur kompromittiert wurde. werden, was kleinere Anpassungen an den Prozessen und der
Technik der DFN-PKI zur Folge hatte.
Organisatorische Unzulänglichkeiten
Nach den gezielten Angriffen wurden weitere Vorfälle bekannt, ETSI und Webtrust
die ihre direkte Ursache in organisatorischen Unzulänglichkei- In den letzten 15 Jahren haben sich mehrere Verfahren heraus-
ten hatten: Anfang November 2011 musste eine malaysische CA gebildet, nach denen der Betrieb eine CA auditiert werden kann.
zugeben, dass sie mehrere Zertifikate mit zu schwachen Schlüs- Betriebssystem- und Browserhersteller verlangen immer ein Au-
seln (512 Bit RSA!) und mit fehlerhaften Zertifikatnutzungen aus- dit der bei ihnen verankerten CAs nach einem von mehreren ge-
stellte. Auch diese CA wurde aus Webbrowsern entfernt. bräuchlichen Standards. Mozilla akzeptiert beispielsweise fol-
gende Standards:
Ende Januar 2012 wurde bekannt, dass eine im Browser veran-
kerte CA namens TrustWave mindestens ein Zertifikat verkauft • ETSI TS 101 456 „Electronic Signatures and Infrastructures
hat, mit dem in Produkten zur Data Loss Prevention ein Man-in- (ESI); Policy requirements for certification authorities issu -
the-middle-Angriff auf Nutzer ermöglicht wurde. ing qualified certificates“
• ETSI TS 102 042 „Policy requirements for certification
Im Dezember 2012 entdeckte das Security Team von Google ein authorities issuing public key certificate“
Zertifikat, das von der CA Turktrust ausgestellt wurde, und mit • ISO 21188:2006 „Public key infrastructure for financial
dem ein Man-in-the-middle-Angriff möglich gewesen wäre. Es services – Practices and policy framework“
stellte sich heraus, dass aufgrund eines Konfigurationsfehlers • WebTrust „Principles and Criteria for Certification
in der CA ein eigentlich für Webserver gedachtes Zertifikat auch Authorities 2.0“
als Sub-CA-Zertifikat nutzbar war und anscheinend versehentlich • WebTrust „SSL Baseline Requirements Audit Criteria V1.1“
in einer SSL Inspection Appliance eingesetzt wurde. • WebTrust „Principles and Criteria for Certification
Authorities – Extended Validation Audit Criteria 1.4“
Turktrust und TrustWave konnten darlegen, dass es sich um ein-
malige Vorfälle handelte, und es wurde vermutlich auch niemand Diesen Standards ist gemein, dass es sich um umfangreiche Re-
geschädigt. Daher behielten beide CAs ihre Browser-Verankerung. gelwerke handelt, in denen Leitlinien zum Zertifizierungsbe-
trieb in abstrakter Form aufgelistet sind. Im Rahmen eines Au-
Reaktion der Betriebssystem- und Browserhersteller dits muss dann eine Abbildung zwischen diesen Leitlinien und
Die beschriebenen Vorfälle fanden ein großes öffentliches Echo. den tatsächlich existierenden Verfahren der untersuchten CA
Auch abseits der Fachpresse erschienen Berichte über das Thema gefunden werden. Dabei muss nicht nur die Policy betrachtet
und brachten es so in den Blickpunkt einer breiten Öffentlichkeit. werden, sondern die gesamte Dokumentationsstruktur: Inter-
Als Reaktion auf die Angriffe und Unzulänglichkeiten verschärf- ne Betriebshandbücher, Administrationsdokumente, Dokumen-
ten die Betriebssystem- und Browserhersteller die Anforderun- te für Zertifikatinhaber, Risikoanalysen, Zertifikatantragsformu-
gen ihrer jeweiligen Root-CA-Programme. Die meisten Hersteller lare und vieles mehr.
haben dabei zum einen ihre eigenen Regeln verändert und der
neuen Bedrohungslage angepasst, und zum anderen die „Base- Es ist nicht zu erwarten, dass jede Leitlinie sofort eine offen-
line Requirements“ des CA/Browser-Forums (siehe Kasten) als sichtliche Entsprechung in der Dokumentation hat, und so muss
verbindlich vorgeschrieben. zu jedem Punkt aus den Audit-Standards einzeln argumentiert
werden, wieso dieser abgedeckt ist.
Die T-Systems als Betreiber der Root-CA der DFN-PKI muss die-
se Anforderungen an ihre Sub-CAs und damit auch an den DFN-
Verein weiterreichen. Ablauf des Audits der DFN-PKI
Zwei Änderungen betreffen die DFN-PKI im Besonderen: Ers- Klärung „Audit nach welchem Standard?“
tens mussten früher Sub-CAs unterhalb von im Browser ver- Am Anfang eines Auditprozesses steht die Frage nach dem Stan-
ankerten Root-CA nicht nach einem vorgegebenen Standard dard, nach dem das Audit durchgeführt werden soll. Im Fall der
auditiert werden. Das hat sich jetzt geändert, auch Sub-CAs DFN-PKI ergeben sich die Optionen aus den Anforderungen der
benötigen nun ein externes Audit durch einen akkreditierten Root-CA Programme der Browserhersteller (siehe oben). In Fra-
36 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | SICHERHEIT
ge kommen aus diesen Optionen nur ETSI TS 102 042 sowie Web- tenden Fragen betrafen hauptsächlich Nachweise für bereits ge-
Trust „Principles and Criteria for Certification Authorities 2.0“, troffene Maßnahmen, die noch beschafft werden mussten. Na-
da die anderen Standards nur für CAs mit speziellen Aufgaben türlich mussten auch kleinere Ergänzungen der Infrastruktur
bzw. für CAs zur Ausstellung von Extended Validation Zertifika- vorgenommen werden wie z.B. zusätzliche Brandmelder oder
ten geeignet sind. ein weiteres Schloss für einen Schaltkasten. Darüber hinaus wur-
den Sensoren zur Brandfrühesterkennung eingebaut, die bereits
Im Jahr 2011 wurde mit der TÜV Informationstechnik GmbH (TÜ- auslösen, wenn am anderen Ende des Raumes mit einem Lötkol-
ViT) ein Audit nach ETSI TS 102 042 gestartet. Dieser Standard ist ben gearbeitet wird.
zur Auditierung der DFN-PKI sehr gut geeignet, da der Fokus des
Audits auf den technischen und organisatorischen Sicherheits- Der Bereich „IT-Sicherheit“ umfasst alle Sicherheitsmaßnahmen
maßnahmen im CA-Betrieb und der Konformität der Policy liegt. auf Netzwerk- und Server-Ebene. Es werden sowohl die organisa-
torischen als auch die technischen Aspekte betrachtet, beispiels-
Erstes Voraudit weise das Patch-Management, die Netzwerk- und Firewallkonfi-
Der Auditierungsprozess der DFN-PKI begann Mitte 2011 mit ei- guration, die organisatorischen und technischen Maßnahmen
nem ersten Voraudit. Hierbei wird die bestehende Situation vom zur Begrenzung des administrativen Zugriffs auf Server. In die-
Auditor mit dem Ziel geprüft, Abweichungen vom Standard zu sem Bereich waren am wenigsten Fragen der Auditoren zu klären.
erkennen und eine entsprechende Liste zu erstellen. Im Audit
werden die Aspekte „Policy“, „Bauliche Sicherheit“ und „IT-Si- Neue Policy 2.3 der DFN-PKI im Sicherheitsniveau Global
cherheit“ getrennt betrachtet. Nach dem ersten Voraudit musste die DFN-PKI aufgrund der An-
forderungen der Browser- und Betriebssystemhersteller erst ein-
Um eines vorwegzunehmen: Das Ergebnis des ersten Voraudits mal die Baseline Requirements des CA/Browserforums umset-
war sehr positiv und die DFN-PKI hat vom TÜViT einen sehr gu- zen. Hierzu musste neben einigen technischen Änderungen bis
ten Ausgangszustand bescheinigt bekommen. Der Großteil der zum 1. Juli 2012 eine neue Policy in Kraft gesetzt werden, die die
festgestellten Abweichungen vom Standard folgte nicht aus ei- entsprechenden Umsetzungen der Anforderungen enthält. Hier-
nem mangelhaften Sicherheitsniveau der DFN-PKI, sondern da- bei wurde gleichzeitig ein Großteil der aufgrund der Erkenntnis-
raus, dass viele Dinge zwar anders gemacht wurden, als es im se aus dem ersten ETSI-Voraudit notwendigen Änderungen mit
ETSI-Standard vorgesehen ist, nicht aber schlechter. Das Ergeb- berücksichtigt. Die Policy in der Version 2.3 wurde am 26. Juni
nis des ersten Voraudits soll hier anhand von einigen Beispie- 2012 in Kraft gesetzt.
len erläutert werden.
Die auffälligsten Änderungen betreffen die Verwendung von Be-
Die Policy einer PKI wird vom Auditor mit dem zugrundeliegenden griffen in der Policy. Dies wurde notwendig, da in ETSI TS 102 042,
Prüfstandard verglichen. Hierbei muss der Prüfer für jede Anfor- aber auch in den Baseline Requirements, die Verwendung be-
derung aus dem Standard eine Entsprechung beim Prüfling fin- stimmter Begriffe genau definiert ist, und die DFN-PKI hier teil-
den. Im Bereich Policy mussten nach der ersten Sichtung der Do- weise andere Bezeichnungen verwendete oder in einer etwas
kumente fast 100 Punkte einzeln mit TÜViT abgeklärt werden, z.B.: anderen Bedeutung eingesetzt hat:
• „Im CP, CPS fehlt gemäß ETSI 7.1 a) der Verweis auf ETSI TS • Die Registrierungsstellen (RA) bei den Teilnehmern der
102 042 und die zugehörige certificate policy.“ DFN-PKI heißen nun Teilnehmerservice, die dort arbeiten-
• „Im CP/CPS fehlt gemäß ETSI 7.2.5 a) die Angabe, dass den Personen Teilnehmerservice-Mitarbeiter (bisher: RA-
CA-Schlüssel nicht für andere Zwecke verwendet werden.“ Operator).
• „Wie wird der Zertifikatnehmer nach ETSI 7.3.6 f) darüber • Die einzige Registrierungsstelle (engl. Registration Autho-
informiert, dass eine Sperrung seines Zertifikates erfolgt ist?“ rity) der DFN-PKI wird von der DFN-PCA selber in Hamburg
betrieben.
Die allermeisten Punkte konnten entweder direkt geklärt wer- • Aus dem Zertifikatnehmer wird der Zertifikatinhaber (engl.
den oder benötigten lediglich eine kurze Ergänzung der Beschrei- Subject)
bung. Nur bei zehn Punkten mussten tatsächlich Prozesse oder • Der Anwender heißt nun „Teilnehmer“ (engl. Subscriber).
Technik leicht modifiziert werden. • Darüber hinaus wurden die RA-Operatorzertifikate, welche
zur Authentifizierung der Mitarbeiter mit Prüfaufgaben
Im Bereich „Bauliche Sicherheit“ untersuchte TÜViT in erster Linie (wie die persönliche Identifizierung von Antragstellern)
die Brand- und Einbruchschutzmaßnahmen der Räumlichkeiten, dienen, auf persönliche Zertifikate anstelle der vorher ver-
in denen die CA-Infrastruktur betrieben wird. Die zu beantwor- wendeten Gruppenzertifikate umgestellt.
SICHERHEIT | DFN Mitteilungen Ausgabe 84 | 37
Weitere wichtige Änderungen, die auch jede Einrichtung be- len Gründen leider noch nicht in die Version 2.3 aufgenommen
treffen, sind: werden konnten. Hierfür wurde am 15. November 2012 eine wei-
tere überarbeitete Policy in Kraft gesetzt. Neben einigen verfei-
• Zertifikate mit lokalen Hostnamen oder internen IP-Adres- nerten Formulierungen ist die einzige inhaltliche Änderung der
sen dürfen nur noch mit einem Ablaufdatum bis Oktober zusätzliche und formal notwendige Satz „Die DFN-PCA und alle
2015 ausgestellt werden. Nach diesem Termin gibt es keine ihre nachgeordneten CAs (Sub-CAs) erfüllen die Anforderungen
Zertifikate mit lokalen Hostnamen oder internen IP-Adres- von ETSI TS 102 042 nach der LCP Policy.“
sen mehr in der DFN-PKI (und auch nicht von anderen Zer-
tifizierungsstellen, die im Browser verankert sind). Audit
• Viele Prüfungen sind nach 39 Monaten zu wiederholen, Das eigentliche Audit lief ähnlich ab wie die Voraudits: Die Prü-
z.B. persönliche Identifizierungen oder der Nachweis über fer vom TÜViT prüften zuerst die Papierlage, also in erster Linie
den Besitz an einer Domain, die in Zertifikaten erscheint. die Policy, aber auch die anderen relevanten Dokumente wie
• Bisher gab es für jede teilnehmende Einrichtung ein ei- „Pflichten der Teilnehmer“ oder „Informationen für Zertifikatin-
genes Certification Practice Statement (CPS). Dieses wird haber“. In einem anschließenden Workshop wurden wieder of-
jetzt nicht mehr benötigt und durch ein gemeinsames CPS fene Fragen geklärt. Diesmal konnten alle Fragen des TÜViT ab-
sowie die neuen Dokumente „Informationen für Zertifikat schließend beantwortet werden.
inhaber“ und „Pflichten der Teilnehmer“ ersetzt.
In einer beispielhaft durchgeführten Zertifikatbeantragung wur-
Darüber hinaus gab es viele kleinere Änderungen, die beispielswei- de überprüft, ob die tatsächlichen Prozesse auch den in der Poli-
se die Aufbewahrungsfristen von Papierdokumenten betreffen. cy definierten entsprechen. Hierzu wurde im Beisein des Prüfers
ein Zertifikat beantragt und der gesamte Prüfprozess bis zur Aus-
Zweites Voraudit
Im zweiten Voraudit im Jahr 2012 wurde die DFN-PKI erneut vom
TÜViT geprüft. Da die DFN-PKI nun bereits an die Anforderungen
aus ETSI angepasst war, war ein Prüfergebnis mit deutlich weni-
ger Fundstellen zu erwarten. Trotzdem hatte die Liste der offenen
Punkte im Bereich „Policy“ immer noch fast siebzig Einträge, al-
so nur ungefähr ein Drittel weniger als im ersten Voraudit. Dies
war zunächst überraschend. Im Workshop mit dem TÜViT stell-
te sich aber heraus, dass es sich fast ausschließlich um Nachfra-
gen zur Policy handelte, die sich schnell klären ließen. An einigen
Stellen wurde die Policy darauf hin noch ein wenig klarer formu-
liert, faktische Änderungen waren aber nicht mehr notwendig.
Das Fazit des zweiten Voraudits war, dass die DFN-PKI für das
eigentliche Audit bereit ist und keine weiteren Voraudits not-
wendig waren.
stellung des Zertifikats durchgeführt. Dies wurde einmal bei der Darüber hinaus entwickeln sich die Anforderungen der Soft-
DFN-PCA in Hamburg selber und am Ende des Audits noch ein- warehersteller weiter, so dass ein bestandenes Audit Vorausset-
mal bei einem Teilnehmer der DFN-PKI vor Ort durchgeführt. Die zung für den Selbst-Betrieb einer Zertifizierungsstelle mit Brow-
IT-Sicherheit wird durch die theoretische Bewertung der Sicher- ser-Verankerung ist. Damit haben wir durch den Audit-Prozess
heitsmaßnahmen, aber auch durch konkrete Netzwerkscans und sichergestellt, dass auch in den kommenden Jahren browser-
Penetration Tests überprüft. verankerte Zertifikate in der DFN-PKI in der gewohnten Flexi-
bilität und in dem hohen Volumen ausgestellt werden können.
Am Ende des dreitägigen Vor-Ort Audits wurde vom Prüfer be-
reits vorab das Bestehen in Aussicht gestellt. Das formale positi-
ve Ergebnis war erst einige Zeit später verfügbar: Der TÜViT muss Fazit
nach einem Audit erst noch interne Qualitätssicherungsmaß-
nahmen durchführen, bei denen ein am bisherigen Audit nicht Trotz der auf den ersten Blick recht langen Dauer von einein-
beteiligter Mitarbeiter das gesamte Prüfergebnis noch einmal halb Jahren und dem beträchtlichen Aufwand lief das Audit oh-
auf Plausibilität prüft. Diese interne Prüfung wird dann in einem ne größere Schwierigkeiten ab, was auch an dem bereits vorher
formalen Akt mit der auch hier sogenannten Zertifizierung ab- realisierten hohen Sicherheitsniveau liegt. Dank der engagier-
geschlossen, und es wird sogar ein Zertifikat ausgestellt: Eine ten Mitarbeit der DFN-PKI-Teilnehmer konnten auch aufwändi-
Urkunde mit einer Unterschrift des Leiters der Zertifizierungs- ge Schritte wie der Austausch von Teilnehmerservice-Mitarbei-
stelle (nicht zu verwechseln mit einer CA, die digitale Zertifika- ter-Zertifikaten in kurzer Zeit durchgeführt werden.
te ausstellt). Dieser letzte Schritt konnte dann Anfang Dezem-
ber 2012 abgeschlossen werden. Mit dem Audit und der Zertifizierung nach ETSI TS 102 042 hat
sich die kontinuierliche Weiterentwicklung der DFN-PKI der letz-
Gültigkeit des Audits ten Jahre fortgesetzt, so dass wir für die Zukunft gut gerüstet
Jedes Zertifikat zu einem Audit hat nur eine beschränkte Gül- sind. M
tigkeit von einem Jahr. Vor Ablauf des Jahres muss in einem er-
neuten Audit-Prozess nachgewiesen werden, dass die Prozesse
der CA nicht inzwischen vom Prüfstandard abweichen. Deshalb
„CA/Browser Forum“
wird auch im Herbst 2013 wieder ein Audit bei der DFN-PCA statt-
finden. Im Prinzip sollte dieses Re-Audit keinerlei Überraschun-
gen bieten und mit einem relativ geringen Aufwand und vor al- Das CA/Browser Forum ist ein Konsortium von Brow-
lem ohne weiteren Aufwand bei den Teilnehmern der DFN-PKI serherstellern und CA-Betreibern. Das CA/Browser
zu absolvieren sein. Forum legt Richtlinien fest, nach denen browserver
ankerte CAs vorgehen sollen, um ein ausreichendes
Vorteile für DFN-Anwender
Sicherheits- und Vertrauensniveau für SSL-Zertifikate
Wo bringt das Audit jetzt Vorteile? Schließlich war der Auditpro-
sicherzustellen. Ursprünglich wurde im CA/Browser
zess mit nicht unerheblichen Mehraufwänden beim DFN, aber
auch bei den an der DFN-PKI teilnehmenden Anwendern verbun- Forum das Vorgehen zur Ausstellung von sogenann-
den. Notwendige Änderungen wurden zwar so weit wie möglich ten „Extended Validation“-Zertifikaten definiert.
in der DFN-PCA intern umgesetzt, um die Aufwände bei den An- Diese Regelungen hatten somit erst einmal keine Aus-
wendern zu minimieren. Trotzdem ließen sich einige Aspekte wirkungen auf die DFN-PKI. Durch die Sicherheitsvor-
nur durch die Änderung von Prozessen bei den Anwendern um- fälle der Jahre 2011 und 2012 bei browserverankerten
setzen. Umstellungen durch zwei neue Policy-Versionen, durch CAs wurden aber auch die Aktivitäten beschleunigt,
personengebundene Teilnehmerservice-Mitarbeiter-Zertifikate Anforderungen für nicht-EV-Zertifikate zu definieren.
und durch geänderte Archivierungsfristen haben sicherlich auch
Am 1. Juli 2012 traten diese „Baseline Requirements
bei den Anwendern für einige Arbeit gesorgt.
for the Issuance and Management of Publicly-Trusted
Certificates“ in Kraft. Die Mitglieder des CA/Browser-
Den Mehraufwänden stehen aber viele Vorteile gegenüber: Ge-
rade in diesem sicherheitskritischen Bereich ist es sehr wert- forums verpflichteten sich selber zur sofortigen
voll, eine Bestätigung von unabhängiger Seite über die Güte der Einhaltung, andere CAs wurden anschließend durch
Dienstleistung zu haben. Nur eine Überprüfung der Prozesse und die Anpassung der Root-Programme der Browser
der eingesetzten Technik durch Dritte gewährleistet einen lang- hersteller hierzu verpflichtet.
fristig sicheren Betrieb.
SICHERHEIT | DFN Mitteilungen Ausgabe 84 | 39
Sicherheit aktuell
Text: Heike Ausserfeld, Dr. Ralf Gröper (DFN-Verein)
IPv6 in der DFN-PKI weit auflösbaren FQDNs oder mit regist- (Web-)Konfigurationsschnittstellen vom
rierten IP-Adressen versehen sind, ab 2015 öffentlichen Internet heraus erreichbar
Im Rahmen der DFN-Betriebstagung wur- nicht mehr mit im Browser verankerten waren. Diese Schnittstellen stellen eine
de Anfang März 2009 das neue DFN-CERT Zertifikaten versehen können. Ein allge- hohe Einbruchsgefahr dar, da sie oftmals
Portal bereitgestellt. Über dieses Portal meingültiger Migrationspfad für Anwen- in der Werkskonfiguration mit bekannten
erhalten Anwender einfachen Zugriff auf der, die solche Zertifikate verwenden, kann Standard-Benutzernamen und Passwör-
die Dienste, die im Rahmen des DFN-CERT nicht angegeben werden, aber der DFN und tern versehen sind und zudem häufig aus-
zur Verfügung gestellt werden. Im ersten die DFN-PCA unterstützen die Anwender nutzbare Schwachstellen enthalten. Solche
Schritt wurden die bekannten „Auto- natürlich dabei, eine für ihre Einrichtung von außen erreichbare Geräte werden mit
matischen Warnmeldungen“ funktional passende Lösung zu finden. M hoher Wahrscheinlichkeit angegriffen, da
erweitert und in das Portal integriert. sie von Suchmaschinen indiziert werden
Einen ausführlichen Bericht hierzu gibt es und somit mittels einer einfachen Such-
in diesen DFN-Mitteilungen. M Vertipper-Domains maschinen-Abfrage gefunden werden kön-
nen. Mit dem Netzwerkprüfer im DFN-CERT
Dem DFN-CERT wurden im März 2013 meh- Portal können Anwender im Voraus erken-
Interne Hostnamen in der rere bei der Denic registrierte ‚Vertipper‘- nen, welche Systeme in ihren Netzen von
DFN-PKI Domains gemeldet. Diese beziehen sich auf außen sichtbar sind und so Drucker und
unterschiedliche Einrichtungen und sind ähnliche Systeme durch entsprechende
Viele Einrichtungen haben interne Ser- immer in der gleichen Art aufgebaut: rz-*. Firewall-Regeln gegen derartige Angrif-
ver-Strukturen, für die Zertifikate mit de, also beispielsweise „rz-uni-musterstadt. fe schützen. M
Namen ausgestellt werden, die nur eine de“. Die Domains wurden von zwei bekann-
interne Bedeutung haben: Beispielswei- ten Domain-Grabbern registriert und wer-
se CN=exchange.local oder CN=mail, oder den hauptsächlich bei Sedo vermarktet. Ei-
aber interne IP-Adressen wie 10.0.0.1. Bis ne mögliche Gefahr besteht, falls die Do-
Kontakt
2012 konnten diese Namen in der DFN-PKI mains auf einen Server zeigen, auf dem
und bei kommerziellen Zertifizierungsstel- beispielsweise eine Phishing-Seite oder
len uneingeschränkt verwendet werden. SSH-Zugang eingerichtet ist und die ein- Wenn Sie Fragen oder Kommentare
Dieses Vorgehen ist in Zukunft durch die gegebenen Daten unbedarfter Nutzer auf- zum Thema „Sicherheit im DFN“ ha-
Baseline Requirements des CA/Browser Fo- gezeichnet werden. Die betroffenen Ein- ben, schicken Sie bitte eine Mail an
rums nicht mehr zulässig. Daher werden richtungen wurden vom DFN-CERT infor- sicherheit@dfn.de.
seit der Version 2.3 der Policy der DFN-PKI miert und können über das Widerspruchs-
vom 26.6.2012 Server-Zertifikate mit sol- verfahren bei der Denic die Löschung bzw.
chen Namen automatisch nur noch mit ei- Übernahme der Domains beantragen. M
nem Ablaufdatum bis zum 01.11.2015 ausge-
stellt. Bereits ausgestellte Zertifikate die-
ser Art müssen durch die DFN-PCA spätes- Netzwerkdrucker als
tens am 01.10.2016 gesperrt werden. Diese DDoS-Waffe
Regelung betrifft nicht nur die DFN-PKI,
sondern auch alle anderen CAs mit einer Im April wurde dem DFN-CERT die Be-
Browser-Verankerung. teiligung von mehreren IP-Adressen an
DDoS-Angriffen gemeldet. Die Untersu-
Für die DFN-Anwender bedeutet das, dass chung zeigte, dass unter diesen IP-Ad-
sie ihre internen Dienste, die nicht mit welt- ressen Drucker und ähnliche Geräte mit
40 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT
Wissenschaftsparagraph geht
in die Verlängerung
Dritter Anlauf für § 52a Urheberrechtsgesetz
Selten wurde eine Vorschrift so heftig und lange diskutiert wie diese: § 52a Urheber-
gesetz (UrhG), in Fachkreisen auch „Wissenschafts- bzw. E-Learning-Paragraph“ ge-
nannt. Für Hochschulen ist er eine nicht mehr wegzudenkende Norm. Der Verlagsin-
dustrie ist er dagegen ein Dorn im Auge. Dessen Reichweite beschäftigt Gerichte seit
Jahren. Nun gewährte der Gesetzgeber eine Verlängerung der Norm bis 2014 – zum
dritten Mal in Folge. Welche Konsequenzen dies unter anderem für den schwelenden
Vergütungsstreit zwischen Wissenschaftseinrichtungen und Verlagsindustrie haben
wird, wird sich innerhalb der nächsten zwei Jahre – hoffentlich – zeigen.
Die Vorschrift bar und maximal 10 % eines Werkes zum Lesen und Ausdrucken
für die Nutzer von E-Learning-Plattformen zugänglich gemacht
§ 52a UrhG erlaubt es als sogenannte „Schrankenregelung des Ur- werden können (siehe dazu ausführlich Herring, „Die Vorschrift
heberrechts“ Hochschulen und schulischen Einrichtungen, ver- des § 52a Urheberrechtsgesetz – ein Auslaufmodell?“, DFN-Info-
öffentlichte Werkteile, Werke geringen Umfangs sowie einzelne brief Recht 1/2012).
Beiträge aus Zeitungen oder Zeitschriften für einen bestimmt ab-
gegrenzten Kreis von Unterrichtsteilnehmern zum Online-Abruf Im Anschluss daran urteilte das Oberlandesgericht Stuttgart
(beispielsweise im Intranet) bereitzustellen. Dies muss zum ange- am 4.4.2012 (Az.: 4 U 171/11) jedoch, dass stets eine am Einzel-
strebten Zweck geboten und zur Verfolgung nicht kommerzieller fall orientierte Sichtweise hinsichtlich des Umfangs eines Wer-
Zwecke gerechtfertigt sein. Für die Bereitstellung muss eine an- kes anzusetzen sei und verwarf die Beurteilung anhand fester
gemessene Vergütung an die Autoren oder stellvertretend die Ver- Prozent- und Seitenzahlen. Vielmehr sei eine Abwägung zwi-
wertungsgesellschaften gezahlt werden. Insbesondere E-Learning- schen Nutzerinteresse nach öffentlichem Zugang und der
Plattformen profitieren von dieser Vorschrift. Denn § 52a UrhG Beeinträchtigung der Rechteinhaber vorzunehmen (eine de-
ermöglicht Hochschulen, ohne die Zustimmung des Urhebers taillierte Urteilsanalyse findet sich bei Fischer, „Es bleibt alles
dessen Werk im Intranet hochzuladen und Studierenden auf die- anders! OLG Stuttgart zur Reichweite des § 52a Urheberrechts-
se Weise zur Verfügung zu stellen. gesetz“, DFN-Infobrief Recht 3/2012). Die Rechtsprechung des
Landgerichts Stuttgart wurde damit zum Teil erheblich abge-
Durch die Instanzen ändert.
Das Landgericht Stuttgart hat als erstes Instanzengericht in sei- Verlängerung schubweise
nem Urteil vom 27.09.2011 (Az.: 17 O 671/10) die Bedeutung des
§ 52a UrhG für die Wissenschaft und die Notwendigkeit des Zu- Bereits 2003 wurde § 52a UrhG in das UrhG eingefügt. Die Be-
gangs digitaler Studienliteratur hervorgehoben. Noch damals leg- fürchtungen der wissenschaftlichen Verleger vor unzumutba-
te das Gericht fest, dass lediglich 3 Seiten eines Werkes speicher- ren Beeinträchtigungen berücksichtigend, wurde die Norm zu-
RECHT | DFN Mitteilungen Ausgabe 84 | 41
nächst bis 31.12.2006 befristet. Eine Verlängerung folgte erst- mentan mehrere Musterprozesse anhängig, die es demnächst
malig im Jahr 2006 um zwei Jahre und 2008 um weitere vier Jah- zu entscheiden gilt.
re – bis zum 31.12.2012. Die Auswirkungen der Norm auf die
Praxis konnten trotz mehrfacher Evaluierungen bis dahin nicht Denn fest steht auch, dass die fortwährende Verlängerung der
abschließend beurteilt werden. Norm eine erhebliche Rechtsunsicherheit mit sich bringt, da
viele Wissenschaftseinrichtungen, darunter auch Hochschulen,
Nun beschloss die CDU/CSU-Bundestagsfraktion im November den Betrieb der E-Learning-Plattformen nicht verlässlich planen
2012 – quasi in letzter Minute vor Fristablauf – einen Gesetz können. Sie fordern daher die gänzliche Entfristung der Norm.
entwurf zur Verlängerung des § 52a UrhG bis 31.12.2014. Die Wissenschaftsverlage dagegen plädieren für eine komplet-
te Abschaffung der Norm.
Grund für die erneute Verlängerung ist neben der Hoffnung auf
Aufklärung der Auswirkungen auf die Praxis auch die Tatsache, Konsequenzen für die Hochschulpraxis
dass sich die Hochschulen und die VG Wort (Verwertungsgesell-
schaft Wort) nicht auf eine Vergütung für die Nutzung der E-Lear- Für die Hochschulen bringt die erneute Verlängerung neben
ning-Materialien einigen können. Ein weiterer wichtiger Aspekt Rechtsunsicherheit aber auch immense Vorteile: Digitale Un-
ist, dass netzgestützte Lehr- und Forschungsstrukturen (in Form terstützungsmöglichkeiten in Unterricht und Vorlesungen sind
elektronischer Semesterapparate) ermöglicht werden sollen. Die- kaum mehr aus der Wissenschaftswelt wegzudenken. Modernes
ses Ziel wird eben nicht nur durch vertragliche Vereinbarungen Lernen und Forschen wäre ohne die erwähnten technischen und
mit den Verlagen direkt erreicht, sondern auch durch die Schran- didaktischen Mittel nicht mehr möglich. Der Wissenschafts-
kenregelung des § 52a UrhG. standort Deutschland würde an Wettbewerbsfähigkeit einbüßen.
Es wird nun Aufgabe des Bundesgerichtshofes sein, dem lang Bleibt zu hoffen, dass in den kommenden zwei Jahren eine dau-
anhaltenden Vergütungsstreit ein möglichst schnelles Ende zu erhafte Regelung für Forschung und Lehre geschaffen wird, die
bereiten und Licht ins Dunkel der Reichweite dieses umstritte- gleichermaßen den Interessen von Wissenschaft sowie Verla-
nen Paragraphen zu bringen. Beim Bundesgerichtshof sind mo- gen bzw. Autoren dient. M
Bisher konnte davon ausgegangen werden, dass die Frage, wann die Zusendung von
Newslettern zulässig ist, sich nach dem sogenannten „Double-Opt-In-Verfahren“
bestimmt. Dabei gibt der Adressat zunächst seine E-Mail-Adresse an und erhält dar-
aufhin einen Bestätigungslink zugeschickt, um sicherzustellen, dass er die Eintragung
auch tatsächlich vorgenommen hat. Diese bisherige Praxis hat das Oberlandesge-
richt München mit Urteil vom 27.09.2012 (Az.: 29 U 1682/12) nunmehr in Frage gestellt,
indem es die per E-Mail verschickte Bitte um Bestätigung eines Newsletter-Abos als
belästigende Reklame und somit als Spam angesehen hat. Die Konsequenz dieser
Ansicht wäre, dass das dargestellte Verfahren nicht mehr angewandt werden könnte,
da bereits die Bestätigungs-E-Mail des Anbieters unzulässige Werbung darstellt. An-
derweitige Lösungsvorschläge für den rechtskonformen Versand eines Newsletters
bleibt das Gericht jedoch schuldig. Bedeutet dies das Ende für den elektronischen
Newsletter?
men werden möchte. Durch die Rücksendung/Aktivierung der ten sich bereits zuvor, speziell für den Bereich der Newsletter-
Bestätigungs-E-Mail konnte der Anbieter schließlich auch den Anmeldung, für die Zulässigkeit des Zusendens einer Bestäti-
ihm obliegenden Beweis der Einwilligung erbringen. gungs-E-Mail ausgesprochen. Einzige Ausnahme, bei der selbst
der Versand einer Überprüfungs-E-Mail unzulässig blieb, war der
Um hierbei dem Grundsatz der Datensparsamkeit gerecht zu Fall, dass der Versender sicher wusste, dass die E-Mail-Adresse
werden, darf in den Abfragefeldern der Newslettereintragung von jemand anderem eingetragen wurde.
nur nach der E-Mail-Adresse gefragt werden. Zusätzliche Anga-
ben wie Name, Adresse etc. sind für die Versendung der News- Das Urteil des OLG München
letter- bzw. Bestätigungs-E-Mail nicht erforderlich und daher da- Mit dem oben angegebenen Urteil des OLG München wird die Fra-
tenschutzrechtlich unzulässig. ge der rechtlichen Zulässigkeit des Zusendens der Bestätigungs-
E-Mail im Newsletter-Anmeldeverfahren erstmalig auch auf ge-
Austragungsmöglichkeit und Impressumspflicht richtlicher Ebene in Frage gestellt. Dem Urteil lag die Klage einer
Darüber hinaus muss der Besteller jederzeit die Möglichkeit haben, Steuerberatungsgesellschaft gegen eine Anlageberatungsfirma
den Newsletter wieder abzubestellen. Hierzu genügt es, wenn für zugrunde. Dabei gaben die Richter – entgegen der Vorinstanz (LG
ihn am Ende der E-Mail die Option besteht, sich durch Klicken ei- München, Urteil vom 13. 03. 2012, Az.: 33 O 11089/11) – der Kläge-
nes Abmelde-Links wieder aus dem Verteiler austragen zu lassen. rin Recht, indem sie den Versand der E-Mail mit der Bitte um Be-
stätigung der (kostenlosen) Newsletter-Anmeldung als rechtlich
Zu guter Letzt musste noch der Impressumspflicht genüge ge- unzulässig einstuften. Das Gericht erklärte, dass es für die Zusen-
tan werden, da es sich bei dem Newsletter um einen Telemedi- dung von E-Mails stets der Einwilligung des Postfachinhabers –
endienst handelt. Das Impressum musste dabei – entsprechend hier der Steuerkanzlei – bedürfe („Opt-In-Verfahren“). Für deren
den hierbei geltenden Vorgaben – über zwei Klicks erreichbar Vorliegen sei die Anlageberatung beweispflichtig und könne die-
und jederzeit verfügbar sein (siehe hierzu: Recht im DFN, Wis- sen Beweis nicht antreten. Daher sei die gleichwohl erfolgte Zu-
sensbasis, Abs. III, Angebot von abrufbaren Inhalten, Informati- sendung sowohl als Wettbewerbsverstoß als auch als Eingriff in
onspflicht beim Betrieb von Tele- und Mediendiensten (Impres- den Gewerbebetrieb einzustufen. Daran könne schließlich auch
sumspflicht)). Gewährleistet werden konnte dies dadurch, dass im die Tatsache nichts ändern, dass es sich um eine E-Mail handele,
Newsletter ein Link auf die Homepage des Anbieters gesetzt wird. mit der zur Bestätigung einer Bestellung im Rahmen des „Doub-
le-Opt-In-Verfahrens“ aufgefordert wird. Diese Vorgehensweise
stelle konsequentermaßen eine unbestellte Dienstleistung dar
III. Zusendung der Bestätigungs-E-Mail im und sei folglich als unzulässige Werbung im Sinne des § 7 Abs.
„Double-Opt-In-Verfahren“ 2 Nr. 3 UWG einzustufen. Immerhin verfolge die Beklagte damit
das Ziel, die Erbringung ihrer Dienstleistung (Anlageberatung) zu
Bisherige Rechtsprechung fördern. Ebenfalls keine Änderung könne sich aus der Tatsache
Bei dem oben dargestellten Verfahren blieb jedoch stets frag- ergeben, dass es bei dem Versand der Bestätigungs-E-Mail ledig-
lich, ob nicht die Zusendung der Bestätigungs-E-Mail im Rah- lich um das Bestreben gehe, eine ausdrückliche Einwilligung des
men des „Double-Opt-In-Verfahrens“ seinerseits bereits unzuläs- Adressaten für weitere Werbemaßnahmen zu erlangen. Auch die
sig ist. Diese Überlegung und Diskussion beschränkte sich bis- Bestätigungs-E-Mail sei eine unmittelbar in Zusammenhang mit
her allerdings allein auf die juristische Literatur. Auf Rechtspre- der Förderung ihrer Anlageberatungstätigkeit stehende Maßnah-
chungsebene schien die Problematik spätestens beantwortet, me. Für das geltende Einwilligungserfordernis sei es nun einmal
als der Bundesgerichtshof (BGH) am Rande eines Urteils vom 10. auch nicht erforderlich, dass bereits die (Bestätigungs-)E-Mail
02. 2011 (Az.: I ZR 164/09) zur Zulässigkeit von Werbeanrufen er- selbst eine Werbebotschaft enthalte. Der Aufwand zur Durch-
klärte, dass derjenige, dessen E-Mail-Adresse mit der vermeint- sicht und Löschung unbestellter E-Mails sei hiervon unabhängig.
lich ihm zugehörigen Telefonnummer elektronisch abgegeben
wurde, um eine Bestätigung seines Teilnahmewunsches per E- Die Zusendung der E-Mail sei insoweit auch deswegen als rechts-
Mail gebeten werden darf. widrig anzusehen, da mit ihr ein unzumutbar belästigender Cha-
rakter einhergehe. Das Gericht betont in diesem Zusammenhang,
Amts- (AG Hamburg, Urteil vom 11. 10. 2006, Az.: 6 C 404/06; AG dass im Hinblick auf die billige, schnelle und aufgrund der Auto-
München, Urteil vom 30. 11. 2007, Az.: 161 C 29330/06) und Land- matisierung auch arbeitsparende Versendungsmöglichkeit der
gerichte (LG Berlin, Urteil vom 23. 01. 2007, Az.: 15 O 346/06) hat- E-Mail-Werbung mit einem immer weiteren Umsichgreifen die-
ser Werbeart zu rechnen sei, sofern hier keinerlei Einschränkun-
gen vorgenommen werden.
RECHT | DFN Mitteilungen Ausgabe 84 | 45
IV. Einordnung des Urteils und Konsequenz Auf der anderen Seite scheinen die Richter die praktische Not-
wendigkeit des Newsletter-Anbieters zu vergessen, sich über die
Das Urteil des OLG München stellt die gesamte bisher ergange- Bestätigungs-E-Mail Gewissheit darüber zu verschaffen, ob der
ne instanzgerichtliche Rechtsprechung zum zulässigen Versand Postfachinhaber tatsächlich an der Aufnahme des Newsletter-
einer Bestätigungs-E-Mail in Frage. Nach Ansicht der OLG-Rich- Versands interessiert ist. Das Problem liegt darin, dass die meist
ter lässt sich nicht zwischen einer Bestätigungs-E-Mail und ei- auf der Homepage befindliche Eintragungsmaske sich eben nicht
ner üblichen Werbe-E-Mail differenzieren. als Einwilligung einstufen lässt, da dort jeder die E-Mail-Adresse
eines beliebigen Postfachinhabers eintragen kann. Der Newslet-
Offensichtlich wollte das OLG München darauf hinweisen, dass ter-Anbieter darf aus datenschutzrechtlichen Gründen aber kei-
es keinen Unterschied machen dürfe, um welche Art der zuge- ne anderweitigen (Überprüfungs-)Angaben als die der E-Mail-Ad-
stellten und dann im Postfach befindlichen E-Mail es sich han- resse vom Nutzer erfragen. Dies führt zu der Konsequenz, dass
delt, sofern es an einer vorherigen rechtskonform erteilten er sich auch nur auf diesem Wege die Gewissheit über die Fra-
Einwilligung fehlt. Anderenfalls würde letztlich zwischen den ge der tatsächlich gewollten Aufnahme in den Newsletter ver-
transportierten Dateninhalten (Überprüfungs- oder Werbe- schaffen kann. Daher besteht für den Versender des Newslet-
E-Mail) unterschieden, was wiederum zu weiterführenden un- ters keine andere Möglichkeit der Überprüfung, als per E-Mail
lösbaren Widersprüchen führen könnte. Das Gericht sieht vor den Postfachinhaber der angegebenen E-Mail-Adresse um eine
allem auch den wirksamen Schutz vor zunehmenden Spam-E- entsprechende Bestätigung zu bitten. Insoweit gehen die Vorga-
Mails in Frage gestellt, dessen große Bedeutung es an verschie- ben des OLG München an den praktischen Gegebenheiten vor-
denen Stellen des Urteils herausstellt. bei. Jeder Anbieter eines Newsletters würde sich der Gefahr aus-
setzen, dass er eine Bestätigungs-E-Mail verschickt, aufgrund
Praxisuntauglich derer er zulässigerweise abgemahnt werden könnte. Dieses Ri-
Sogenannte Facebook- Fanseiten sind stark in Mode – diesem Trend können sich
deutsche Hochschulen schon seit einiger Zeit nicht mehr widersetzen. Doch auch bei
dieser Form des öffentlichen Auftritts müssen gewisse Regeln beachtet werden – wie
die Impressumspflicht. Ist das Impressum einer solchen „geschäftsmäßigen Webseite“
unvollständig oder gänzlich nicht vorhanden, so kann das für die Webseitenbetreiber
erhebliche Konsequenzen haben – u.a. einen Verstoß gegen das Wettbewerbsrecht.
Dies entschied kürzlich das Landgericht (LG) Regensburg. Doch was droht den Betrei-
bern im Falle eines Verstoßes und welche Angaben sind nun zwingend erforderlich?
I. Rechtlicher Hintergrund der Impressumspflicht sen demnach Angaben wie Name und Anschrift sowie Rechtsform
und Vertretungsberechtigter (Nr. 1), Informationen zur schnellen
§ 5 Telemediengesetz (TMG) postuliert die Informations- Kontaktaufnahme inklusive E-Mail-Adresse (Nr.2), die zuständi-
(„Impressums“-)pflicht für Diensteanbieter von „geschäftsmäßi- ge Aufsichtsbehörde (Nr. 3), Handelsregister und entsprechen-
gen, in der Regel gegen Entgelt angebotenen Telemedien“. Es müs- de Registernummer (Nr. 4), Umsatzidentifikationsnummer NR.
48 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | RECHT
6) etc. leicht erkennbar, unmittelbar erreichbar und ständig ver- So beschloss das Oberlandesgericht (OLG) Celle im vergangenen
fügbar gehalten werden. Jahr (Az. 13 U 72/12), dass Diensteanbieter derjenige ist, der die
„Funktionsherrschaft“ über die Domain beziehungsweise das
Die Definition des Begriffes „Diensteanbieter“ und damit des Telemedium hat. Das Telemedium war in diesem Fall eben auch
Adressaten der Impressumspflicht aus § 5 TMG findet sich in § 2 eine zumindest geschäftsmäßige Webseite. Für eine solche be-
Nr. 1 TMG: darunter ist jede „natürliche oder juristische Person“ deutet dies, dass der Unternehmer beziehungsweise der Arbeit-
zu verstehen, die „eigene oder fremde Telemedien zur Nutzung geber – und nicht etwa der einzelne Mitarbeiter – Diensteanbie-
bereithält oder den Zugang zur Nutzung vermittelt“. Das sind an ter ist und somit die Verantwortung für die Richtigkeit des Im-
erster Stelle Anbieter von Inhalten wie Webseiten. pressums übernimmt.
Ein Diensteanbieter handelt „geschäftsmäßig“, wenn er Teleme- Das Landgericht Aschaffenburg hatte bereits mit Urteil aus dem
dien aufgrund einer nachhaltigen Tätigkeit mit oder ohne Ge- Jahr 2011 (Az. 2 HK O 4/11) entschieden, dass im Falle einer (auch)
winnerzielungsabsicht erbringt. „Nachhaltigkeit“ bedeutet in geschäftsmäßigen beziehungsweise kommerziellen Nutzung ei-
diesem Zusammenhang, dass die Tätigkeit auf einen längeren nes Facebook-Profils oder sog. Facebook- Fanseiten eine Impres-
Zeitraum ausgerichtet ist und sich nicht auf einen Einzelfall be- sumspflicht nach § 5 TMG entsteht. Das gelte ebenfalls für Nut-
schränkt. Private Gelegenheitsgeschäfte fallen somit nicht unter zer von (einfachen) Facebook- Accounts, wenn diese nicht nur
den Begriff der Geschäftsmäßigkeit, wohl aber Hochschulauftrit- rein privat genutzt werden. Die Weiterleitung via Link auf die un-
te in sozialen Netzwerken, die ihre Studenten, Mitarbeiter und ternehmenseigene Webseite mit dortigem Impressum genüge
Externe über ihre Angebote und Dienstleistungen informieren nicht, um das Fehlen des Impressums auf der Facebook-Seite zu
wollen und Raum für Meinungsaustausch und Diskussion bie- kompensieren, so die Aschaffenburger Richter. Auch die Angabe
ten – und zwar auf Dauer angelegt. von Anschrift und Telefonnummer allein genüge nicht den Im-
pressums-Anforderungen. Wer sich also zu Marketingzwecken
Die Informationspflichten des § 5 TMG dienen dem Verbraucher- Facebook, Twitter und Co. bedient, den treffen strenge Impres-
schutz und der Transparenz von geschäftsmäßig erbrachten Te- sumspflichten. Der Grundstein für das Urteil des LG Regensburg
lediensten. Sie stellen aus diesem Grund sog. „Marktverhaltens- wurde damit gelegt.
regeln“ i.S.d. § 4 Nr. 11 des Gesetzes gegen unlauteren Wettbe-
werb (UWG) dar. Ein Verstoß gegen § 5 TMG beziehungsweise die III. Urteil des Landgerichts Regensburg
Nichteinhaltung der Voraussetzungen kann mithin ein unlaute-
res und gleichzeitig wettbewerbswidriges Verhalten darstellen. Das LG Regensburg hat in seiner jüngsten Entscheidung vom
Dies wiederum kann Ansprüche aus dem UWG begründen, wie 31.1.2013 (Az. 1 HK O 1884/12) nunmehr bestätigt, dass auch ge-
beispielsweise Unterlassungsansprüche nach § 8 UWG und Scha- schäftsmäßige Facebook-Seiten, die als Eingangskanal in Web-
densersatzansprüche aus § 12 UWG. Im Rahmen dessen wird von seiten dienen, der allgemeinen Impressumspflicht nach § 5 TMG
der Beklagtenpartei nicht selten gefordert, strafbewährte Un- unterliegen. Das Fehlen einer solchen sei sogar wettbewerbs-
terlassungserklärungen abzugeben, bei deren Zuwiderhandlun- widrig, so die Regensburger Richter. Im konkreten Fall ging es
gen Ordnungsgelder oder gar Ordnungshaft fällig werden kön- um zwei IT-Systemhäuser, die ein sich ähnelndes Betriebsspek-
nen. Schadensersatzansprüche können in Gestalt von vorgericht- trum aufwiesen (Entwicklung von Software, Schulungen etc.).
lichen Anwalts- bzw. Abmahnkosten geltend gemacht werden. Das Gericht sah beide Parteien aufgrund der Gleichartigkeit des
Leistungsangebots als Mitbewerber i.S.v. § 2 Nr. 3 UWG an, die in
II. Entwicklung der Rechtsprechung in den einem konkreten Wettbewerbsverhältnis stehen. Diesen Mitbe-
vergangenen Jahren werbern stehen grundsätzlich wettbewerbsrechtliche Ansprü-
che zu, so § 8 Abs. 3 Nr. 1 UWG.
In den vergangenen Jahren gab es einige interessante Urteile
und Beschlüsse zur Impressumspflicht von sozialen Netzwer- Es kam, wie es kommen musste: Ein IT-Unternehmen klagte ge-
ken, insbesondere zu Facebook, unter anderem zu Adressat und gen das andere, weil es sich am Impressum des anderen Unter-
Umfang dieser Pflicht. Ein eindeutiger Trend lässt sich erken- nehmens auf dessen Facebook-Webseite störte. Das LG gab der
nen: Geschäftsmäßige Webseiten-Betreiber werden stärker in Klage statt, da die Angaben im Impressum den Anforderungen
die Pflicht genommen. Der augenscheinliche Grund dafür: Der des § 5 TMG tatsächlich nicht genügten. Konkret seien Name und
„Kunde“ beziehungsweise Nutznießer einer Webseite soll um- Anschrift unvollständig gewesen und auch die Angabe über den
fassend darüber aufgeklärt werden, wer für deren Inhalte ver- Geschäftsführer und die zuständige Aufsichtsbehörde fehlten.
antwortlich ist und an wen er sich im Zweifel zu wenden hat. Dies stelle laut Gericht einen Wettbewerbsverstoß i.S.d. § 4 Nr.
11 UWG bzw. wettbewerbswidriges Verhalten dar. Nach § 4 Nr.
RECHT | DFN Mitteilungen Ausgabe 84 | 49
11 UWG sind Handlungen unlauter, die einer gesetzlichen Vor- Aus dem Regensburger Urteil lässt sich der Schluss ziehen, dass
schrift (in diesem Falle § 5 TMG) zuwiderhandeln, die Marktver- Mitbewerber von Hochschulen im wettbewerbsrechtlichen Sinne
haltensregeln darstellt. Diese Voraussetzungen erfüllt § 5 TMG. auch andere Hochschulen sein können, da sie gleichermaßen um
Studenten werben und Dienstleistungen rund um Studium und
Das Gericht stellte nun fest, dass die Klägerin aus § 8 UWG einen Lehre anbieten. Sie stehen somit zueinander im konkreten Wett-
Unterlassungsanspruch gegen die Beklagten und einen Anspruch bewerbsverhältnis. Im Falle von unvollständigen Impressumsan-
auf Ersatz ihrer Aufwendungen (für entstandene Abmahnkosten) gaben – auch und gerade bei öffentlichen Facebook-Auftritten
habe. Zudem verneinte das Gericht ein mögliches missbräuch- – kann deshalb jederzeit eine Abmahnung einer anderen Hoch-
liches Verhalten der Klägerin (i.S.d. § 8 Abs. 4 UWG) durch sog. schule ins Haus flattern – je nachdem, wie gewissenhaft ande-
Massenabmahnungen. Massenabmahnungen liegen nur dann re Hochschulen ihre Ordnungshüter-Eigenschaft wahrnehmen.
vor, wenn die Tätigkeit der Klägerin hauptsächlich im Abmah-
nen selbst und nicht im angegebenen Betriebsfeld liege. Viel- Zu beachten für die Hochschulen ist, dass ein Impressum auch
fach- oder Massenabmahnungen können dann einen Hinweis auf dann unvollständig ist, wenn lediglich eine gültige Adresse so-
Rechtsmissbrauch geben, wenn mehr als 180 Mal innerhalb einer wie Telefonnummer und E-Mail-Adresse angegeben werden. Auch
Woche durch dieselbe Person abgemahnt wird. Andere Umstän- die schnelle elektronische Kontaktaufnahme und die unmittel-
de müssten allerdings noch hinzutreten, um einen Rechtsmiss- bare Kommunikationsmöglichkeit sind bereitzustellen. Korrek-
brauch anzunehmen, z.B. eine überhöhte Vertragsstrafe, über- te und vollständige Impressumsangaben sind eben unverzicht-
höhte Abmahngebühren etc. bar, wenn kostspielige Abmahnungen oder gar Klagen vermie-
den werden sollen. Vorsicht ist also geboten!
Die Entscheidung bestätigt also, was seit mindestens 2 Jahren
diskutiert wird: Social-Media-Angebote sind zumindest dann im- Es darf auf der anderen Seite jedoch nicht vergessen werden,
pressumspflichtig, wenn sie geschäftsmäßig genutzt werden. dass letztlich eine Pflicht zur elektronischen Kommunikation
nicht besteht. Angesichts der rechtlichen (Impressums- und an-
IV. Auswirkungen auf die Hochschulpraxis deren) Pflichten, die mit der Entscheidung zum Auftritt in so-
zialen Netzwerken wie Facebook einhergehen, sowie hinsicht-
Für Hochschulen sind diese Entscheidungen von aktueller Be- lich datenschutzrechtlicher Bedenken sollte jede Einrichtung
deutung, da es mittlerweile zum guten Ton einer jeden Hoch- selbst über ihre öffentlichen Auftritte im Netz entscheiden kön-
schule, aber auch Einrichtungen, Instituten und Fakultäten ge- nen und müssen. M
hört, sich in sozialen Netzwerken zu präsentieren und so eine
neue Kommunikationsplattform anzubieten. Wie eingangs er-
wähnt, treten sie damit geschäftsmäßig auf. Die erwähnten Ur-
teile finden somit Anwendung auf Hochschulen.
50 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | DFN-VEREIN
Leipzig Deutsche Telekom, Hochschule für Telekommunikation Leipzig Paderborn Fachhochschule der Wirtschaft Paderborn
Helmholtz-Zentrum für Umweltforschung – UFZ GmbH Universität Paderborn
Hochschule für Grafik und Buchkunst Leipzig Passau Universität Passau
Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“ Peine Deutsche Gesellschaft zum Bau und Betrieb von Endlagern
Hochschule für Technik, Wirtschaft und Kultur Leipzig für Abfallstoffe mbH
Neu-Ulm Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm Vechta Universität Vechta
Nürnberg Kommunikationsnetz Franken e. V. Wadern Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH (LZI)
Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen Weimar Bauhaus-Universität Weimar
Offenbach/M. Deutscher Wetterdienst (DWD) Weßling T-Systems Solutions for Research GmbH
Universität Osnabrück
54 | DFN Mitteilungen Ausgabe 84 | Mai 2013 | DFN-VEREIN