Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
America Connects to Europe
Internet2 verbessert inter-nationale Verbindungen
Mitteilungen
Deutsches Forschungsnetz Mitteilungen Ausgabe 79 | November 2010
www.dfn.de
Die nächste X-WiN-GenerationDFN@100G: Tests erfolgreich abgeschlossen
Der neue Personalausweis ist da
Erste Ergebnisse des
offenen Anwendungstests
America Connects to Europe
Internet2 verbessert inter-nationale Verbindungen
Impressum
Herausgeber: Verein zur Förderung
eines Deutschen Forschungsnetzes e. V.
DFN-Verein
Alexanderplatz 1, 10178 Berlin
Tel: 030 - 88 42 99 - 0
Fax: 030 - 88 42 99 - 70
Mail: [email protected]
Web: www.dfn.de
ISSN 0177-6894
Redaktion: Kai Hoelzner (kh)
Gestaltung: Labor3 | www.labor3.com
Druck: Rüss, Potsdam
©DFN-Verein 11/2010
Fotonachweis:
Titel © gettyimages
Seite 6/7 © Vladimir Wrangel - fotolia
Seite 28/29 © alek - fotolia
Seite 42/43 © dustin gaffke - fotolia
Vor einigen Wochen sind die Tests für den Einsatz von 100-Gigabit-Technologie im Wis-
senschaftsnetz zu Ende gegangen. Gemeinsam mit den Hardware-Ausrüstern Cisco und
Huawei sowie dem Faser-Provider GasLINE und unter tatkräftiger Mithilfe der Kolle-
gen in den projektbeteiligten Rechenzentren wurde auf einer Strecke zwischen dem
Forschungszentrum Jülich und dem Karlsruher Institut für Technologie ein mehrere
hunderte Kilometer langes Testbed eingerichtet, auf dem im Sommer dieses Jahres der
Einsatz „nativer“ 100-Gigabit/s-Netztechnik erprobt wurde.
Die Ergebnisse dieser Tests erfüllten sämtliche Hoffnungen, die wir in Bezug auf 100G-
Technologie hatten. Es kann gesagt werden, dass die Einführung von 100G-Technologie
im X-WiN eine realistische Option für die Zukunft des Wissenschaftsnetzes ist.
Neben dem Ausbau des Backbones wird diese Technologie auch einzelnen Anwender-
gruppen mit extremen Anforderungen neue Möglichkeiten eröffnen. Dazu gehören
Großexperimente wie der LHC, dessen enorme Datenmengen über die Tier-1 Zentren
zugänglich gemacht werden, ebenso wie die im Aufbau befindliche Europäische Su-
percomputer Infrastruktur PRACE. Für den Datenaustausch zwischen den Zentren wer-
den Weitverkehrsnetze benötigt, die mit den rasant zunehmenden I/O-Kapazitäten
und -Geschwindigkeiten Schritt halten können.
Ein Innovationssprung, wie ihn die Einführung von 100G-Techologie darstellen würde,
wurde in der Vergangenheit meist dadurch kenntlich gemacht, dass man dem Netz ei-
nen neuen Namen gab. Die Evolution des Wissenschaftsnetzes spiegelte sich in sei-
nen Bezeichnungen wider, die dann x.25, B-WiN oder G-WiN lauteten, und die jeweils
mit mehrjährigen Testbed-Projekten vorbereitet wurden. Dass das Wissenschaftsnetz
auch auf einer kommenden Technologiestufe weiterhin „X-WiN“ heißen wird, weist
auf eine hervorstechende Eigenschaft und Qualität des Wissenschaftsnetzes hin. Der
mit dem X-WiN eingeführte Grundsatz, Glasfasern, optische Plattform und Router se-
parat einzukaufen, ermöglicht bedarfsgerechten Ausbau und technologische Sprün-
ge im Rahmen des bestehenden Konzeptes. Die Bezeichnung „X-WiN“ kann daher als
ein Garant für die gemeinsame Anstrengung verstanden werden, die Netzinfrastruk-
tur für die Wissenschaft in Deutschland stets auf dem technologisch avanciertesten
fortgeschrittenen Stand und mit einem Höchstmaß an Sicherheit und Verfügbarkeit
bereitzustellen.
Dr. Thomas Eickermann
Abteilungsleiter Kommunikationssysteme
Jülich Supercomputing Centre
in der Forschungszentrum Jülich GmbH und
Projekt Manager PRACE
4 | DFN Mitteilungen Ausgabe 79 | November 2010
Unsere Autoren dieser Ausgabe im Überblick
1 Robert Stoy, DFN-Verein ([email protected]); 2 Christian Grimm, DFN-Verein (grimm@
dfn.de); 3 Andreas Hanemann, DFN-Verein ([email protected]); 4 Kai Hoelzner,
DFN-Verein ([email protected]); 5 Bettina Kauth, DFN-Verein ([email protected]);
6 Paul Mies, Fraunhofer Gesellschaft ([email protected]); 7 Gisela Maiß,
DFN-Verein ([email protected]); 8 Jens Fromm, Fraunhofer FOKUS (jens.fromm@fokus.
fraunhofer.de); 9 Jan Mönnich, DFN-CERT Service GmbH ([email protected]);
10 Jürgen Rauschenbach, DFN-Verein ([email protected]); 11 Hans-Martin Adler, DFN-Ver-
ein ([email protected]); 12 Holger Wirtz, DFN-Verein ([email protected]); 13 Marcus Pattloch,
DFN-Verein ([email protected]); 14 Christoph Golla, Forschungsstelle Recht im DFN
([email protected]); 15 Marina Rinken, Forschungsstelle Recht im
DFN ([email protected]); 16 Christine Altemark, Forschungsstelle
Recht im DFN ([email protected]).
1 2
5
4
6 7 8
9 10 11 12
13 14
3
15
31
16
5DFN Mitteilungen Ausgabe 79 |
Wissenschaftsnetz
DFN@100G: Mit 100 Gigabit/s von Jülich
nach Karlsruhe
von Robert Stoy, Christian Grimm,
Andreas Hanemann ......................................................
X-WiN intern
von Bettina Kauth, Paul Mies ........................................
Gestochen scharf – die neue Qualität
beim Videokonferenzdienst
von Gisela Maiß ........................................................................
Kurzmeldungen ..........................................................
International
Internet2 verbessert internationale Verbindungen
von Kai Hoelzner ...............................................................
Campus
Studentennetze
von Kai Hoelzner .........................................................
Der neue Personalausweis ist da
von Jens Fromm ..................................................................
Der neue Personalausweis – erste Ergebnisse des
offenen Anwendungstests
von Jan Mönnich ................................................................
Kurzmeldungen .................................................................
8
12
16
19
20
24
28
32
36
38
41
44
48
52
54
55
Sicherheit
DNSSEC reloaded
von Kai Hoelzner, Holger Wirtz ...........................................
Sicherheit aktuell
von Marcus Pattloch ...................................................
Recht
Zwölf hartnäckige Irrtümer – die neuen „Klassiker“
juristischer Fehleinschätzungen bei Homepages
von Christoph Golla ....................................................
Aufbewahrung elektronischer Dokumente –
die Pflichten der Hochschulen
von Marina Rinken, Christine Altemark ......................
Recht im DFN – Kurzmeldungen ..................................
DFN-Verein
Nachruf auf Dr. Klaus-Eckart Maass ..................................
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins ......................................
Inhalt
6 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ
7WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |
WissenschaftsnetzDFN@100G: Mit 100 Gigabit/s von Jülich
nach Karlsruhe
von Robert Stoy, Christian Grimm und Andreas
Hanemann
X-WiN intern
von Bettina Kauth und Paul Mies
Gestochen scharf – die neue Qualität beim
Videokonferenzdienst
von Gisela Maiß
Kurzmeldungen
8 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ
Im Juli und August testete der DFN-Verein gemeinsam mit Cisco Systems Inc. und
Huawei Technologies sowie GasLINE Datenübertragungen mit einer Rate von
100 Gigabit/s pro Wellenlänge (100G-Technologie). Hierbei stand der Einsatz in der
Praxis im Vordergrund, um die Tauglichkeit der Technologie unter realen Bedingun-
gen zu untersuchen. Der zuverlässige Einsatz dieser Technologie ist insbesondere für
die bevorstehende Generation des X-WiN relevant.
Text: Robert Stoy (DFN-Verein), Dr. Christian Grimm (DFN-Verein), Dr. Andreas Hanemann (DFN-Verein)
DFN@100G: Mit 100 Gigabit/s von Jülich nach Karlsruhe Tests für die nächste X-WiN-Generation erfolgreich abgeschlossen
100 Gigabit/s in der Praxis
Derzeit werden etwa zehn Petabyte pro Mo-
nat über das deutsche Wissenschaftsnetz
transportiert. Neben steigendem Übertra-
gungsvolumen im X-WiN sind es vor allem
Anforderungen aus oft international auf-
gestellten Forschungsprojekten verschie-
dener Wissenschafts-Communities, die be-
sondere Bedarfe an leistungsstärkere Netz-
verbindungen anmelden. Auch wenn man
100G-Technologie im Labor bereits gut im
Griff hat, bleibt es eine Herausforderung,
sie in der realen Umgebung eines Weitver-
kehrsnetzes einzusetzen. Insbesondere das
Zusammenspiel technischer Komponen-
ten verschiedener Hersteller stellt den Be-
treiber beim Ausbau von Hochleistungs-
netzen vor besondere Probleme.
Daher sollte im Testbed DFN@100G die Eig-
nung von 100G-Technologie für im DFN be-
reitgestellte Dienste, insbesondere den
DFN-Internetdienst, untersucht werden.
Von vornherein stand dabei fest, dass die
Tests möglichst produktionsnah durchge-
führt werden sollten. Anstatt sich auf op-
tische Parameter zu beschränken, sollten
während der Tests IP-Datenpakete über
die 100 Gbit/s-Verbindung übertragen wer-
den. Ein besonderer Fokus lag auf dem Ver-
halten von Verfügbarkeit und Dienstgüte
bei mittlerer wie bei hoher Auslastung der
Verbindung.
Aufbau des Testbeds
Das zwischen dem Forschungszentrum Jü-
lich (FZJ) und dem Karlsruher Institut für
Technologie (KIT) liegende ca. 447 km lange
Testbed führte entlang einer Strecke über
Köln, Bonn, Wiesbaden, Mainz und Heidel-
berg. Von der Fa. GasLINE wurde hierzu ein
Glasfaserpaar bereitgestellt, welches nicht
speziell für den Test ausgesucht wurde, so
dass es eine für das X-WiN typische Quali-
tät aufweisen sollte.
Von der Fa. Huawei Technologies wurde in
Karlsruhe und Jülich jeweils DWDM-Tech-
nik (Dense Wavelength Division Multiple-
xing) aufgebaut, die insbesondere ein Mo-
dul zur Übertragung von 100 Gbit/s über
eine einzelne Wellenlänge enthielt (siehe
Abbildung 1). Zusätzlich wurden an fünf
Standorten entlang der Teststrecke opti-
sche Verstärker von Huawei aufgebaut.
Die Fa. Cisco Systems stellte in Karlsru-
9WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |
he und Jülich jeweils einen CRS-3-Router
bereit, der mit einer speziellen Interface-
Karte für die 100 Gigabit/s-Übertragung
ausgestattet war. Die Kopplung dieser In-
terface-Karte mit dem optischen System
stellte eine besondere Herausforderung
im Test dar, da der Standard für diese Zu-
sammenarbeit (100 Gbit-Ethernet-Stan-
dard, IEEE 802.3ba) erst vor kurzem ver-
abschiedet wurde und die Hersteller von
entsprechenden Komponenten noch we-
nig Erfahrung mit der Interoperabilität ha-
ben. Die Interoperabilität der Komponen-
ten war zu Beginn nicht gegeben, aber es
konnte nach kurzer Zeit eine tragfähige
Lösung gefunden werden.
Für die Erzeugung des Testverkehrs wurden
die Cisco Router an den beiden Standor-
ten mit Clustern herkömmlicher Server PCs
mit 10 Gbit/s-Interfaces verbunden. Somit
konnte ein typisches Verkehrsaufkommen
im Internet und insbesondere in Wissen-
schaftsnetzen simuliert werden. Außerdem
wurden an die Router spezielle Netzmo-
nitoring-Systeme angeschlossen, um die
Leistungsfähigkeit der Technik während
der Tests zu messen.
Bereits der Aufbau der Systeme zeigte, dass
die neue Technik im Hinblick auf Platzbe-
sondere konnte so ermittelt werden, wie
viele Dateneinheiten über die Teststrecke
fehlerhaft übertragen wurden.
Diese Analysemethoden waren jedoch
noch nicht ausreichend, um alle Quali-
tätsaspekte der Datenübertragung zu er-
fassen. So konnten zum Beispiel eventuell
auftretende Paketverluste oder Paketver-
tauschungen bei der Übertragung nicht
von den Routern erfasst werden. Ergän-
zend sendet man daher zusätzliche Test-
pakete über die Strecke, um zu ermitteln,
ob diese wie erwartet beim Ziel eintreffen.
Dazu wurden jeweils zwei weitere Rechner
mit 10 Gbit/s-Interfaces an die Router an-
geschlossen. Ein Rechner diente zur Mes-
sung von Paketverlusten und Paketvertau-
schungen mit Hilfe des Tools „iperf“ un-
ter Verwendung von UDP-Übertragungen.
Hier wurde mit der Datenrate 5 Gbit/s bzw.
ca. 72.000 Paketen/s gemessen, damit in
fünfminütigen Abständen Ergebnisse mit
hinreichender Genauigkeit erzielt werden
konnten. Der andere Rechner – ein bereits
im X-WiN verwendeter HADES-Rechner –
sollte die Einweg-Paketlaufzeiten und ihre
Varianz messen. Solche HADES-Messergeb-
nisse ließen z.B. Rückschlüsse auf hochbe-
lastete Puffer in den Routern zu. Die Ver-
fügbarkeit der Teststrecke wurde durch se-
darf, Stromverbrauch und Abwärme im
Rahmen der Erwartungen des DFN-Vereins
blieb, so dass die Standorte des X-WiN in
Zukunft ohne große Probleme auf die neue
Technik aufgerüstet werden können.
Aufbau des Monitorings
Nach erfolgreicher Installation der einzel-
nen Komponenten wurde zunächst das
Netzmonitoring konfiguriert. Zum einen
wurden Variablen kontinuierlich aufge-
zeichnet, die die Router jeweils von sich
aus bereits messen und die mit Hilfe des
SNMP (Simple Network Management Proto-
col) abfragbar sind. Dieses sind insbesonde-
re Zähler, die ermitteln, wie viele IP-Pakete
über ein Interface gesendet und empfan-
gen werden. Damit wurde der Datenaus-
tausch über alle 10 Gbit/s-Interfaces gemes-
sen. Die Daten wurden am DFN-NOC mit
einer Auflösung von einem Messwert pro
Minute gesammelt und dargestellt. Weite-
re vom Router bereitgestellte Informati-
onen, insbesondere Statusdaten, wurden
über automatische Abfragen ebenfalls er-
mittelt und kontinuierlich aufgezeichnet.
Vom DFN-NOC wurden spezielle Skripte zur
Weiterverarbeitung der Daten erstellt, um
sämtliche relevanten Informationen aufzu-
arbeiten und grafisch darzustellen. Insbe-
Abb. 1: Konfiguration der
verschiedenen Komponen-
ten an den Endpunkten
des Testbeds in Jülich
und Karlsruhe. Zentral
sind die beiden CRS3-
Router von Cisco, die per
100 Gbit/s-Interface an
die Wellenlängenmulti-
plexer und das optische
Übertragungssystem von
Huawei angeschlossen
sind. Rechner des FZ Jülich
und des KIT (grün) sind
über 10 Gbit/s-Interfaces
und Ethernet-Switches
als Medienkonverter an
die Router angeschlossen.
DFN-Messrechner (orange)
sind direkt mit Single-Mo-
de-Interfaces an die Router
angeschlossen.
ti-kit1
trc-kit1CRS-3
tsc-kit24900M
tsc-kit14900M
ms-kit1 ms-fzj1Te0/3/0/2Te0/3/0/1
Hu0/0/0/0 Hu0/0/0/0
hades-kit2 hades-fzj2Te0/3/0/2Te0/3/0/3
tsc-fzj24900M
K9 Te1/4 Te1/3 Te0/3/0/0 Te2/2 J9Te2/1Te0/3/0/0Te1/6 Te1/5 Te2/4Te2/3Te0/3/0/1
K8 Te1/2 Te1/1 Te0/2/0/3 Te1/6 J8Te1/5Te0/2/0/3K7 Te2/4 Te0/2/0/2 Te1/4 J7Te1/3Te0/2/0/2K6 Te2/2
Te2/3Te2/1 Te0/2/0/1 Te1/2 J6Te1/1Te0/2/0/1
tsc-fzj14900M
K5 Te1/6 Te1/5 Te0/2/0/0 Te0/2/0/0 Te2/4Te2/3 J5K4 Te1/4 Te1/3 Te0/1/0/3 Te0/1/0/3 Te2/2Te2/1 J4K3 Te1/2 Te1/1 Te0/1/0/2 Te1/6Te1/5 J3K2 Te2/4 Te2/3
Te0/1/0/2Te0/1/0/1 Te1/4Te1/3 J2
K1 Te2/2 Te2/1 Te0/1/0/0Te0/1/0/1
Te0/1/0/0 Te1/2Te1/1 J1
trc-fzj1CRS-3
Karlsruhe JülichDistance447 km
End systems, Administration: KIT, FZJ, 10GE Interface: 10GBase SR
End systems, Administration: DFN, 10GE Interface: 10GBase LR
Single-Mode Fiber
Multi-Mode Fiber
10 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ
kündliche Ping Messungen zwischen den
DFN-Messrechnern erfasst.
Durchführung von UDP- und
TCP-Tests
Damit das System unter realen Produkti-
onsbedingungen aber auch unter Über-
lastsituationen getestet werden konnte,
wurden zwei Verfahren zur Erzeugung von
Testverkehr eingesetzt. Bei einem Test mit
UDP-Verkehr sollte die Strecke vollstän-
dig mit Verkehr ausgelastet werden. Die-
ser Verkehr wurde mit einer so genannten
Routing-Schleife erzeugt, d. h. die Wege-
wahl im Cisco Router war so eingestellt,
dass der Verkehr zum Ursprungsort zurück
übertragen wurde und sich mit weiteren
erzeugten Verkehr im Laufe der Zeit zu
einem größeren Datenvolumen auswei-
tete. Durch die Schleife wurde die Daten-
rate des injizierten Datenstroms bis zum
Faktor 127 multipliziert. Abbildung 2 zeigt
die Datenrate auf der 100 Gbit/s-Strecke
während eines dieser Testläufe. Die Ver-
bindung blieb hierbei auch bei hoher Aus-
lastung stabil.
Das zweite Belastungsszenario sollte mög-
lichst nahe an Produktionsbedingungen
angelehnt sein. Dazu wurden als Endsys-
teme im FZ Jülich und KIT bereitgestellte
und betriebene Rechner mit 10 Gbit/s-In-
terfaces an die Router angeschlossen. Es
handelte sich dabei um Standard Server
verschiedener Hersteller und unterschied-
lichen Alters. Die 10 Gbit/s-Interfaces in den
Rechnern kamen von zwei Herstellern und
waren mit Multi-Mode Interfaces ausge-
stattet. Da die 10 Gbit/s-Ports der Router
nur Single-Mode Interfaces unterstützten,
wurden von Cisco Ethernet-Switches als
Medienkonverter eingesetzt.
Die Endsysteme wurden mit Linux und
den darin enthaltenen Standard TCP-Im-
plementierungen betrieben. Zur Daten-
übertragung mit TCP wurde iperf einge-
setzt. Nach Anpassung der üblichen Kernel-
Parameter für TCP-Datentransfers mit für
Weitverkehrsnetze typischen Paketlaufzei-
ten waren die neuen Systeme in der Lage,
Daten mit bis zu 9,5 Gbit/s zu übertragen.
Lediglich bei vier älteren Rechnern muss-
ten komplexere Anpassungen der Parame-
ter durchgeführt werden. Danach konnte
ein TCP-Durchsatz von bis zu 7,5 Gbit/s er-
reicht werden.
Abbildung 3 zeigt den zeitlichen Ablauf von
einem der Testläufe mit elf gleichzeitigen
Datenströmen zwischen den Endsystemen
über die 100 Gbit/s-Verbindung, wobei die
Volumen der einzelnen Ströme durch un-
terschiedliche Farben dargestellt sind. Die
Datenraten der einzelnen Ströme wurden
nur durch die Hardware der Endsysteme
begrenzt.
Ergebnisse des Tests
Insgesamt zeigten alle Tests auch im mehr-
stündigen Dauerbetrieb ein sehr stabiles
Verhalten des gesamten Systems. In einem
18-stündigen Dauertest akkumulierte sich
das über eine einzelne Wellenlänge über-
tragene Datenvolumen auf 770 Terabyte.
Während des Tests wurden über längere
Zeiträume Auslastungen von 95 Prozent
der theoretisch erreichbaren 100 Gbit/s
erreicht. Die Verfügbarkeit entsprach da-
bei den Erwartungen an ein produktives
System.
Dennoch waren auch kleine „Kinderkrank-
heiten“ spürbar, die jedoch glücklicherwei-
se nur auf den Einsatz von Vorserienmodel-
len zur Kopplung zwischen DWDM-Technik
und Router zurückzuführen waren. Auch
kam es in sehr geringen Umfang zu Bit-
fehlerraten, die jedoch nur in speziellen
Messungen des Paketverlustverhältnisses
sichtbar waren und die Qualität der TCP-
Datenübertragungen nicht beeinflussten.
Darüber hinaus zeigten jedoch sämtliche
Dienstgütemesswerte sehr gute Ergebnis-
se und bestätigten die Erwartungen hin-
sichtlich einer Eignung der 100G-Techno-
logie für den Einsatz im Produktionsbe-
trieb.
Die im Testbed eingesetzten Standardme-
thoden zum Monitoring und zur Fehlersu-
Abb. 2: Verlauf der Datenrate am 100 Gbit/s-Interface eines Routers, bei einer Testparametrisierung, in welcher zeitversetzt eine ansteigende Anzahl von
UDP-Strömen mit jeweils 10 Gbit/s über den 100 Gbit/s-Link generiert wurde (vom SNMP Monitor aufgenommen).
11WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |
che in den Routern und deren 100 Gbit/s-In-
terfaces zeigten, dass die für einen Produk-
tionsbetrieb durch das DFN-NOC benötigte
Software vorhanden ist und gut funktio-
niert. Lediglich bei der Softwareunterstüt-
zung zur Inbetriebnahme der Schnittstel-
len zwischen optischer Technik und Router
zeigten sich noch kleine Lücken. Da beim
derzeitigen Entwicklungsstand der Gerä-
te noch keine ausgereifte Management-
Software verfügbar ist, mussten Konfigu-
rationen vorerst noch händisch und mit
Unterstützung durch den Hersteller vor-
genommen werden.
Die Datenübertragungen zwischen den
Rechnern des FZ Jülich und des KIT zeig-
ten zum einen, dass die heute „von der
Stange“ erhältlichen Server Systeme oh-
ne Probleme in der Lage sind, einzelne TCP-
Datenströme mit Raten nahe bei 10 Gbit/s
über Weitverkehrsstrecken zu generieren
und zu empfangen. Zum anderen konn-
te gezeigt werden, dass die im DFN ein-
gesetzten Ausrüster von Glasfasern, opti-
schen Übertragungssystemen und IP-Ver-
mittlungstechnik zusammen in der Lage
sind, die benötigte Technologie in produk-
tionsreifer Weise bereitzustellen und dass
vor allem die am Markt verfügbaren Fa-
sern „100G fähig“ sind.
Fazit
Auf der Teststrecke wurden im Juli und Au-
gust 2010 Daten über längere Zeiträume
bis zur vollen Kapazitätsgrenze der 100G-
Technologie übertragen. In einem 18-stün-
digen Dauertest wurden über eine einzel-
ne Wellenlänge 770 Terabyte übertragen,
was einem Fassungsvermögen von annä-
hernd 1,2 Millionen CDs bzw. 160.000 DVDs
entspricht.
Die positiven Ergebnisse des Feldversuchs
bestätigen, dass die optische Plattform
der kommenden X-WiN Generation mit
100G-Technologie ausgerüstet werden
kann. M
Abb. 3: Datenraten zwischen den einzelnen, mit 10 Gbit/s-Interfaces angeschlossenen Rechnern in aufsummierter Darstellung. Es zeigt sich das stabile Verhal-
ten fast aller Datenübertragungen. Lediglich ein Datenstrom zwischen zwei Rechnern älterer Bauart (roter Datenstrom) war instabil. In der Summe wurde eine
Auslastung des 100 Gbit/s-Links bis zu ca. 95 Gbit/s erreicht.
Bit
s p
er S
eco
nd
12 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ
X-WiN intern
Text: Bettina Kauth (DFN-Verein), Paul Mies (Fraunhofer Gesellschaft)
Foto: © FabioFilzi - iStockphoto
Der DFN-Verein bietet seinen Anwendern schon seit mehreren Netzgenerationen
die Möglichkeit an, private Verbindungen über das Wissenschaftsnetz zu betreiben.
Die Anforderungen an solche Strukturen sind individuell oftmals verschieden.
Dennoch gibt es grundlegende Konzepte, die zur Implementierung herangezogen
werden können.
13WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |
Foto: © FabioFilzi - iStockphoto
Im Jahr 2009 wandte sich die Fraunho-
fer Gesellschaft (FhG) an den DFN-Verein,
um die Realisierung einer virtuellen FhG-
weiten Infrastruktur auf der Basis des
X-WiNs zu diskutieren. Die Vernetzung der
Institute und Arbeitsgruppen der FhG an
ca. 80 Standorten ist zurzeit über das In-
ternet mit Hilfe unterschiedlicher Provi-
der realisiert. Dabei hat die überwiegen-
de Zahl der FhG-Institute den DFN-Verein
als Dienstleister gewählt. Der Zugang zu
zentral angebotenen IT-Diensten erfolgt
in der Regel über Sterne von IPSec-VPN-
Tunnel. Das Management dieser Tunnel-
strukturen ist aufwändig, fehleranfällig
und skaliert schlecht. Ein Ziel bei der Su-
che nach einer neuen Lösung war, den In sti-
tuten einen Zugang zu zentralen IT-Diens-
ten zu verschaffen und dabei Adress- und
Zugangsregelungen umzusetzen, wie sie
in lokalen Netzen gelten. Natürlich sollte
die angestrebte Lösung robust, skalierbar
und finanzierbar sein. Das Ergebnis war ein
MPLS-basiertes Layer-3-VPN, das zunächst
als Pilotnetz zwischen den Standorten Bir-
linghoven, München und Stuttgart definiert
wurde und das mittlerweile in den Regel-
betrieb überführt wurde.
MPLS (RFC 2547) steht für Multi Protocol
Lable Switching. Wenn man MPLS im OSI-
Referenzmodell abbilden wollte, wäre es
zwischen Link- und Network-Layer, also als
Schicht 2,5 anzusehen. Die Idee, die hinter
MPLS steht, ist die Weiterleitung von Da-
tenpaketen in IP-Netzen anhand von Labels,
die dem ursprünglichen Datenpaket vor-
angestellt werden. Der Labeling-Mechanis-
mus ermöglicht eine Verkehrsweiterleitung
über die vom Internet-Protokoll gesetzten
Paradigmen der eindeutigen Adressierung
und des Destination Based Routings hin-
aus. Somit ergeben sich die Schwerpunkt-
Anwendungen für MPLS: nämlich Traffic-En-
gineering, Aufbau von Virtual Private Net-
works (VPN) und Virtual Leased Lines (VLL).
MPLS ist ein sehr mächtiges Werkzeug, das
eine Vielzahl von bedarfsorientierten Lö-
sungen zum Netzdesign zulässt. MPLS er-
laubt es sozusagen, Netze im Netz zu defi-
nieren. Allen Anwendungsschwerpunkten
gemeinsam ist, dass die Verkehrsvermitt-
lung unabhängig und losgelöst vom Stan-
dard-IP-Routing erfolgt. Die Implementie-
rung eines VPNs oder VLLs erfolgt inner-
halb des Providernetzes. Den Nutzern ei-
ner solchen virtuellen Infrastruktur wird je
nach Ausprägung eine IP- oder eine Layer2-
Schnittstelle zur Verfügung gestellt. MPLS
wird in den angeschlossenen Netzen des
Anwenders nicht benötigt.
Eine Variante der virtuellen Netze stellt
das Layer-3 VPN dar. Wie der Name schon
andeutet, wird dieser VPN-Typ zum Aufbau
einer privaten IP-Infrastruktur verwendet.
In Abbildung 1 soll durch die Layer-3-VPN-
Wolke innerhalb der IP-X-WiN-Wolke dar-
gestellt werden.
Ein Layer3-VPN ist ein in sich geschlosse-
nes Konstrukt, das a priori keinen Über-
gang in das Internet hat. Somit sind we-
der die Übergänge vom Anwender ins VPN
noch die im VPN verwalteten Routen aus
dem Internet erreichbar.
Für den Anwender bedeutet dies, dass er
nicht daran gebunden ist, global eindeu-
tige Adressen für die Kommunikation zwi-
schen den beteiligten Standorten zu ver-
wenden, sondern in seiner Adressvergabe
frei ist. Es können also auch Bereiche aus
dem privaten Adressbereich im VPN verteilt
werden, solange sie innerhalb des VPNs
eindeutig sind. Ebenso sind die Transfer-
netze, die zur Konfiguration der Anwender-
Übergänge ins VPN verwendet werden, aus
dem Internet nicht erreichbar.
In der Regel benötigt der Anwender neben
dem Zugang zum VPN auch einen Zugang
zum Internet. Dieser muss dann parallel
zum VPN-Anschluss über ein eigenes In-
terface geführt werden. Das klingt nach
Materialschlacht, ist es aber nicht, denn
zur Trennung der Anschlüsse sind logische
Subinterfaces ausreichend. Der Austausch
von Routinginformationen zwischen VPN
und Anwender erfolgt über ein Routingpro-
tokoll oder wird statisch konfiguriert. Im
X-WiN wird dazu analog zum Standard-IP-
Dienst das Border Gateway Protokoll (BGP) Abb. 1: Layer-3-VPN der FhG
Birlinghoven
KR
VPN – Zugang
XRX-WiN MPLS-enable
XRXR
KR
Stuttgart
München
KR
FhG-Layer3-
VPN
14 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ
verwendet. Folglich präsentiert sich ein An-
schluss an ein VPN für X-WiN Anwender
wie ein Standard-IP-Anschluss. Abbildung
2 zeigt in einem Beispiel die Konfigurati-
on des VPN-Übergangs beim Anwender-
router (KR) und beim Zugangsrouter des
X-WiN (XR).
Die eigentliche Implementierung des VPNs
geschieht innerhalb des X-WiNs durch die
Definition einer Virtual Routing and For-
warding Instanz oder kurz: VRF. Jede VRF
erhält einen eindeutigen Bezeichner der im
Beispiel in Abbildung 3 „test“ heißt. Das VRF
muss auf jedem XR konfiguriert werden,
an dem Teilnehmer des VPNs angeschlos-
sen sind. Die Zugangsinterfaces zum VPN
auf den XRs werden dem VRF zugewiesen.
Damit sind sie aus der globalen X-WiN Rou-
tingtable entfernt. Nun müssen die Rou-
ten, die im VRF verteilt werden, noch so
markiert werden, dass sie dem VRF zuge-
ordnet werden können und überdies lokal
eindeutig sind. Dazu wird ein Route-Dis-
tinguisher (rd) definiert, der den Routen
im VRF als Community Attribut vorange-
stellt wird. Mit Hilfe des Route-Target (rt)
wird festgelegt, welche Routen lokal dem
VPN zugeordnet werden. Darüber mag man
sich erst einmal wundern, da doch zu er-
warten ist, dass dies die im VRF definier-
ten Routen sind. Allerdings erlaubt es die
Route-Target Konstruktion Übergänge zwi-
schen VRFs (und damit VPNs) zu schaffen.
Die Routinginformation des VRF wird mit
Multiprotocol BGP (RFC 2858) zwischen den
beteiligten XRs verteilt. Dies geschieht über
die Definition einer Adress-Family, die es
erlaubt, die Routinginformation des VRFs
parallel zu anderen Adresstypen, wie z.B.
IP unicast zu verteilen. Die drei XRs, die am
FhG-VPN beteiligt sind, sind über MBGP voll
vermascht. Steigt die Anzahl der beteilig-
ten XRs, so werden redundant ausgeleg-
te Route-Reflektoren innerhalb des VRFs
definiert. Damit bleibt die Skalierbarkeit
des VPNs auch bei einer großen Anzahl von
Teilnehmern erhalten.
Das Forwarding innerhalb des VPNs wird
durch MPLS realisiert. Dazu werden zwi-
schen den beteiligten XRs, die im MPLS-Jar-
gon als ProviderEdge-Router (PE) bezeich-
net werden, Label Switched Pathes (LSPs)
aufgebaut. Die benötigte Label-Informati-
on wird mit Hilfe des Label-Distribution-
Protocols (LDP) verteilt. Zur Weiterleitung
von Paketen wird die Zieladresse eines Pa-
ketes am Eingangsrouter des VPNs ausge-
wertet und einem LSP zugeordnet. Dazu
wird dem Datenpaket ein geeignetes La-
bel vorangestellt. Für die Weiterleitung
im Kernnetz wird nur die Labelinformati-
on ausgewertet und entsprechend der lo-
kalen Label-Forwarding-Table jedes Rou-
ters modifiziert. Die Label-Forwarding-Ta-
ble wird dynamisch aufgebaut. MPLS kann
dazu z.B. die Informationen aus dem Inte-
rior Gateway Protokollen auswerten. Am
Ausgangsrouter (PE) wird das Label ent-
fernt und dem Anwender ein reines IP-Pa-
BGPXR-1 XR-2 KRKR-1
10.2.0.0/25AS65072
VPNAS680
XR-1 XR-2 KRKR-1
10.1.0.0/25
VPN
GigEth9/39.100188.1.248.9
KR-1
interface gigabitethernet 1/2.100 description Zugang zu VPN ip adress 188.1.248.10 255.255.255.252
router bgp 65072
no synchronization neighbor 188.1.248.9 remote-as 680 network 10.2.0.0 mask 255.255.255.128
XR-1
interface gigabitethernet 9/39.100 description Interface zum Anwender ip adress 188.1.248.10 255.255.255.252 ip vrf forwarding test
router bgp 680 adress-family ipv4 vrf test
no synchronization neighbor 188.1.248.10 remote-as 65072 neighbor 188.1.248.10 activate neighbor 188.1.248.10 as-override neighbor 188.1.248.10 route-map vpn-in in neighbor 188.1.248.10 route-map vpn-out out
Abb. 2: Konfiguration des VPN-Übergangs beim Anwender und im X-WiN
Abb. 3: Definition des Virtuellen VPN-Routers
XR-1 (XWiN-Router)
interface GigabitEthernet 9/39.100 description Interface zum Anwender ip adress 188.1.248.9 255.255.255.252 ip vrf forwarding test !
ip vrf test rd 680:100
route-target export 680:100 route-target import 680:100
15WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |
ket übergeben. Die Zuordnung des Pake-
tes zum VRF und zum Ausgangsinterface
erfolgt durch Auswertung der Route-Dis-
tinguisher Information und der VRF-Table.
Abbildung 4 zeigt einen Routingeintrag in
der VRF-Table. Neben Route Distinguisher
und Route-Target wird auch die Lable-In-
formation mitgeführt.
Nach so viel Theorie soll nun endlich der
Blick in die praktische Umsetzung erfolgen.
Das FhG-L3-VPN umfasst die Standorte Bir-
linghoven, Stuttgart und München. In der
Pilotphase wurden die redundant ausge-
legten zentralen Server für IP-Telefonie in
München und Stuttgart über das L3-VPN
miteinander gekoppelt. Dieser Test sollte
Auskünfte über Latenzzeiten und Robust-
heit des VPNs unter Anwendungsbedingun-
gen ergeben. Die Ergebnisse entsprachen
in beiden Bereichen voll den Erwartungen.
Die Latenzzeiten hatten sich gegenüber
den bis dato verwendeten IPSec-Tunneln
deutlich verringert und entsprachen den
Latenzzeiten im X-WiN. Ebenso erwies sich
das Konstrukt als sehr robust und gut zu
managen. Ein Grund dafür ist die klare Auf-
teilung der administrativen Zuständigkei-
ten. IPSec–Tunnel werden in der Regel über
mehrere administrative Grenzen hinweg
definiert, so dass die Betreiber solcher Tun-
nel keine volle Sicht (und Einflussnahme)
auf die darunterliegenden Strukturen ha-
ben. Beim Layer3-VPN sind Zuständigkeiten
und Verantwortung zwischen den Betrei-
bern des Weitverkehrsnetzes und der lo-
kalen Netze klar definiert. Das erleichtert
im Fehlerfall die Eingrenzung des Fehlers
enorm. Auf eine Einschränkung eines Lay-
er3-VPNs gegenüber IPSec-Tunneln sei an
dieser Stelle hingewiesen: Ein VPN über Pro-
vidergrenzen hinweg zu implementieren
ist sowohl technisch als auch administra-
tiv mit erheblichen Problemen verbunden
und wird deswegen in der Regel nicht um-
gesetzt. Sollen also weitere Institute an das
FhG-VPN angeschlossen werden, so benö-
tigen diese einen Anschluss an das X-WiN.
Eine Erweiterung des VPNs ist unter diesen
Bedingungen sehr einfach zu handhaben,
da ja dazu lediglich eine Erweiterung des
VRFs um ein Anwenderinterface und die
entsprechenden BGP-Session notwendig
sind. Layer3-VPNs skalieren gut.
Eine weitere Aufgabe für den DFN war, den
Nutzern des Layer3-VPN denselben Service
anzubieten wie sie beim Standard IP-Dienst
implementiert sind. So ist das FhG-VPN in
die 24x7 Überwachung des DFN eingebun-
den. Analog zum IP-Dienst ist neben der rei-
nen Linküberwachung eine Überwachung
des darüber liegenden Dienstes notwen-
dig, um zuverlässige Aussagen über die
Funktion des Links zu haben. Nachdem ei-
ne ICMP-Überwachung durch den exter-
nen Überwacher beim Layer3-VPN nicht
möglich ist, wird stattdessen der Status
der BGP-Session zum Anwender per Simp-
le Network Management Protocol (SNMP)
ermittelt. Ist dieser nicht mehr im Zustand
„established“ wird eine Störung angenom-
men. Da diese Lösung gegenüber der ICMP-
Überwachung einige Vorteile hat, wird sie
mittlerweile auch zur Überwachung von re-
dundant ausgelegten Anwenderanschlüs-
sen an den IP-Dienst verwendet. Natürlich
ist es auch möglich, Anbindungen an das
Layer3-VPN redundant auszulegen. Diese
Option wird derzeit von der FhG noch nicht
genutzt. Wie die Erfahrungen aus dem IP
Dienst zeigen, verringert sich die Ausfall-
wahrscheinlichkeit für den Anwender er-
heblich.
Was bleibt zu sagen? Das FhG-Layer3-VPN
hat sich für die FhG und den DFN als robus-
te und gut zu betreibende Lösung erwiesen.
Sie besticht dadurch, dass sie sich sowohl
beim Anwender als auch beim Netzbetrei-
ber problemlos in die bestehenden Prozes-
se einpasst. Aufgrund der bisherigen po-
sitiven Erfahrungen ist ein mittelfristiges
Ziel der Fraunhofer Gesellschaft, mit Hilfe
des Layer3-VPNs die Anzahl der Perimeter
zum öffentlichen Internet zu verringern
und dadurch die Komplexität und den Auf-
wand für das Management der Fraunhofer
Netzinfrastruktur zu reduzieren. M
Abb. 4: Routingeintrag für das Netz 10.2.0.0/25
xr-1#sh bgp vpnv4 unicast vrf test 10.2.0.0/25 BGP routing table entry for 680:100:10.2.0.0/25,
version 56 Paths: (1 available, best#1, table fhg) Advertised to update-groups: 2 12 188.1.201.66 (metric 260) from 188.1.201.66 (188.1.200.66) Origin incomplete, metric 0, localpref 100, valid, internal best Extended Community: RT:680:100 mpls lables in/out nolabel/729
Netz mit RouteDistinguisher
Route Target Information
MPLS-Label
16 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ
Gestochen scharf – die neue Qualität beim VideokonferenzdienstText: Gisela Maiß (DFN-Verein)
Foto: © jeremias münch - fotolia
17WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |
Die Nutzung des Videokonferenzdienstes DFNVC ist für viele Mit-
arbeiter in den Universitäten und Forschungseinrichtungen in
den letzten Jahren zum festen Bestandteil ihrer Arbeitsgewohn-
heiten geworden. Man trifft sich zu unterschiedlichen Zeiten
und Anlässen, sei es, um sich mit Kollegen über den Fortschritt
in EU-Projekten auszutauschen oder Absprachen mit kommer-
ziellen Partnern zu treffen, sei es, um an Veranstaltungen und
Konferenzen online teilzunehmen. Die Szenarien für die Nut-
zung von Videokonferenzen im Alltag sind vielfältig. Immer mehr
Einrichtungen im DFN-Umfeld haben den Wert dieses Arbeits-
mediums erkannt, so dass inzwischen fast 200 Einrichtungen
den Dienst nutzen.
Je mehr Einrichtungen mit Videokonferenztechnik ausgestattet
sind, desto mehr kommt auch der Gedanke auf: „Ach, das kön-
nen wir am besten alles in einer „VC“ besprechen. Treffen wir uns
doch in der nächsten Woche auf der DFN-MCU unter der Kon-
ferenznummer 0049100979xxxxx.“ Und so hat die Nutzung der
vom DFN-Verein zentral angebotenen Videokonferenztechnik
in den letzten Jahren stark zugenommen. Kernstück des Diens-
tes sind die Multipoint Control Units (MCU), Sternverteiler für
die Video- und Audio-Datenströme in einer Gruppenkonferenz.
Die Kommunikation ist H.323- oder SIP-standardbasiert und so-
mit kompatibel zu einer Vielzahl von Herstellern von Videokon-
ferenzsystemen.
HD ready oder Full HD?
Gerade der Endgerätemarkt hat sich in den letzten Jahren stark
weiterentwickelt und hier insbesondere die Videoqualität. Die-
se Entwicklung ist parallel zu der des Consumer TV-Bereichs er-
folgt, wo Begriffe wie HD ready und Full HD hinlänglich bekannt
sind. Ältere Videokonferenzsysteme bieten eine Standard Defi-
nition (SD) Auflösung an, die bei 768 x 576 Pixel (PAL) oder bei 704
x 480 (4CIF) Pixel liegt. Die neuere Gerätegeneration deckt den
High Definition (HD) Bereich mit Auflösungen von 1280 x 720 Pi-
xel (720p oder HD genannt) ab und die Spitzenprodukte der Her-
steller bieten derzeit als beste Auflösung 1920 x 1080 (1080p oder
Full HD genannt) an. Entscheidend ist auch die Bildwiederhol-
rate, die bei den 720p-Geräten meist bei 30 Bildern pro Sekunde
liegt (30 fps, frames per second) und bei den 1080p-Geräten so-
gar bis 60 fps geht.
Der Marktanteil der im DFN-Umfeld verkauften HD Videokonfe-
renzsysteme mit einer Unterstützung von 720p und einer entspre-
chenden Bildwiederholrate ist stetig gewachsen. Diese Systeme
gehören heute zum Standard und werden schon länger ohne Pro-
bleme von den im DFN eingesetzten MCUs unterstützt. Für die
Unterstützung der HD-Spitzenprodukte wurden jetzt die MCUs
im DFN aufgerüstet. Der DFN-Verein hat sich entschieden, so-
wohl die Port-Kapazität der MCUs um ein Viertel aufzustocken,
als auch alle MCUs mit einem HD 1080p Upgrade auszustatten.
Somit stehen jetzt insgesamt 160 HD Video-Ports für den DFN-
Videokonferenzdienst zur Verfügung.
Spitzenleistung der DFN-MCU
Mit dem Upgrade wird Ihnen als Nutzer des DFNVC-Dienstes ei-
ne deutlich bessere Qualität angeboten, die im Augenblick auf
dem Markt nicht überboten werden kann. Da die eingesetzten
Prozessoren der MCU allerdings limitiert sind, ist derzeit nur ei-
ne asymmetrische 1080p Unterstützung möglich, d. h. die Teil-
nehmer einer Konferenz senden 720p und empfangen von der
MCU ein auf 1080p deutlich verbessertes Video. Auch ältere SD-
Systeme profitieren von dieser Qualitätssteigerung.
Noch ein paar Details für die Experten: Die MCU kann bis zu 1080p
mit 30 fps und einer Bandbreite von 4 Mbps Continuous Presence
im Videostandard H.264 senden. Als Bildschirmformat ist sowohl
4:3 als auch 16:9 möglich. SD und HD Teilnehmer können kombi-
niert an einer VC teilnehmen und erhalten per Transcoding das
für sie optimale Video und Audio. Für die Übertragung von Prä-
sentationen über das Protokoll H.239 steht wie bisher ein zwei-
ter Videokanal zur Verfügung. Mit dem Built-in Streaming Ser-
ver können bis zu 80 Unicast Teilnehmer über die Viewer Real-
Player™ oder QuickTime™ teilnehmen. Ein Text Chat steht beim
Streaming ebenfalls zur Verfügung. Präsentationen können ne-
ben H.239 auch separat über VNC™ übertragen werden oder Sie
nutzen die vom DFN-Verein in die MCU-Webschnittstelle integ-
rierte Lösung des „Collaboration“ über Adobe Connect. Neu ist
ein so genannter Lecture Mode: Dabei wird der Videokanal des
Sprechers automatisch im Vollbild-Modus an alle anderen Kon-
ferenzteilnehmer gesendet. Der Sprecher selbst sieht weiterhin
alle Teilnehmer im Split-Screen-Modus. Und selbstverständlich
ist wie bisher die Verschlüsselung der Konferenzen mit AES En-
cryption und 128 Bit Key nach dem Protokoll H.235 oder die SIP
Encryption möglich.
Einwahl per Telefon
Zusätzlich zu den 160 HD Video-Ports stehen seit kurzem auch
160 Audio-Ports zur Verfügung. Die Einwahl in eine Videokonfe-
renz per Telefon oder die Teilnahme an einer reinen Audiokon-
ferenz ist eine vielgefragte Leistung des DFN-Videokonferenz-
dienstes. Der Zugang erfolgt über die Anwahl des ISDN-H.323-Ga-
teways unter Eingabe der Konferenznummer. Durch die große
Nachfrage war im letzten Jahr auch ein Ausbau der Gateway-Ka-
pazität nötig. Das Berliner Gateway wurde mit einem zweiten
S2M-Anschluss ausgestattet. Das ermöglicht nun die Einwahl
an den beiden Gateways von maximal 15 parallelen ISDN-Video-
konferenzsystemen mit 384 Kbps Bandbreite oder 90 parallelen
Telefonanrufen.
18 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ
Seit 01.10.2010 sind die ISDN-H.323-Gateways in den Dienst DFN-
Fernsprechen integriert. Für alle Teilnehmer dieses Dienstes ist
die Einwahl in die Gateways ab sofort entgeltfrei. Das gilt auch
für Mobilfunkanschlüsse, die unter den Mobilfunkrahmenver-
trag zwischen DFN-Verein und T-Mobile fallen.
Auswahl von Videokonferenzsystemen
Als Nutzer des Dienstes hat man nun die Qual der Wahl, welches
Videokonferenzsystem denn das richtige für die eigene Anwen-
dungsumgebung ist. Die Angebote der Hersteller gehen von Desk-
top-Lösungen bis zu den Hightech-Spitzensystemen, die schon
vor Jahren unter der Bezeichnung Telepresence auf den Markt
kamen. Damals verstand man darunter noch eine meist propri-
etäre Lösung, die aus einem Multi-Codec mit 3 Kameras und 3
großen Monitoren bestand sowie einer abgestimmten Möbel-
und Raumausstattung. Dies sollte zu einem völlig neuen, reali-
tätsnahem Konferenzerlebnis beitragen, als ob man mit seinem
Kommunikationspartner an einem Tisch sitzt. Aber Achtung, der
Begriff Telepresence ist heutzutage völlig verwaschen und kein
fest definierter Terminus. Es gibt verschiedene Hersteller, die re-
den von Personal Telepresence, Room Telepresence und Immer-
sive Telepresence und diese Bezeichnungen markieren die ge-
samte Palette des Angebots.
Insofern ist es deutlich besser, sich nicht an diesem Begriff zu
orientieren, sondern die Leistungsparameter der Systeme unter
die Lupe zu nehmen und zu vergleichen. Der DFN-Verein und das
Kompetenzzentrum für Videokonferenzdienste (VCC) an der TU
Dresden bieten Ihnen dabei umfangreiche Hilfe an. Viele Hin-
weise finden sich im Videokonferenz-Handbuch, das kapitel-
weise auf dem Webportal des VCC angesehen und herunterge-
laden werden kann. Außerdem steht dort auch eine umfangrei-
che Sammlung von Testberichten der auf dem Markt verfügba-
ren Videokonferenzsysteme zur Verfügung. Aber auch per Mail,
Telefon und an jedem ersten Montag des Monats per Videokon-
ferenz steht das Kompetenzzentrum des DFN-Vereins für Fra-
gen zur Verfügung.
Probieren geht über Studieren
Die Tücke der modernen HD-fähigen Videokonferenzsysteme
steckt oft im Detail. So erzeugen einige Systeme im Zusammen-
spiel mit neuen 100 Hertz LCD-Monitoren Echoprobleme bei der
Audioübertragung. Viele Hersteller ermöglichen es, zunächst ei-
ne Teststellung in der eigenen Umgebung auszuprobieren, was
angesichts der finanziellen Aufwendungen für VC-Technik auch
sehr zu empfehlen ist. Man sollte sich die Systeme vorher ge-
nau anschauen und sich beraten lassen. Für die Ansprechpart-
ner in den Einrichtungen, meist Mitarbeiter der Rechenzentren,
bietet der DFN-Verein als Einstieg in den gesamten Bereich von
H.323, DFNVC-Dienst und Videokonferenzsystemen Schulungen
an. Die Ankündigungen dafür finden sich auf dem VC-Portal des
DFN-Vereins.
Im Übrigen garantiert der DFN-Verein durch die redundante, zen-
trale Infrastruktur des Dienstes eine nahezu 100%ige Verfügbar-
keit. Die Adressierung der Kommunikationspartner erfolgt über
eine weltweite Adressierungsstruktur. Die Konferenzen können
bei Bedarf vom Konferenzveranstalter aufgezeichnet und spä-
ter heruntergeladen werden. Es gibt keine langwierige Reser-
vierungsprozedur oder Konferenzanmeldung, der Dienst steht
den Nutzern ad hoc zur Verfügung und die einmal generierten
Konferenznummern können immer wieder verwendet werden,
so dass man sie gut in die lokalen Adressbücher eintragen kann.
So steht einer Nutzung des Videokonferenzdienstes mit der neu-
en, brillanten Qualität nichts mehr im Wege. M
http://www.vc.dfn.de
http://vcc.zih.tu-dresden.de
E-Mail: [email protected]
Telefon: 0711-63314-214
weitere Informationen
Foto: © gettyimages
19WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |
Kurzmeldungen
DFNRoaming/eduroam
Der DFN-Verein nimmt derzeit an einem
Pilotprojekt zur Erstellung von Statistiken
für den Dienst eduroam teil. In den Statis-
tiken werden alle Endgeräte gezählt, die
sich über die Top-Level Radius-Server des
DFN-Vereins erfolgreich authentisieren.
Im Juli 2010 konnte damit erstmals präzi-
se festgestellt werden, wie viele Endgerä-
te im Dienst DFNRoaming/eduroam aktiv
waren. Die Zahl betrug im Juli ca. 24.000
aktive Endgeräte. Im August hatten sich
über 30.000 Nutzer erfolgreich über einen
der 15.600 WLAN-Hotspots an mehr als 200
Standorten im DFN authentisieren können.
An Werktagen wurden dabei durchschnitt-
lich 2.200 erfolgreiche Authentifizierungen
registriert. kh
Neue SIM-Karte für iPads
Als neues Leistungsmerkmal von DFNRoa-
ming ist es seit Jahresbeginn möglich, via
UMTS oder über einen von mehr als 20.000
WLAN-Hotspot der T-Mobile in Deutsch-
land Zugang zum Wissenschaftsnetz zu
bekommen. Zur Nutzung dieses Leistungs-
merkmals können die Einrichtungen über
den DFN-Verein die entsprechenden UMTS-
SIM-Karten zusammen mit einer Kennung
zur Nutzung der WLAN-Hotspots erhalten.
Bis Ende Juli waren 387 UMTS-Karten ak-
tiviert.
Für das neue iPad von Apple wird eine neue,
so genannte Micro-SIM-Karte notwendig.
T-Mobile tauscht die alten SIM-Karten kos-
tenlos gegen die neuen Micro-SIM-Karten
aus. Zusätzlich wird kostenlos auch ein
Adapter mitgeliefert, so dass die Micro-
SIM-Karte auch in USB-UMTS-Sticks für den
Laptop genutzt werden kann. Eine gleich-
zeitige Nutzung beider UMTS-Karten (Mi-
cro-SIM und normale UMTS-SIM-Karte) ist
nicht möglich. http://www.dfn.de/dienst-
leistungen/dfnroaming/ kh
Doppelte Bandbreite zwischen X-WiN und GÉANT
Bereits im Juli wurde der GÉANT-Anschluss
des Deutschen Forschungsnetzes in Frank-
furt/Main auf 2x10 Gbit/s ausgebaut. Mit
diesem Ausbau wurde unter anderem
auf die Anforderungen aus internationa-
len Wissenschaftskooperationen reagiert,
die während des ersten Halbjahres 2010
zu einem deutlichen Anstieg des zwischen
europäischen NRENs übertragenen Daten-
aufkommens geführt haben. Das impor-
tierte Datenvolumen aus dem GÉANT be-
trägt derzeit gut ein Petabyte pro Monat,
die exportierte Datenmenge liegt mit 950
TeraByte knapp darunter. kh
Erstmals mehr als 10 Petabyte im Wissenschaftsnetz
Der Traffic im Wissenschaftsnetz X-WiN
hat die 10-Petabyte-Schwelle überschrit-
ten. Insgesamt 10.557 Terabyte wurden im
Oktober 2010 mit dem Dienst DFNInternet
übertragen. Davon wurden an den 490 An-
wenderanschlüssen des X-WiN 5.599 TByte
gemessen. Etwa 500 TByte gingen auf das
Konto von VPNs, der übrige Traffic wurde
über die Peerings zu Netzen anderer Pro-
vider und die Verbindungen in das welt-
weite Internet und zum GÉANT-Backbone
verursacht.
Bislang lag das höchste im X-WiN übertra-
gene Volumen bei 9.403 TByte und wurde im
Mai 2010 gemessen. Noch im Oktober des
Vorjahres hatte das transportierte Daten-
volumen 7.514 TByte betragen. Der jährli-
che Steigerungsfaktor liegt bei 1,4 und ent-
spricht damit den Steigerungsraten, die in
den letzten Jahren im Wissenschaftsnetz
zu beobachten waren. kh
0
2.000
4.000
6.000
8.000
10.000
12.000
14.000
16.000
18.000
03/1
0
12/0
9
08/0
9
05/0
9
02/0
9
10/0
8
07/0
8
04/0
8
01/0
8
09/0
7
06/0
7
03/0
7
11/0
6
08/0
6
0
20
40
60
80
100
120
140
160
180
200
An
zah
l Ein
rich
tun
gen
An
zah
l Sta
nd
ort
e
An
zah
l Acc
essp
oin
ts
Anzahl EinrichtungenAnzahl Accesspoint Anzahl Standorte
Abb. 1: Anzahl an Access-Points, angeschlossenen Einrichtungen und Standorte pro Quartal
20 | DFN Mitteilungen Ausgabe 79 | November 2010 | INTERNATIONAL
Internet2 verbessert internationale Verbindungen
Text: Kai Hoelzner (DFN-Verein)
Atlantisch-Pazifische Vernetzung mit neuen Strecken zwischen Asien, USA und Europa
GÉANT Coverage
ALICE2-RedCLARA Network
EUMEDCONNECT2 Network
TEIN3 Network
BSI Network
UbuntuNet Alliance
CAREN
10 Gbps
5 Gbps2,5 Gbps
1000 Mbps
622 Mbps
155 Mbps
34 - 45 Mbps
geplante n*10 Gbps Leitungen
für ACE und TransPac3
Abb.: Von Dante Ltd. initiierte regionale Netzinitiativen und ihre derzeitige weltweite Vernetzung.
21INTERNATIONAL | DFN Mitteilungen Ausgabe 79 |
Mit 9,2 Millionen Dollar unterstützt die Na-
tional Science Foundation (NSF) die Inter-
nationalen Verbindungen der nordameri-
kanischen Internet2-Initiative. Unter der
Projektleitung der Indiana Universität soll
eine Hälfte des Betrages für den Ausbau
der Verbindungen zum TEIN3 verwendet
werden, mit dem die ostasiatischen For-
schungsnetze untereinander und mit Eu-
ropa vernetzt sind. Die andere Hälfte des
Förderbetrages soll dem Ausbau der Ver-
bindungen zum Europäischen GÉANT die-
nen, das von Dante, der Einrichtung der Eu-
ropäischen NRENs, gemanagt wird.
Ebenso wie einige weitere europäische
Forschungsnetz-Organisationen ist der
DFN-Verein Shareholder von Dante und
damit auch in die internationale Vernet-
zung des Wissenschaftsnetzes maßgeblich
involviert. Neben dem GÉANT betreibt Dan-
te Ltd. ebenfalls das asiatische TEIN3, mit
dem die wissenschaftliche Zusammenar-
beit zwischen dem asiatisch-pazifischen
Raum und Europa vorangetrieben wird.
Unter dem Projekttitel „TransPAC2“ ist das
Nordamerikanische Internet2 derzeit be-
reits mit 10 Gbit/s an TEIN3 angeschlossen.
Die Projektmittel der NSF ermöglichen den
Ausbau dieser Ostasien-Verbindung im Rah-
men des TransPAC3-Projektes. TEIN3 verbin-
det China, Indien, Indonesien, Japan, Korea,
Laos, Malaysia, Nepal, Pakistan, die Philippi-
nen, Singapur, Sri Lanka, Taiwan, Thailand,
Vietnam und Australien untereinander und
mit derzeit zwei 2,5 Gbit/s-Verbindungen
mit Europas Forschungsnetzen.
Der für TransPAC3 geplante Betrieb mehr-
facher 10 Gbit/s Verbindungen, die über Ja-
pan in die USA führen, sowie die Weiter-
führung dieser Verbindung über den Atlan-
tik nach Europa stellt eine echte Verbes-
serung der internationalen Konnektivität
dar. TransPAC3 zeigt, dass das europäische
Engagement zur Vernetzung des asiatisch-
pazifischen Raumes der Region einen ech-
ten Schub gegeben hat und nun tatkräf-
tig und mit leistungsstarken Verbindun-
gen von den USA unterstützt wird.
Die direkte, von Amerika aus initiierte Ver-
bindung nach Europa wird unter dem Na-
men „America Connects to Europe“ (ACE)
projektiert und ergänzt die bestehenden,
jedoch bislang meist durch die europäi-
sche Wissenschaft organisierten Verbin-
dungen zwischen den Forschungsnetzen
Europas und Nordamerikas. Das finanzielle
Engagement der National Science Found-
ation für die transatlantischen und trans-
pazifischen Verbindungen ist Indiz für eine
Trendwende bei der internationalen Ver-
netzung der Wissenschaften.
Wegen der weit früheren Verbreitung von
Wissenschaftsnetzen in den USA wurden
die Verbindungen zwischen Europas und
Nordamerikas NRENs traditionell einseitig
von Europa finanziert. Das erfolgreiche En-
gagement der europäischen Forschungs-
netzorganisationen für einen gemeinsa-
men Backbone, der heute 34 Länder von
Island bis nach Israel und von Finnland bis
nach Portugal miteinander verbindet, so-
wie der Aufbau von Verbindungen nach
Südamerika, Nord-Afrika und Zentralafri-
ka, Zentralasien sowie in den asiatisch-pa-
zifischen Raum, verbunden mit der Einrich-
tung lokaler Backbones zur Förderung der
Vernetzung in diesen Regionen, hat Europa
zur weltweit führenden Region in Fragen
der Wissenschaftsvernetzung gemacht.
Neben der symbolischen Bedeutung der
massiven Förderung ihrer internationa-
len Konnektivität bringt „ACE“ aber auch
sehr konkrete Vorteile für beide Seiten.
Zum einen schlagen die Kosten für trans-
atlantische Verbindungen erheblich zu Bu-
che, zum anderen werden sie in Folge im-
mer häufigerer Kooperationen bei wissen-
schaftlichen Großprojekten deutlich öfter
nachgefragt.
Zugleich stellt die US-Initiative auch eine
Stärkung des Europäischen Forschungs-
Backbone dar, der mit den verbesserten
transatlantischen Verbindungen für die na-
tionalen Europäischen Forschungsnetze
noch attraktiver wird. Das Engagement
der Amerikaner belegt, dass Dante in Eu-
ropa erster Ansprechpartner ist, wenn es
um die internationale Vernetzung der Wis-
senschaft geht. M
weitere Informationen
Internet2
Das Internet2 wurde 1996 von der University Corporation for Advanced Inter-
net Development (UCAID) initialisiert. Mehr als 300 Wissenschaftseinrichtun-
gen sind in den USA an das Internet2 angeschlossen. Es unterhält auf seinen
wichtigsten Strecken mehrfache 10 Gbit/s-Verbindungen. Gemanagt wird das
Internet2 durch die Indiana University.
TEIN3
TEIN ist ein regionales Forschungs- und Bildungsnetzwerk in Asien, das nach
dem europäischen Netzwerk-Modell GÉANT geschaffen wurde. Der Gedanke,
ein transeurasisches Informationsnetz (TEIN) zu schaffen, wurde bei dem euro-
päisch-asiatischen Gipfeltreffen (ASEM) im Jahr 2000 gefasst. TEIN3, die jüngste
Generation des Netzes, bietet eine Bandbreitenkapazität mit Geschwindigkei-
ten bis zu 2,5 Gbit/s. Die EU und die asiatischen Partner stellen dafür Finanz-
mittel in Höhe von 18 Millionen Euro zur Verfügung. Derzeit sind 15 Länder im
asiatisch-pazifischen Raum an das Netz angeschlossen, die über TEIN3 mit 5
Gbit/s mit dem GÉANT verbunden sind. Gemanagt wird TEIN3 durch Europas
Forschungsnetzorganisation Dante Ltd., die unter anderem vom DFN und einer
Reihe weiterer nationaler Forschungsnetzorganisationen gegründet wurde.
22 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS
23CAMPUS | DFN Mitteilungen Ausgabe 79 |
CampusStudentennetze
von Kai Hoelzner
Der neue Personalausweis ist da
von Jens Fromm
Der neue Personalausweis – erste Ergebnisse
des offenen Anwendungstests
von Jan Mönnich
Kurzmeldungen
24 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS
Viele der Studentenwohnheime sind heute direkt an das Rechenzentrum der Univer-
sität angeschlossen. Wer im Karlsruher Hans-Diekmann-Kolleg, im Braunschweiger
„Affenfelsen“ oder im Aachener „Dorf“ zu Hause ist, ist nicht nur tiefer in das aka-
demische Leben seiner Hochschule integriert als manch ein „Externer“, sondern er
verfügt auch zu Hause über einen direkten Zugang zum lokalen Netz der Hochschule
und zum Wissenschaftsnetz. Daraus ergeben sich weit reichende Möglichkeiten, Wis-
sensressourcen zu nutzen und an netzgestützten Formen der Lehre teilzunehmen.
Viele Studentenwohnheime sind heute direkt an das Rechenzentrum der Universität
angeschlossen. Wer im Karlsruher Hans-Diekmann-Kolleg, im Braunschweiger „Affen-
felsen“ oder im Aachener „Dorf“ zu Hause ist, ist nicht nur tiefer in das akademische
Leben seiner Hochschule integriert als manch ein „Externer“, sondern er verfügt auch
zu Hause über einen direkten Zugang zum lokalen Netz der Hochschule und zum Wis-
senschaftsnetz. Daraus ergeben sich weitreichende Möglichkeiten, Wissensressour-
cen zu nutzen und an netzgestützten Formen der Lehre teilzunehmen.
Studentennetze
Text: Kai Hoelzner (DFN-Verein)
25CAMPUS | DFN Mitteilungen Ausgabe 79 |
Initiativen wie die „Arbeitsgemeinschaft
Dresdner Studentennetz“, das Braunschwei-
ger „MichaelisNet“ oder die „Netz-AK Tübin-
gen“ treiben seit vielen Jahren den Auf- und
Ausbau lokaler Fasernetze voran und organi-
sieren Netzzugänge in studentischer Selbst-
verwaltung. Organisiert werden die „Studen-
tennetze“ teils in Eigenregie, teils unter der
Ägide der Studentenwerke und immer in en-
ger Zusammenarbeit mit den Rechenzen-
tren der Hochschulen.
Basistechnologie für viele der Studenten-
netze ist Ethernet. Mehr als 5000 Bewohner
von Studentenheimen gehen in Bochum
über Gigabit-Anschlüsse ins Netz, die di-
rekt in die Häuser hineinreichen. Statt mit
2 Mbit/s asymmetrischer DSL-Kapazität
ist man in Bochum ebenso wie in Braun-
schweig oder Dresden mit symmetrischen
100 Mbit/s im Netz unterwegs. In Bonn, wo
das Studentenwerk 4300 Studierende mit-
tels eines eigenen, 60 Kilometer langen 10
GE-Backbone versorgt, werden die Zimmer-
anschlüsse in den Wohnheimen derzeit be-
reits auf 1 Gbit/s aufgerüstet. Wohnheime,
die nicht über Fasern mit dem Rechenzen-
trum verbunden sind, können entweder
über eine Richtfunkstrecke (meist im Stan-
dard 802.11a oder 802.11n) oder über eine
Laserstrecke angebunden werden, wobei
Laserstrecken jedoch bei längeren Distan-
zen nur eingeschränkt nutzbar sind und
sich überdies anfällig für Schnee und Ne-
bel zeigen. Bei gutem Wetter jedoch bie-
ten sie gegenüber Richtfunk eine deutlich
höhere Bandbreite.
Do-it-Yourself – Selbst ist der Surfer
Der Nutzen von Studentennetzen be-
schränkt sich nicht nur auf die Erschlie-
ßung neuer Arbeits- und Kommunika-
tionsmöglichkeiten im Studium. Der in
Eigenregie organisierte Aufbau und Be-
trieb lokaler Netze vermittelt den Stu-
dierenden zugleich auch ganz prakti-
sche Kompetenzen. Dazu gehören der
aktive Betrieb von Netztechnik wie auch
die Betreuung der Mitbewohner als „Sup-
porter“, das Einrichten und die Admini-
stration von Webseiten oder das Verfas-
sen von Anleitungen zur Konfiguration
von Rechnern und Programmen für die
verschiedenen Betriebssysteme. Einbli-
cke eröffnen sich ebenfalls in die Verwal-
tung von Nutzer-Accounts, das Kostenma-
nagement und nicht zuletzt in die Grün-
dung und Organisation eines Vereins.
In einigen Fällen steht nicht nur der Be-
trieb von Netztechnik auf der Aufgabenlis-
te, sondern auch die Erstinstallation von
Fasern, Routern und Switches. So konn-
ten etwa die Bewohner des Braunschwei-
ger Michaelishofes auf keine vorhandene
Netzwerk-Infrastruktur in den Häusern zu-
rückgreifen. Die Installation der gesamten
Netztechnik im Haus wurde im Jahr 1999
von einem eigens gegründeten Netzwerk-
Verein, dem Michaelisnet e.V., in Eigenre-
gie durchgeführt. Von der Verlegung der
Dark Fiber über die Installation der Rou-
terschränke bis hin zum Anklemmen der
Anschlussdosen wurde das Netz von den
Studierenden mit erheblichem Aufwand
selbst aufgebaut. Nachdem die größten
Wand- und Deckendurchbrüche noch von
ortsansässigen Handwerkern gestemmt
wurden, galt es, mit Bohrhämmern Kanä-
le von Zimmer zu Zimmer zu öffnen, durch
die die Kabelstränge Etage für Etage durch
das Haus geführt werden konnten. Bei 130
Zimmern mit jeweils zwei Leitungen zu
acht Adern führten am Ende dieser fast
gänzlich unter dem Motte „Do-it-Yourself“
stehenden Kabelarbeiten schließlich mehr
als 2000 einzelne Leitungen auf die Patch-
Panels in den Betriebsräumen der verschie-
denen Häuser des Michaelishofs. „Leider“,
so der lakonische Bericht von der Erstin-
stallation auf der Webseite des Michaelis-
net, „war das Wohnheim nicht komplett
unterkellert, so dass es zwischen den Häu-
serteilen keine Verbindung gab. Um das
Glasfaserkabel zwischen den einzelnen
Stationen verlegen zu können, mussten
wir diese Verbindung erst schaffen.“ Einen
Eindruck, was darunter zu verstehen ist,
vermittelt die Fotostrecke auf der Websei-
te des akademischen Netz-Vereins. Bildun-
terschriften wie „Graben ausschachten“,
„Wanddurchbruch“ oder „abschließen-
de Pflasterarbeiten“ lassen erahnen, wie
weit das Engagement der Braunschwei-
ger Studenten beim Aufbau des eigenen
Netzes ging, bis schließlich der erste zen-
trale Wohnheim-Server für Mail- und FTP-
Dienste und der erste eigene Router in Be-
trieb gehen konnten.
Geschichte der Studentennetze
Dass man auf Seiten der Studierenden
viel Freizeit in die Netze steckt und selbst
Schwielen und Muskelkater in Kauf genom-
men hat, um die heimische Studierstube
zu verdrahten, erklärt sich auch historisch:
Eine große Zahl studentischer Netzinitiati-
ven wurde bereits Mitte der 90er Jahre ge-
gründet, zu einer Zeit also, als das Internet
noch weit von seiner heutigen Bedeutung
entfernt war. In Greifswald, Göttingen und
in vielen anderen Universitätsstädten fan-
den sich bereits Mitte der 90er Jahre Stu-
dierende zusammen, um das noch junge
Medium Internet möglichst vielen Kommi-
litonen zur Verfügung zu stellen. In Göttin-
gen beispielsweise wurde diese Initiative
schon früh vom Studentenwerk aufgegrif-
fen. In Kooperation mit der GWDG und der
Universität Göttingen wurde zum 1. Okto-
ber 1996 die Internet-AG gegründet. Wur-
den die Göttinger Wohnheime zunächst
mit der damals neuen Technik ADSL ange-
schlossen, nahm man 1999 die Schaufel in
die Hand, um das erste Wohnheim, die „Pa-
penburg“ direkt per Lichtwellenleiter an
das Göttinger Wissenschaftsnetz GÖNET
anzuschließen. Seit 2000 sind alle Systeme
im Göttinger Studentennetz in das „Stu-
dierenden-VLAN“ integriert. Darüber hin-
aus versorgt die heute als studIT bekannte
Initiative alle Studierenden der Universi-
tät Göttingen mit Internet-Accounts und
Foto links: Wo keine Glasfasern verfügbar sind,
werden Studentenheime mit Richtfunk oder per
Laserstrecke an das Hochschulnetz angeschlos-
sen. Als höchster Punkt des Braunschweiger Uni-
Geländes stellt das Hochhaus der Bauingenieure
den idealen Standort für die Laserstrecke dar.
26 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS
E-Mail-Adressen sowie mit dem entspre-
chenden Support.
Traffic
Ein kritisches Thema für Studentennetze
ist das Datenvolumen, das den Nutzern
zur Verfügung steht. Es ist das Anliegen
eines Rechenzentrums, innovative Kom-
munikationsformen wie Videokonferen-
zen, IP-Telefonie und andere multimedia-
le Technologien zu unterstützen und die
Kompetenz der Studierenden im Umgang
mit Rechnern und Netzen zu fördern. Die
Nutzungsrichtlinien vieler Rechenzen-
tren sind dabei so gestaltet, dass sie sich
an den originären, wissenschaftlichen
Zwecken der Studentennetze orientieren.
Vielerorts gibt es daher Traffic-Begrenzung,
wie etwa in Dresden, wo das wöchentliche
Limit sechs Gigabyte beträgt, wobei einge-
hender und ausgehender Verkehr zusam-
mengerechnet werden. Wer sich der 6-GB-
Schwelle nähert, erhält bei 80% seines er-
laubten Wochenvolumens einen Hinweis
per E-Mail. Darüber hinaus kann der indivi-
duelle Verbrauch mittels eines einfachen
Customer-Network-Management-Systems
laufend überprüft werden. Wird mehr als
die erlaubte Menge Datenverkehr verur-
sacht, wird beim ersten Verstoß eine Sper-
re für die nächsten 7 Tage verhängt. Ab
dem dritten Verstoß wird für die jeweils
folgenden 30 Tage gesperrt, wobei inter-
ner Traffic, also die direkten Verbindungen
von und zu den IP-Adressen der Hochschu-
le, nicht mitgerechnet wird.
Dass der Traffic der Studentenheime in
den Rechenzentren ein Thema ist, zeigt
auch das Beispiel Erlangen. Durchschnitt-
lich 3,5 Gigabyte stehen den Studenten pro
Woche zur Verfügung. Täglich werden da-
bei 500 Megabyte zum bisherigen Gutha-
ben hinzu addiert. Da dieses Modell ins-
besondere nach den Semesterferien zu
einer erheblichen Ansammlung von Gut-
haben führen würde, ist das maximale
Guthaben auf 5 Gigabyte begrenzt. Doch
auch wenn das Gigabyte-Guthaben aufge-
braucht ist, bleibt ein Basis-Dienst mit ge-
drosselter Bandbreite erhalten. Für die nö-
tige Transparenz sorgt in Erlangen ein von
den Studierenden entwickeltes Tool, das
als Webinterface genutzt oder als Widget
für den Desktop heruntergeladen werden
kann und für Windows ebenso verfügbar
ist wie für Mac OS X und Linux.
Mehr als nur Netz
Nicht nur beim Auf- und Ausbau der Cam-
pus-Netze und bei der Bereitstellung von
Internet-Services haben sich die studenti-
schen Netzinitiativen zu wahren Schwer-
gewichten entwickelt. Nahezu alle Angele-
genheiten von bzw. in Studentenwohnhei-
men werden heute netzbasiert organisiert,
so dass Einrichtungen wie das Studenten-
dorf Aachen oder das Erlangener Erwin-
Rommel-Studentenwohnheim mit seinen
mehr als 300 Appartements das Netz heute
als zentrale Plattform für die Kommunika-
tion der Bewohner und Koordination des
Gemeinschaftslebens nutzen. Die Vorteile
liegen auf der Hand: Auch wenn man prak-
tikums-, ferien- oder studienbedingt nicht
zu Hause ist, bleibt der direkte Draht zur
Hausgemeinschaft bestehen. Anmeldung,
Rückmeldung oder die Planung von Frei-
zeitaktivitäten lassen sich ortsunabhängig
bewerkstelligen. Hinzu kommen vielerorts
engagierte und durchdachte Mehrwert-Ser-
vices wie der zentrale Scanner im Wohn-
heim, der die Scans automatisiert auf die
Mailbox des einzelnen Nutzers schickt, der
Netzwerkdrucker oder das Open-Source-
Programmpaket, das auf den Servern vie-
ler akademischer Initiativen in der stets
aktuellsten Version bereitsteht.
Auf der Webseite des Dresdner Studen-
tennetzes etwa finden sich nicht nur de-
taillierte Anleitungen zur Installation von
Netz, Middleware und Desktop-Program-
men für alle gängigen Betriebssysteme,
27CAMPUS | DFN Mitteilungen Ausgabe 79 |
sondern auch nützliche „Mehrwert-Diens-
te“ wie Webmailer, die stets aktuellen Wer-
te der universitätseigenen Wetterstation,
der digitale Wegweiser über den Campus
der Universität oder der „Abfahrtsmoni-
tor“ für die Bushaltestellen rund um das
Wohnheim.
Mit Projekten wie „Virtueller Hörsaal“ oder
dem „Bibliotheksmodul“, das die direkte
Bibliotheksrecherche aus dem Wohnheim-
Netz heraus vorantreibt, begleitet der 1997
gegründete Ilmenauer Forschungsgemein-
schaft elektronischer Medien e.V. das The-
ma Studentennetze sogar durch eigene
wissenschaftliche Aktivitäten, die spezi-
fisch auf die Anforderungen der Studie-
renden zugeschnitten sind.
Studentennetztreffen
Zum Erfahrungsaustausch und zur ge-
meinsamen Interessenvertretung finden
seit 2004 jährliche Studentennetztreffen
statt, die – programmatisch den DFN-Be-
triebstagungen nicht unähnlich – Fragen
rund um den Betrieb von Studentennetzen
thematisieren. Netzwerksicherheit, artge-
rechte Wurm- und Virenbekämpfung, Ac-
counting oder Traffic-Management stehen
dabei ebenso auf der Tagesordnung wie die
Klärung rechtlicher Fragen, der Umgang
mit Trouble-Ticket-Systemen oder die Be-
deutung des Datenschutzes bei Nutzerver-
waltung und Netzmanagement. Natürlich
kommt kein Studentennetztreffen ohne
die „obligatorische“ Besichtigung der lo-
kalen Betriebsräume und das abendliche
Get Together aus.
Eine gute Link-Sammlung zu den Studen-
tennetzen in Deutschland bietet die Sei-
te http://www.studentennetze.de, die ein
Verzeichnis von Initiativen und eine Über-
sicht über die bisherigen Tagungen der Stu-
dentennetzwerker bietet. Je nach Inter-
essenlage gelangt man von hier aus mit
drei Klicks zur Topologie des Chemnitzer
CSN, zur Benutzerordnung des Stralsunder
„Holzhausen Network“ oder zum Kicker-
tisch der Mittweidaer Informatiker. M
Die Installation des MichaelisNet am Braun-
schweiger Michaelishof wurde von den
Studierenden fast vollständig in Eigenregie
durchgeführt.
Foto oben: Auflegen der Kabel am Patchfeld.
Linke Seite
Foto links: Einrichten der Laser-Strecke auf dem
Dach des Hochhauses der Bauingenieure.
Fotos rechts: Einrichten eines Zugangs für die
Verbindung der einzelnen Häuser.
Rechte Seite
Foto oben links und rechts: Wanddurchbrüche
im Heimwerker-Verfahren.
Foto unten links: Fertig belegte Patch-Felder für
den Netzwerk-Schrank.
Foto unten rechts: Abschließende Pflasterarbei-
ten auf dem Hof des Wohnheims.
28 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS
Der neue Personalausweis ist da
Text: Jens Fromm (Fraunhofer FOKUS)
Foto: © Fraunhofer FOKUS
29CAMPUS | DFN Mitteilungen Ausgabe 79 |
Wer ab November zu seinem Bürgeramt geht, um einen Personal-ausweis zu beantragen, wird einen neuen, scheckkartengroßen Personalausweis erhalten. Der neue Personalausweis mit Chip ist ein großer Fortschritt, denn seine altbewährte Sichtausweis-Funktion wird nun in die virtuelle Welt übertragen. Die Online-Ausweisfunktion ermöglicht eine sichere und vertrauenswür-dige Identifikation im eBusiness und eGovernment für alle Bür-ger. Ausweisinhaber können sich überall dort sicher elektronisch ausweisen, wo Identitätsdaten erforderlich sind – sowohl gegen-über Behörden zur Beantragung bestimmter Verwaltungsdienst-leistungen als auch gegenüber privatwirtschaftlichen Dienst-leistungsanbietern, beispielsweise beim Online-Shopping oder -Banking. Außerdem besitzt der neue Personalausweis auch ei-ne Unterschriftsfunktion mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz und kann das dazugehörige Signaturzertifikat speichern.
Der neue Personalausweis en detail
Der neue Personalausweis hat die Größe einer Scheckkarte. Ge-
fertigt wird er aus dem stabilen Material Polycarbonat. Die Vor-
derseite ziert das Bild des Bundesadlers und auf der Rückseite
ist das Brandenburger Tor als Symbol der deutschen Einheit ab-
gebildet.
Um Fälschungssicherheit zu gewährleisten, hat das neue Doku-
ment zahlreiche Sicherheitsmerkmale, unter anderem Hologram-
me, Kippbilder sowie einen Sicherheitsfaden. Die individuellen
Personendaten werden per Laser auf eine der inneren Karten-
schichten graviert. Oberflächenprägungen, spezielle Druckfarben
und komplexe Linienmuster (Guillochen) erschweren das Kopie-
ren zusätzlich. Auf der Rückseite ist neben den Sicherheitsmerk-
malen das Logo des neuen Personalausweises aufgedruckt.
Die beiden sich ergänzenden Halbkreise stehen für das Prinzip
des gegenseitigen Ausweisens zwischen Nutzer und Dienstean-
bieter und symbolisieren die Verwendung in der Online- und der
Offline-Welt. Dieses Logo kennzeichnet außerdem Internetanwen-
dungen, Automaten und Lesegeräte, bei denen man den neuen
Personalausweis einsetzen kann.
Prinzipiell werden die aufgedruckten Daten auf einem Chip im
Karteninneren digital hinterlegt – und zwar nur diese. Denn wei-
tere Daten werden weder erhoben noch gespeichert. Auf freiwil-
liger Basis können die Ausweisinhaber auch zwei Fingerabdrü-
cke aufnehmen lassen. Der berührungslos auslesbare Ausweis
vereint in sich drei elektronische Funktionen.
Online-Ausweisfunktion (Elektronischer
Identitätsnachweis)
Für Online-Anwendungen von Dienstleistern aus eBusiness und
eGovernment können sich Nutzer mit ihrem Personalausweis
jetzt im Internet anmelden und registrieren, d. h. sicher und au-
thentisch bestimmte persönliche Daten aus ihrem Ausweis über-
mitteln. Außerdem kann so auch die sichere Nutzung an Auto-
maten (z. B. zur Altersbestätigung) und Zutrittssystemen (z. B.
Firmengelände) mit dem neuen Dokument und dessen Funktio-
nen ermöglicht werden. Zugriff auf die persönlichen Daten des
Ausweisinhabers haben nur jene Dienstleister, die eine staatli-
che Berechtigung bei der Vergabestelle für Berechtigungszerti-
fikate beantragt und das Berechtigungszertifikat erhalten ha-
ben. Die Berechtigung gilt nur für Daten, die für den Geschäfts-
zweck des Dienstes erforderlich sind. Beispielsweise benötigt
eine Onlinevideothek im besten Fall nur die Altersverifikation,
Abb. 2: Im Inneren des neuen Personalausweises ist ein Chip untergebracht,
der die Daten des Ausweisinhabers sichert.
Abb. 1: Das Logo auf der Rückseite kennzeichnet ab November 2010 Internet-
anwendungen, Automaten und Lesegeräte, die mit dem neuen Personalaus-
weis genutzt werden können.
30 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS
um das Erreichen eines bestimmten Alters des Ausweisinhabers
nachzuweisen. Generell werden nur Daten an die Dienstanbie-
ter übermittelt, wenn der Ausweisinhaber dies mit der Eingabe
seiner sechsstelligen PIN bestätigt. Der Einsatz der Online-Aus-
weisfunktion des neuen Ausweises ist sowohl für die Ausweis-
inhaber als auch für die Anbieter von Diensten freiwillig.
Die Online-Ausweisfunktion des neuen Personalausweises ba-
siert auf dem Prinzip des gegenseitigen Ausweisens, damit beide
Seiten der Identität ihres Gegenübers vertrauen können (Abbil-
dung 3). Auf diese Weise authentifizieren sich sowohl der Nutzer
als auch der Anbieter gegenseitig sicher und valide.
Unterschriftsfunktion (Elektronische
Signaturfunktion)
Die Unterschriftsfunktion ist für das rechtsverbindliche Unter-
zeichnen elektronischer Dokumente und E-Mails vorgesehen. Im
Gegensatz zur Online-Ausweisfunktion dient sie nicht dem Iden-
tifizieren von Personen, sondern dem elektronischen Signieren
von Dokumenten. So ermöglicht sie im Internet den Abschluss
von verbindlichen und rechtswirksamen Transaktionen, die die
Schriftform erfordern. Personalausweisinhaber können ein ent-
sprechendes Zertifikat für die qualifizierte elektronische Signa-
tur auf den Ausweis nachladen. Ausgeliefert wird der Ausweis
jedoch immer ohne dieses Zertifikat. Es kann bei Anbietern von
Zertifizierungsdiensten, die von der Bundesnetzagentur zuge-
lassen sind, kostenpflichtig erworben werden.
Hoheitliche Ausweisfunktion
Die hoheitliche biometrische Ausweisfunktion ist ausschließ-
lich den zur Identitätsfeststellung berechtigten Behörden, al-
so z. B. Polizei-, Grenz- und Zollkontrollen, vorbehalten. Nur sie
können neben den Angaben zur Person auch auf das Lichtbild
und die ggf. erfassten Fingerabdrücke zugreifen. Im Gegensatz
zum elektronischen Identitätsnachweis und der elektronischen
Signaturfunktion ist diese Funktion bzw. das biometrische Fo-
to Pflicht. Freiwillig können zwei Fingerabdrücke auf dem Chip
gespeichert werden.
Datenschutz und Datensicherheit
Bei der Nutzung der elektronischen Funktionen des neuen Per-
sonalausweises wird besonderer Wert auf Datenschutz, Daten-
sicherheit und die Wahrung der informationellen Selbstbestim-
mung gelegt. Alle Informationen und Übertragungen werden mit
international anerkannten und etablierten Sicherheitsprotokol-
len geschützt. Dies sind insbesondere PACE (Password Authenti-
cated Connection Establishment) und EAC (Extended Access Con-
trol), bestehend aus Terminal- und Chipauthentisierung.
Das PACE-Protokoll ist ein kryptographisches Protokoll und dient
dem Aufbau eines verschlüsselten und integritätsgesicherten
Kanals zwischen Kartenlesegerät und Ausweis-Chip.
Die Terminalauthentisierung ermöglicht dem Ausweis-Chip zu
verifizieren, ob der Diensteanbieter berechtigt ist, auf die Daten
des elektronischen Identitätsnachweises zuzugreifen. Dies er-
folgt auf der Basis der erteilten Berechtigungszertifikate.
Die Chipauthentisierung ermöglicht es, die Echtheit des Aus-
weis-Chips und damit auch der auf dem Chip gespeicherten Da-
ten nachzuweisen. Des Weiteren dient die Chipauthentisierung
dem Aufbau eines stark gesicherten Ende-zu-Ende-Kanals zwi-
schen Ausweis-Chip und Diensteanbieter. Erst wenn der sichere
Abb. 3: Sowohl Bürger als auch Diensteanbieter können sich bei Nutzung des neuen Personalausweises auf die Identität ihres Gegenübers verlassen.
Wer ist die anfragende Person?
Ist das Unternehmen
real?
BürgerInnen Diensteanbieter
Bürger weist sich mitneuem PA aus
Diensteanbieter weistsich mit Berechtigungs-zertifikat aus
31CAMPUS | DFN Mitteilungen Ausgabe 79 |
Ende-zu-Ende-Kanal aufgebaut ist, kann auf die Daten im Chip
zugegriffen und diese übermittelt werden.
Diese Protokolle und ihr Zusammenwirken werden in der Tech-
nischen Richtlinie BSI-TR-03110 beschrieben (Abbildung 4).
Der Anwendungstest
Bereits vor der Einführung des neuen Personalausweises wur-
den seine Funktionen ausführlich getestet. Dazu hat das Bun-
desministerium des Innern bereits am 01. Oktober 2009 einen
Anwendungstest gestartet, in dem über 200 Unternehmen und
Verwaltungen die elektronischen Funktionen des neuen Aus-
weises erprobten, damit bereits jetzt schon Anwendungen für
den neuen Personalausweis zur Verfügung stehen. Als zentra-
le Anlaufstelle und InfoPoint rund um den neuen Personalaus-
weis dient seitdem das Test- und Demonstrationszentrum im
Fraunhofer-Institut FOKUS. Im Test- und Demonstrationszentrum
werden in entsprechenden Laborumgebungen die Nutzung des
neuen Personalausweises und die Integration der notwendigen
Komponenten in unterschiedliche Anwendungen getestet. Da-
zu gehören u.a. der Aufbau von Szenarien und die Demonstrati-
on der technischen Infrastruktur, wie zum Beispiel AusweisApp
und eID-Server. Außerdem werden hier ausgewählte Pilotpro-
jekte unterschiedlicher Diensteanbieter vorgestellt. Das Test-
und Demonstrationszentrum befindet sich im Fraunhofer-In sti-
tut FOKUS in Berlin.
Wie können Unternehmen und Bürger vom
neuen Personalausweis profitieren?
Der neue Personalausweis eröffnet völlig neue Gestaltungsmög-
lichkeiten für Online-Dienste, die wiederum zu Kostensenkun-
Weitere Informationen
zum neuen Personalausweis:
www.personalausweisportal.de
zu den Anwendungstests:
www.ccepa.de
Abb. 4: Informationen und Übertragungen werden beim neuen Personalausweis durch das Zusammenwirken von PACE-Protokoll,
Terminalauthentisierung und Chipauthentisierung geschützt.
gen, Vereinfachung, Effizienz und Service-Qualität führen. Die
Online-Ausweisfunktion ist für alle Unternehmen, aber auch für
Behörden interessant, für deren Geschäftsprozesse eine Über-
prüfung der Identität erforderlich ist. Die Unternehmen profi-
tieren von einer sicheren Übermittlung und dem Erhalt valider,
authentischer Daten und können gleichzeitig einen besseren
Service für ihre Kunden bieten.
Mithilfe der Unterschriftsfunktion können Unternehmen und öf-
fentliche Behörden Prozesse nun vollständig und medienbruch-
frei ins Internet verlagern, die bisher noch den persönlichen oder
postalischen Austausch von Dokumenten erfordern. Das führt
wiederum zur Verschlankung dieser Geschäftsprozesse. Auch die
Innovationsimpulse durch die Erschließung neuer Geschäftsmo-
delle und die Erweiterung der bestehenden Internetangebote
dürfen hier nicht vergessen werden.
Aufgrund der verkürzten und zeitsparenden Abläufe profitieren
auch die Bürgerinnen und Bürger, die mit einer schnelleren Bear-
beitung rechnen können. Nicht zuletzt muss hier auch die Stär-
kung des Vertrauens erwähnt werden, die durch den gegensei-
tigen Identitätsnachweis zwischen Kunden und Anbietern ge-
fördert wird. M
Password Authenticated •
Connection Establishment
- PACE
Terminalauthentisierung•
Passive Authentisierung•
Chipauthentisierung•
32 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS
Der neue Personalausweis – erste Ergebnisse des offenen AnwendungstestsText: Jan Mönnich (DFN-CERT)
Foto: © homebredcorgi - iStockphoto
33CAMPUS | DFN Mitteilungen Ausgabe 79 |
Nach Betrachtung der Grundlagen des
neuen Personalausweises im Artikel „Der
neue Personalausweis ist da“ und neben
aller Kritik (siehe beispielsweise Veröffent-
lichungen vom CCC) ist es nun an der Zeit,
die Frage zu stellen: Welchen Mehrwert
bringt der neue Ausweis z. B. im DFN-Um-
feld und welche Probleme könnte er lösen?
An praktisch allen DFN-Einrichtungen gibt
es Vorgänge, die nicht nur ein beliebiges
Benutzerkonto erfordern, sondern die Veri-
fizierung einer realen Identität verlangen.
Ein Beispiel: Das Ausstellen eines digita-
len Zertifikats in der DFN-PKI erfordert ei-
ne persönliche Identifizierung anhand ei-
nes Ausweises. Der neue Personalausweis
könnte hierbei eine Remote-Identifizierung
ermöglichen oder die Übernahme der per-
sönlichen Daten durch direktes Auslesen
aus dem Chip effizienter gestalten und da-
bei gleichzeitig die Fälschungssicherheit
durch Kryptografie verbessern. Aber auch
einfachere Anwendungsszenarien sind
eine Betrachtung wert: Der Ausweis kann
das Anmelden bei vielen verschiedenen
(Web-) Anwendungen auf Basis einer
2-Faktor-Authentifizierung (Besitz und
Kenntnis der PIN) ermöglichen.
Der offene Anwendungstest
Um herauszufinden, was die neuen Aus-
weisfunktionen wirklich bringen und wie
diese in der Praxis genutzt werden können,
hat der DFN-Verein an dem offenen Anwen-
dungstest des neuen Personalausweises
teilgenommen. Ziel der Teilnahme an den
bis zum 31. Oktober 2010 zeitlich begrenz-
ten Tests war, den Einsatz des neuen Per-
sonalausweises in relevanten Anwendun-
gen und Prozessen innerhalb des DFN zu
erproben. Dazu wurde eine exemplarische
Web-Anwendung entwickelt, die Daten aus
dem Ausweis auslesen und diese zur Bean-
tragung und Ausstellung eines Zertifikats
in der DFN-PKI nutzen kann. Es wurden da-
bei alle Schritte nachvollzogen, die ein An-
bieter in der Praxis durchlaufen muss, um
den neuen Personalausweis als Mittel der
Authentifizierung in seinen Online-Diens-
ten zu integrieren.
Zunächst wurden mehrere Testausweise
mit unterschiedlichen Daten bezüglich Na-
men, Anschrift und Alter sowie der Stan-
dardkartenleser SCL011 (auch im so genann-
ten IT-Sicherheitskit enthalten) über das
„Kompetenzzentrum neuer Personalaus-
weis“ besorgt. Dieses Kompetenzzentrum
ist eine Anlaufstelle für alle technischen
und organisatorischen Fragen während des
offenen Anwendungstests. Es werden dort
Informationen zu aktuellen Entwicklungen,
Dokumentationen sowie ein Forum zum
Erfahrungsaustausch bereitgestellt.
Um die persönlichen Daten aus den Aus-
weisen auslesen zu können, musste als
nächster Schritt ein Berechtigungszerti-
fikat beschafft werden. Berechtigungszer-
tifikate können während des Anwendungs-
tests über das Kompetenzzentrum in ver-
schiedenen Varianten beantragt werden:
Eintrittskarte, Kundenkonto, Wohnortab-
frage, Pseudonym und Altersverifikation.
Die Wahl der Variante beeinflusst, welche
Daten der Anbieter aus einem Ausweis aus-
lesen darf (Abbildung 1) und muss daher
sorgfältig auf das eigene Anwendungssze-
nario abgestimmt sein. Eine tabellarische
Übersicht der Varianten mit den zugehö-
rigen auslesbaren Daten hilft bei der Aus-
wahl. Da der offene Anwendungstest, an-
ders als im späteren echten Betrieb, kei-
ne hohen Sicherheitsanforderungen stellt,
wird das ausgestellte Berechtigungszer-
tifikat nach einem formlosen Antrag per
verschlüsselter E-Mail an den Anbieter ge-
sendet.
Die Sicht des Anbieters
Um nun die Daten aus dem neuen Personal-
ausweis auslesen zu können, muss der An-
bieter Zugriff auf einen eID-Server haben.
Da der Aufwand zum Betreiben eines eige-
nen eID-Servers aufgrund der notwendigen
Spezial-Software und der Sicherheitsan-
forderungen sehr hoch ist, kann auch ein
Drittanbieter genutzt werden, der sich auf
das Hosting von eID-Servern spezialisiert
hat. Neben der Bundesdruckerei gibt es ei-
ne Reihe von weiteren Anbietern für die-
sen Zweck, die in dem Portal des Kompe-
tenzzentrums gelistet sind. Für den eige-
nen Test wurde die Firma „bremen online
Services GmbH (BOS)“ kontaktiert, die mit
ihrem Produkt „Governikus Autent“ eine
Lösung für Identitätsmanagement mit in-
tegriertem eID-Server geschaffen hat. Da-
Abb. 1: Freigabe der persönlichen Daten bei Nutzung des neuen Personalausweises für elektronische
Transaktionen im Netz
34 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS
mit eine Konfiguration eingerichtet wer-
den konnte, mussten das Berechtigungs-
zertifikat sowie ein frei wählbarer Name
für die Konfiguration per verschlüsselter
E-Mail an BOS geschickt werden.
Für die Nutzung des neuen Personalauswei-
ses sind die eigenen (Web-)Anwendungen
um einen neuen Programmcode zu ergän-
zen. Dazu stellt BOS erfreulicherweise eine
Java-Bibliothek inklusive Beispielquelltex-
ten zur Verfügung, mit der die Entwicklung
stark beschleunigt werden konnte. Ledig-
lich die Parameter für die Kommunikati-
on mit dem eID-Server sowie die Prüfung
der zurückgegebenen Daten mussten noch
selbst implementiert werden. Die „Tech-
nische Richtlinie eID-Server“ des BSI be-
schreibt zwei Verfahren, über die der An-
bieter mit dem eID-Server kommunizieren
kann, die beide von Governikus Autent un-
terstützt werden (siehe Kasten „Technik“).
Unabhängig von dem gewählten Verfahren
muss auf der Seite des Nutzers während
des Anmeldeverfahrens eine Anwendung
gestartet werden, die mit dem eID-Server
kommuniziert. Die Firma BOS hat hier ein
eigenes Java-Applet entwickelt, das nicht
lokal installiert werden muss, sondern im
Browser ausgeführt wird. Diese Vorgehens-
weise eignet sich besonders für Web-An-
wendungen, da der Nutzer das Browser-
Fenster nicht verlassen muss.
Die Sicht des Nutzers
Der Nutzer wird aus der Web-Anwendung
zum Zweck der Identifizierung auf eine Sei-
te mit dem Java-Applet umgeleitet, wird
dort aufgefordert seinen Personalausweis
auf den Kartenleser zu legen und wählt
selbst, welche der vom Anbieter geforder-
ten persönlichen Daten ausgelesen und
gesendet werden sollen. Der notwendige
Zeitaufwand liegt dabei, abgesehen von
dem ersten Start des Java-Applets, durch-
aus in einem tolerablen Bereich. Alle per-
sönlichen Daten bleiben auf dem Weg vom
Personalausweis zum eID-Server verschlüs-
selt und werden auf dem Weg vom eID-
Server zur Web-Anwendung so verschlüs-
selt, dass nur der Anbieter sie wieder ent-
schlüsseln kann.
Der neue Personalausweis bietet eine Be-
sonderheit, wenn nur eine Anmeldung an
einer Webseite unterstützt werden soll: Bei
einer Anmeldung wird der Nutzer nicht da-
zu aufgefordert seine persönlichen Daten,
sondern lediglich sein „dienste- und kar-
tenspezifisches Kennzeichen“ freizugeben.
Dieses wird durch Daten aus dem Berech-
tigungszertifikat und dem Ausweis gene-
riert. Dadurch ist ein und dieselbe Person
bei verschiedenen Anbietern niemals unter
dem gleichen Kennzeichen bekannt, was
verhindern soll, dass Anbieter sich zusam-
menschließen können, um dadurch Kun-
denprofile zu erstellen.
Fazit
Aus technischer Sicht hat der neue Perso-
nalausweis das Potential, das allseits wün-
schenswerte „Single Sign On“ umzusetzen.
Durch die 2-Faktor-Authentifizierung ist der
neue Personalausweis sicherer als ein nor-
males Benutzerkonto und das mit vielen
Vorteilen aus Datenschutzsicht. Denkba-
re Anwendungsszenarien reichen von ei-
ner Anmeldung bei Web-Anwendungen wie
beispielsweise dem DFN-CERT Portal oder
einem Typo3-System bis hin zu einer Alter-
native zu der persönlichen Identifizierung
in der DFN-PKI. Die erfolgreiche Implemen-
tierung im Rahmen des Anwendungstests
hat gezeigt, dass solche Szenarien mit we-
nig Aufwand umgesetzt werden können
(Abbildung 2 und 3).
Abb. 2: Start des Identifizierungsvorgangs mit Hinweis auf eine Umleitung
Abb. 3: Übernahme der persönlichen Daten für die Zertifizierung
35CAMPUS | DFN Mitteilungen Ausgabe 79 |
Aber gerade aufgrund des amtlichen
Charakters des Dokuments steigt natür-
lich auch der Schaden im Fall eines Miss-
brauchs. Da ist es bedauerlich zu hören,
dass der Bund die so genannten IT-Sicher-
heitskits, mit denen der Einsatz des neu-
en Personalausweises gefördert werden
soll, mit einem einfachen Kartenlesege-
rät ohne PIN-Eingabefeld ausstatten will.
Die PIN muss über die Tastatur eingege-
ben werden und kann daher von Spiona-
Die Technik hinter den Kulissen
Die Kommunikation zwischen einem Anbieter und ei-
nem eID-Server ist in dem Dokument „Technische Richt-
linie eID-Server” (BSI-03130) spezifiziert und erfolgt ent-
weder über SOAP- oder SAML-Nachrichten. Beide For-
mate müssen gesichert über das HTTPS-Protokoll aus-
getauscht werden.
Die Variante über SAML erfolgt gemäß dem „Web Brow-
ser SSO Profile“ von OASIS, wobei der Betreiber des eID-
Servers die Rolle des Identity Providers einnimmt. Die
(Web-)Anwendung des Anbieters (Service Provider) er-
stellt auf Nutzerwunsch nach Authentisierung eine ver-
schlüsselte und signierte SAML-Authentisierungsanfrage.
Die Verschlüsselung und Signatur erfolgen dabei mittels
XMLDSIG und XML-Encryption unter der Verwendung von
X.509-Zertifikaten, denen beide Kommunikationspartner
vertrauen. Auch die SAML-Antwort ist so verschlüsselt,
dass sie nur der Anbieter mit seinem privaten Schlüssel
entschlüsseln kann.
Als Alternative kann die Kommunikation über SOAP erfol-
gen. Dabei ruft die Anwendung des Anbieters eine Funk-
tion über SOAP bei einem eID-Server auf, die den Start ei-
ner Authentisierung signalisiert und die auszulesenden
Daten als Parameter übergibt. Dann muss die Anwen-
dung für die Kommunikation zwischen Ausweis und eID-
Server gestartet werden (Java-Applet) und der Nutzer be-
ginnt mit der Freigabe seiner persönlichen Daten. Paral-
lel dazu fragt die Anwendung des Anbieters periodisch
per SOAP bei dem eID-Server nach, bis ein Ergebnis der
Authentisierung vorliegt, also bis der Nutzer die Interak-
tion mit der eCardAPI-Anwendung beendet hat. Die Ver-
schlüsselung erfolgt bei der Variante über SOAP auf der
Transportebene durch Nutzung von SSL/TLS.
Die Kommunikation zwischen dem Kartenleser und dem
eID-Server erfolgt nach der eCard-API und ist deutlich
komplexer. Ein Anbieter kann hier im Normalfall jedoch
auf bestehende Software setzen, wie z. B. das Java-Applet
von BOS. Detailliertes Wissen über diese Kommunikati-
on ist daher normalerweise auf der Seite des Anbieters
nicht erforderlich.
geprogrammen mitgelesen werden. Grö-
ßere Hürden sind jedoch auf der organi-
satorisch rechtlichen Seite zu erwarten:
Für jede Anwendung und jede Einrichtung
muss ein eigenes Berechtigungszertifikat
beantragt und der Grund für das Auslesen
von bestimmten Daten gut argumentiert
werden. Ob sich so innerhalb des DFN An-
wendungen für den neuen Personalaus-
weis etablieren lassen und ob diese auf
positive Resonanz stoßen werden, bleibt
abzuwarten. In jedem Fall wird der DFN-
Verein die Entwicklung rund um den neu-
en Personalausweis aufmerksam verfolgen
und steht allen technisch interessierten
Anwendern im DFN als Ansprechpartner
hierzu unter [email protected] zur Ver-
fügung. M
Kurzmeldungen
Vierzig Jahre GWDG
Im Oktober feierte die Gesellschaft für wissenschaftliche Da-
tenverarbeitung mbH Göttingen (GWDG) ihr 40-jähriges Beste-
hen. Als Hochschulrechenzentrum für die Georg-August-Univer-
sität Göttingen und als Rechen- und IT-Kompetenzzentrum für
die Max-Planck-Gesellschaft besitzt die GWDG eine lange Tradi-
tion. Bereits 1970 wurde die GWDG mit je hälftiger Beteiligung
vom Land Niedersachsen, vertreten durch die Universität Göt-
tingen, und von der Max-Planck-Gesellschaft (MPG) mit dem für
die damalige Zeit sehr innovativen Ziel gegründet, Synergien in
der Informationsverarbeitung durch den gemeinsamen Betrieb
eines Rechenzentrums zu realisieren.
War die GWDG anfangs noch ein reines Rechenzentrum, das im
Wesentlichen Großrechnerleistung zur Verfügung stellte, wan-
delte sie sich im Laufe der Jahre immer weiter zu einem moder-
nen IT-Kompetenzzentrum und IT-Dienstleister für Forschung und
Lehre. Zu ihrem heutigen umfangreichen Leistungsspek trum ge-
hören vor allem Mail- und Kommunikationsservices, Datenspei-
Wissenschaftsnetze schreiben sich in die Geschichtsbücher ein
Anfang der 1970er Jahre wurden in der DDR sowjetische Groß-
rechner vom Typ BESM 6 installiert. Dieser Computer war damals
mit einer Million Rechenoperationen pro Sekunde der schnells-
te des Ostblocks. Um die Kapazitäten dieser Rechner optimal
auszunutzen, wurde am Zentrum für Rechentechnik in den Aka-
demie-Standorten Zeuthen und Berlin-Adlershof und an der TU
Dresden ein Rechnernetzwerk entwickelt. Damit konnten um-
fangreiche Rechenjobs zwischen den Hochleistungscomputern
aufgeteilt werden.
Das Rechnernetz DELTA ging 1979 mit zwei Knoten in Betrieb und
wurde 1981 auf fünf Knoten erweitert. Das Herzstück des Net-
zes bildeten Großrechner in Adlershof, Berlin-Buch, Zeuthen und
Dresden, die durch Modems über Standleitungen miteinander
verbunden wurden. Mit dem eigens entwickelten Kommunika-
tionssystem KOMET konnten Datenpakete mit einer Geschwin-
digkeit von 48 Kilobit/s übertragen werden. Nach Prag gab es ei-
ne Testverbindung mit 1,2 Kilobit/s.
Die Ausstellung „Weltwissen - 300 Jahre Wissenschaft in Berlin“,
die im September im Berliner Martin-Gropius-Bau eröffnet wur-
cherung und -sicherung und Netzservices. Sie betreibt das Göttin-
ger Übertragungsnetzes GÖNET und das Funk-LAN „GoeMobile“
mit derzeit 300 Access-Points. Derzeit sind insgesamt 25.000 End-
geräte an das GÖNET angeschlossen. Ebenfalls bei der GWDG an-
gesiedelt ist das Göttinger Grid-Ressourcenzentrum „GoeGrid“,
das die Speicher- und Rechenressourcen der Göttinger Grid-Pro-
jekte bündelt.
Die GWDG verwaltet heute 34.000 Mailboxen, 500 virtuelle Web-
server und 350 weitere virtuelle Server. Neben dem Hosting der
Internet-Plattform Stud.IP der Universität, über die derzeit 23.000
Göttinger Studierende mit IT-Leistungen versorgt werden, unter-
hält die GWDG 18.000 Benutzerkonten. Basis vieler Dienstleis-
tungen sind 4.620 Rechenkerne (Cores) mit 16,2 TeraByte Haupt-
speicher und einer Gesamtleistung von 46 TeraFlop/s in mehre-
ren Hochleistungs-Rechenclustern. Die GWDG ist mit 5 Gbit/s an
das X-WiN angeschlossen.
Kai Hoelzner
de, präsentiert neben vielen weiteren Exponaten auch das Rech-
nernetz DELTA. Die Ausstellung versteht sich als Höhepunkt des
Berliner Wissenschaftsjahres. Eine Konvergenz mehrerer Wis-
senschaftsjubiläen bilden den Hintergrund der Ausstellung. Ber-
lin blickt 2010 auf zweihundert Jahre Humboldt-Universität und
dreihundert Jahre Charité zurück. Ebenfalls dreihundert Jahre ist
die Gründung der Akademie der Wissenschaften her.
Gemeinsam mit ehemaligen Kollegen von der TU Dresden und
dem heutigen DESY Zeuthen hat der DFN-Verein für die Ausstel-
lung Schaltkarten des Großrechners BESM6, Netztopologien und
Fotografien zum Einsatz des Rechners im ehemaligen Zentrum
für Rechentechnik in Zeuthen beigesteuert.
In weiteren Präsentationen wird neben dem Modell des ersten
Zuse-Rechners auch auf die Entwicklung der Rechnernetze ein-
gegangen. In einer Vitrine wird unter der Überschrift „Knoten
statt Zentren: Vernetztes Rechnen“ über die Beiträge der Berli-
ner Wissenschaftler zur Entwicklung der Rechnernetze in bei-
den Teilen der Stadt informiert.
36 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS
Ehrung für deutschen Shibboleth-Propagandisten Ruppert
Für seinen Beitrag zur Entwicklung von Technologien für Biblio-
theken wird Hans-Adolf Ruppert, stellvertretender Direktor und
Leiter des IT-Dezernats der Universitätsbibliothek Freiburg, mit
dem „Library Hi Tech Award“ ausgezeichnet. Der Preis wird an
Persönlichkeiten verliehen, die einen wichtigen Beitrag zur Ent-
wicklung von Technologien für Bibliotheken geleistet haben.
Ruppert wurde wegen seiner seit Jahrzehnten erfolgreichen Ar-
beit in der Entwicklung von innovativen IT-Lösungen für das Bi-
bliothekswesen nominiert. Er ist Initiator und Gesamtleiter von
„ReDI – Regionale Datenbank-Information Baden-Württemberg“
(www.redi-bw.de) und eine der treibenden Kräfte beim Aufbau
der DFN-AAI. Das Redi-Portal eröffnet den Zugang zu rund 700
bibliographischen, Volltext- und Fakten-Datenbanken. Darüber
hinaus ist Ruppert einer der zentralen Protagonisten bei der Ein-
führung von Shibboleth in Deutschland. Shibboleth ist ein Au-
thentifizierungs- und Autorisierungsverfahren, das in der DFN-
AAI ortsunabhängig Zugriff auf lizenzierte Ressourcen, wie z. B.
Datenbanken oder elektronische Zeitschriften, auf verteilten
Dokumentenservern ermöglicht, ohne dass sich Nutzer mehr-
fach anmelden müssen.
Kai Hoelzner
Anlass der Präsentation ist, dass von Berlin aus immer wieder
wichtige Impulse für die Entstehung von Computernetzwerken
in Deutschland ausgingen. Während das DELTA-Netz seit Mit-
te der 1970er Jahre an der (Ost-)Berliner Akademie der Wissen-
schaften entwickelt wurde, startete im Westteil der Stadt 1974
das HMI-NET des Hahn-Meitner-Instituts im experimentellen Be-
trieb, dessen Nachfolger BERNET bereits vier Forschungseinrich-
tungen vernetzte.
Die Ausstellung ist noch bis zum 9. Januar 2011 geöffnet. Infor-
mationen unter: www.weltwissen-berlin.de
Hans-Martin Adler, Dr. Jürgen Rauschenbach
Abb. 1: Schaltkarte des Großrechners BESM 6 (um 1970). Anfang der 70er Jahre wurden in der DDR sowjetische Großrechner vom Typ BESM 6 installiert.
Der Transistorcomputer war mit einer Million Rechenoperationen pro Sekunde der schnellste Computer des Ostblocks.
© Deutsches Elektronen-Synchrotron DESY, Foto: Eberle & Eisfeld, Berlin.
37CAMPUS | DFN Mitteilungen Ausgabe 79 |
38 | DFN Mitteilungen Ausgabe 79 | November 2010 | SICHERHEIT
DNSSEC reloaded
Text: Kai Hoelzner (DFN-Verein), Holger Wirtz (DFN-Verein)
Foto: © sto.E - photocase
Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Rechnerna-
men in eine vom Computer verarbeitbare IP-Adresse umgewandelt. Es ist sozusagen
das Telefonbuch des Internets. Derzeit wird die Information, welcher Rechnername
in welche IP-Adresse aufzulösen ist, unverschlüsselt und unsigniert gespeichert und
übertragen. Deswegen können auf dem Transportweg beziehungsweise durch Cache-
Manipulation in den zur Auflösung verwendeten Nameservern Veränderungen vorge-
nommen und Nutzer auf manipulierte Seiten gelenkt werden.
39SICHERHEIT | DFN Mitteilungen Ausgabe 79 |
Foto: © sto.E - photocase
Zusammen mit dem Verband der deutschen
Internetwirtschaft e.V. (eco) und der DENIC
(Deutsches Network Information Center)
startete das Bundesamt für Sicherheit in
der Informationstechnik (BSI) im vergan-
genen Jahr eine Initiative, die dieses Pro-
blem lösen soll. Ziel ist es, die Sicherheit
im DNS durch Einführung von Signatu-
ren (DNSSEC) zu verbessern. Um operati-
ve und technische Erfahrungen mit DNS-
SEC zu sammeln, nimmt der DFN-Verein
an dem Testbed teil.
Wie funktioniert das DNS?
Das Internet, wie wir es heute kennen, ba-
siert auf dem DNS. Dieses kann man sich
als global verteiltes Telefonbuch vorstel-
len, das die weltweit eindeutigen Domain-
namen (z. B. www.dfn.de) einer IP-Adresse
(z. B. 194.95.237.15) zuordnet. Die Domain-
namen dienen dabei lediglich einer ver-
einfachten Schreibweise, intern werden
von den beteiligten Systemen IP-Adres-
sen verwendet.
Damit nicht alle Anfragen auf einem ein-
zigen Server landen, ist das DNS hierar-
chisch aufgebaut. Der Namensraum wird
in so genannte Zonen aufgeteilt. Für www.
dfn.de sind das nach der obersten Hierar-
chie (Root) die Server für Deutschland (.de)
und dann die Server des DFN (.dfn.de). Die
Zuständigkeiten der Zonen werden in der
Hierarchie delegiert.
Wenn ein Nutzer die Webseite www.dfn.de
aufrufen will, wird der Nameserver seines
Internetanbieters alle Stufen der obigen
Hierarchie nacheinander abfragen. Jede
Stufe, die die Antwort nach der Zieladres-
se nicht kennt, gibt einen Hinweis auf die
nächst tiefere Stufe. Der Server zuunterst
in der Hierarchie kann am Schluss die Fra-
ge nach der Adresse beantworten.
Gefährdung des DNS durch „Poisoning“
Die Protokolle des DNS stammen aus der
„Frühzeit“ des Internet, als Sicherheit noch
verwalter in das System eingepflegt hat.
DNSSEC ermöglicht dem bei einem Name-
server anfragenden Computer zu erkennen,
ob die Antwort nach einer Internet-Adres-
se im DNS tatsächlich von jenem Server
kommt, der als zuständig eingetragen ist.
Gleichzeitig wird gewährleistet, dass die-
se Antwort beim Transport über das Inter-
net nicht verändert wurde. Vereinfacht ge-
sagt: DNSSEC ist eine Art Versicherung, die
dem Internetnutzenden garantiert, dass
nur diejenige Webseite angezeigt wird, die
er aufrufen will. Ebenso wie das Cache-
Poisoning vom Nutzer nicht bemerkt wird,
bleiben auch die Gegenmaßnahmen dis-
kret im Hintergrund. Wem der Nameser-
ver über DHCP mitgeteilt wird, aber auch,
wer ihn manuell eingetragen hat, ist au-
tomatisch geschützt, sofern der Betreiber
des Nameservers sein System auf DNSSEC
umgestellt hat.
Allerdings bringt die Einbettung einer Pu-
blic-Key-Infrastruktur (PKI) in die Abfrage-
Verfahren der DNS nicht nur Lösungen mit
sich, sondern stellt die Betreiber von Na-
meservern vor einige neue Aufgaben. Ne-
ben technischen Anforderungen entstehen
wiederkehrende organisatorische Anforde-
rungen an die lokalen Betriebsabläufe. Ins-
besondere Schlüssel müssen regelmäßig
erneuert werden. Administratoren werden
dabei zwar durch Tools unterstützt, den-
noch ist die Schlüsselpflege schon aus
Gründen der Betriebssicherheit nicht au-
tomatisierbar. Für die Generierung und
Aufbewahrung der Schlüssel sollte eine
einheitliche Policy verfolgt werden, denn
wenn der private Schlüssel gleich neben
den zu signierenden Daten auf dem Na-
meserver liegt, hat ein Hacker keine Pro-
bleme, falsche Daten nach außen als au-
thentisch auszuliefern.
Das DNSSEC-Testbed
Die Einführung einer PKI für DNS-Anfragen
lässt sich nicht einfach über Nacht in ein
laufendes System integrieren. Zum einen
stellen die Security-Verfahren die Rechen-
nicht zu den primären Problemen im Netz
zählte. Die relative Schutzlosigkeit ermög-
licht Angriffsszenarien wie das so genann-
te Cache-Poisoning, womit das „Vergiften“
von DNS-Servern mit falschen Adress-In-
formationen bezeichnet wird.
Cache-Poisoning stellt keinen direkten An-
griff auf den einzelnen Nutzer dar, son-
dern korrumpiert eine ganze Infrastruk-
tur, der der Nutzer naturgemäß vertraut.
Ein Angriff wird daher in aller Regel für
den Nutzer unsichtbar bleiben. Nutzer wer-
den durch gefälschte Einträge im DNS z. B.
auf fingierte Webseiten einer Bank gelei-
tet. Arglos verwendete PIN- und TAN-Num-
mern können dabei von Kriminellen erbeu-
tet werden. Aber auch andere Anwendun-
gen wie Mail-, VoIP- oder Storage-Applika-
tionen können mittels Cache-Poisoning
korrumpiert werden.
Cache-Poisoning, also die Manipulationen
von DNS-Daten, kann von Angreifern auf
mehreren Wegen erreicht werden. Ent-
weder wird die ursprüngliche Anfrage be-
lauscht, um direkt darauf antworten zu
können. Alternativ können massenweise
Antworten generiert werden, um zufällig
eine passende DNS-Antwort auf eine ak-
tuelle DNS-Anfrage zu erzeugen. Der drit-
te Fall ist eine Mischung aus beiden: Bei
einem rekursiven Nameserver wird eine
Anfrage gestellt, die der Nameserver nicht
beantworten kann. Dieser wird selbst ak-
tiv und schickt Anfragen an die zuständi-
gen Nameserver. Der Angreifer kann diesen
Ablauf nutzen, um gefälschte „Antworten“
der Nameserver einzuschleusen.
Mit DNSSEC gegen DNS-Korruption
Die Kernidee der Sicherheitserweiterung
durch DNSSEC ist so einfach wie wirkungs-
voll. DNSSEC ist eine Protokollerweiterung,
die das DNS um Quellenauthentisierung
ergänzt. Hierbei lässt sich mittels Public-
Key-Technologie sicherstellen, dass eine
Antwort des DNS exakt den Informationen
entspricht, die der verantwortliche Zonen-
40 | DFN Mitteilungen Ausgabe 79 | November 2010 | SICHERHEIT
zentren vor neue Aufgaben, die untersucht
und bewältigt werden müssen. Zum an-
deren sind Fragen zwischen Registraren,
etwa zwischen dem DFN-Verein und der
DENIC zu klären. Möchte eine Hochschu-
le DNSSEC nutzen, muss ein standardisier-
ter Betriebsablauf zur Schlüsselverteilung
zwischen Anwender, DFN-Verein und DE-
NIC als Verwalter der .de-Zone eingehal-
ten werden.
Ein besonderer Vorteil von DNSSEC ist,
dass keine zentrale Schlüsselverwaltung
notwendig ist. Jede Einrichtung kann ih-
re eigenen Schlüssel erzeugen und muss
dabei nur sicherstellen, dass diese der
übergeordneten Instanz bekannt sind.
Der öffentliche Teil eines willkürlich von
einer Einrichtung generierten Schlüssels
müsste beim DFN-Verein hinterlegt wer-
den. Der DFN-Verein registriert dann die-
sen öffentlichen Schlüssel des Anwenders
bei dem DENIC. Die Gültigkeitsdauer ei-
nes Schlüssels richtet sich üblicherweise
nach der Schlüssellänge. Die für DNSSEC
generierten Schlüssel sollten einmal im
Jahr erneuert werden.
Nicht nur an die Betriebsabläufe, sondern
auch an die Hard- und Software des Inter-
net stellt DNSSEC neue Anforderungen. Na-
meserver gehören technisch gesehen zu
den zentralen und stabilen, aber auch „äl-
testen“ Bestandteilen des Internets. Als
etablierte Basistechnologie stellt die Ver-
waltung der Domainnamen nur geringe An-
forderungen an die Leistung der verwende-
ten Hardware. Durch die Einführung kryp-
tografischer Funktionen im DNSSEC stei-
gen diese Anforderungen an die Systeme.
Um wieviel die Anforderungen an die Ser-
ver steigen, stellt ein wichtiges Untersu-
chungsfeld des Testbeds dar.
Auch auf den einzelnen Nutzer können
Hardware-Probleme zukommen. Am Markt
gibt es wenig Information zu DNSSEC-ge-
eigneten Geräten. Viele DSL- oder Kabel-
Router, welche gleichzeitig als DNS-For-
warder, DHCP-Server und teilweise noch
als Switch oder Wireless-LAN-Router ver-
wendet werden, unterstützen DNSSEC
noch nicht oder nur bedingt.
Schlussendlich soll im Testbed vor allem
das Zusammenspiel einzelner Beteiligter
eingeübt werden.
Teilnahme am Testbed
Seit dem 2. März 2010 bietet DENIC für Se-
cond-Level-Domains unter .de die Möglich-
keit, am DNSSEC-Testbed teilzunehmen
und das zugehörige Schlüsselmaterial zu
hinterlegen. Wesentliche Voraussetzung
zur Teilnahme am Testbed ist der Einsatz
einer DNSSEC-fähigen Nameserver-Soft-
ware für die eigene Domain.
Der DFN-Verein hat deshalb gängige Ser-
versoftware (ISC-Bind-9.7.x) sowie Tools zur
Schlüsselgenerierung und Verwaltung (zkt-
tools-1.x) ausprobiert. Weiterhin wird die
Schnittstelle für die Registrierung von Do-
mains beim DENIC um DNSSEC-Funktionen
erweitert und getestet. Ebenso müssen die
einzelnen Abläufe der Lebenszeit einer Do-
main entsprechend geprüft werden: An-
meldung, Datenänderung, Schlüsselaus-
tausch, Serverwechsel, Ummeldung und
Löschung. Weiterhin registriert der DFN-
Verein für Nutzer, die selbst DNSSEC tes-
ten möchten, Domains, die auch im Test-
bed benutzt werden können bzw. kann
für vorhandene Domains Schlüsselmate-
rial beim DENIC hinterlegen.
Einrichtungen, die sich für das Thema DNS-
SEC interessieren oder eine Beteiligung am
Testbed planen, können sich unter der Mail-
adresse [email protected] an den DFN-Verein
wenden. Gemeinsam können dann offene
Fragen diskutiert und die technischen Vo-
raussetzungen zur Teilnahme an Testbed
geschaffen werden. M
root
.de
nic.de dfn.de Antwortungültig
Achtung!UngültigeAntwort
Antwortgültig
DNS Server
Internet-anbieter
dfn.de
ww
w.d
fn.d
e?
ww
w.d
fn.d
e?
ww
w.d
fn.d
e?
ww
w.d
fn.d
e?
Mit DNSSEC erkennt der Nameserver Ihres Internetanbieterseine durch Cache-Poisoning veränderte Hierarchie.
Nutzer
Antwortgültig 2
3
4
15
Text: Dr. Marcus Pattloch (DFN-Verein)
Sicherheit aktuell
Netzwerkprüfer mit neuen Funktionen
Der Netzwerkprüfer im DFN-CERT Portal (https://www.cert.dfn.
de/nwp/) steht seit der 53. Betriebstagung mit neuen Funktio-
nen zur Verfügung. Mit dem Netzwerkprüfer kann eine Einrich-
tung die eigenen (und nur diese!) Netzbereiche von außen prü-
fen. Eine Liste erreichbarer Systeme und offener Ports wird dann
angezeigt. Neu sind die Möglichkeiten, Scans regelmäßig wie-
derholen zu lassen sowie Scan-Ergebnisse über die Webober-
fläche des Netzwerkprüfers miteinander zu vergleichen. So wer-
den nicht nur Veränderungen aufgezeigt, sondern es kann auch
geprüft werden, ob durchgeführte Änderungen z.B. an den Sys-
temen oder der Firewall zu den gewünschten Ergebnissen ge-
führt haben.
Leitfaden für Registrierungsstellen
Auf Wunsch vieler Einrichtungen gibt es jetzt einen Leitfaden
für Registrierungsstellen (RAs). In diesem Leitfaden werden die
Anforderungen der Policy-Dokumente (CP/CPS) der DFN-PKI an
die Tätigkeit einer RA in kompakter Form zusammengefasst. Ent-
halten ist auch eine Checkliste, um die Arbeit der RA noch besser
zu unterstützen. Der Leitfaden ist unter https://www.pki.dfn.de/
faqpki/faqpki-rabetrieb/ verfügbar.
Ergänzend wurden die Formulare der DFN-PKI zur Beantragung
von Server-, Nutzer- und Gruppenzertifikaten angepasst: Zertifi-
katnehmer finden jetzt direkt auf den Formularen Sicherheits-
hinweise zum Umgang mit ihren Zertifikaten, so dass die we-
sentlichen Anforderungen der Policy nochmal übersichtlich dar-
gestellt sind.
Weitere Hochschulen rollen Chipkarten aus
Zum Wintersemester 2010 starteten weitere Hochschulen den
Rollout von Chipkarten mit Zertifikaten der DFN-PKI für ihre Stu-
dierenden. Der Spitzenreiter produzierte dabei in drei Tagen mehr
als 4.000 Chipkarten mit je zwei Zertifikaten, insgesamt sind mitt-
lerweile knapp 100.000 Chipkarten mit Zertifikaten der DFN-PKI im
Umlauf. Die wichtigste Anwendung ist der Zugriff auf Selbstbedienungs-
portale, wobei aufgrund der Schwierigkeit der Versor gung der
Studierenden mit eigenen Chipkartenlesern bevorzugt Selbst-
bedienungsterminals in den Hochschulen eingesetzt werden.
Für die Anbindung der Kartenproduktion an die DFN-PKI existie-
ren mehrere Lösungen, die erfahrungsgemäß schnell und un-
kompliziert eingesetzt werden können. Daher hält sich der zu-
sätzliche Aufwand für die Aufbringung von Zertifikaten beim
Rollout von Chipkarten in engen Grenzen. Einen Bericht der TU
Berlin zur Ausgabe einer Chipkarte mit Zertifikaten ist unter
http://www.dfn.de/fileadmin/PKI/Chipkarte_TUB.pdf verfügbar.
Abrufzahlen für Sperrlisten
Die Sperrlisten (CRLs) der DFN-PKI werden von vielen Webbrow-
sern genutzt, um die Gültigkeit eines Zertifikats zu überprüfen.
Die Abrufzahlen der CRLs sind daher ein interessanter Indika-
tor für die Nutzung der DFN-PKI. Im September 2009 wurde die
CRL zum DFN-Verein PCA-Global-Zertifikat über 17 Millionen Mal
abgerufen. Ein Jahr später, im September 2010, waren es bereits
25 Millionen Abrufe. Noch deutlicher wird die Steigerung, wenn
man alle CRLs und CA-Zertifikate in der DFN-PKI betrachtet: Im
September 2009 waren es 39 Millionen Abrufe mit einem Daten-
volumen von 23 Gigabyte, ein Jahr später dann 65 Millionen Ab-
rufe mit 53 Gigabyte.
Forschungsauftrag zur Sicherung des mobilen Internets der Zukunft
Mobiltelefone, Smartphones und weitere Gerätearten von Nut-zern des mobilen Internets werden zunehmend zum Ziel für groß-flächige Angriffe aus dem Netz. Sie sind leistungsschwächer und häufig schneller verwundbar als Standard-PCs. Bald aber wird es so viele Mobilgeräte im Internet geben, dass sich meist gan-ze Gruppen in Funkreichweite zueinander befinden. Diese Be-obachtung wollen Forscher nun nutzen, um einen neuen Sicher-heitsansatz zu entwickeln. Benachbarte Geräte unterstützen sich gegenseitig und etablieren so ein kooperatives, gemeinsames Immunsystem. Die Arbeiten haben im September 2010 im Zuge des Forschungsprojekts SKIMS begonnen, an dem u.a. die Freie Universität Berlin, die HAW Hamburg sowie die DFN-CERT Servi-ces GmbH teilnehmen. Mehr Informationen unter http://www.realmv6.org/skims.html. M
41SICHERHEIT | DFN Mitteilungen Ausgabe 79 |
Kontakt
Wenn Sie Fragen oder Kommentare zum Thema „Sicher-
heit im DFN“ haben, schicken Sie bitte eine Mail an
42 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT
43RECHT | DFN Mitteilungen Ausgabe 79 |
Recht im DFN Zwölf hartnäckige Irrtümer – die neuen „Klassiker“ juristischer
Fehleinschätzungen bei Homepages
von Christoph Golla
Aufbewahrung elektronischer Dokumente –
die Pflicht der Hochschulen
von Marina Rinken und Christine Altemark
Kurzmeldungen
44 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT
Gerade im Bereich Internet und Recht kommt es immer wieder zu Verunsicherungen, was
rechtlich erlaubt ist und wie der Aufbau einer Homepage rechtlich gesichert vollzogen werden
kann. In diesem Beitrag, der auf einem Artikel von Rechtsanwalt Dr. Noogie Kaufmann aus dem
DFN-Infobrief 03/2006 basiert, sollen zwölf immer wieder vorkommende rechtliche
Fehleinschätzungen betrachtet werden, die nicht nur dem Ansehen schaden, sondern auch für
den Anbieter teuer werden können.
Zwölf hartnäckige Irrtümer – die neuen „Klassiker“ juristischer Fehleinschätzungen bei Homepages
Text: RA Christoph Golla (Forschungsstelle Recht im DFN)
Foto
: © d
esign
er111 - ph
oto
case
45RECHT | DFN Mitteilungen Ausgabe 79 |
Zwölf hartnäckige Irrtümer – die neuen „Klassiker“ juristischer Fehleinschätzungen bei Homepages
Irrtum 1: Ohne Copyright-Vermerk keinUrheberrechtsschutz
Fotos, Stadtpläne, Texte und sonstiger Content zur Bereicherung
der eigenen Internetpräsenz liegen nur einen Klick weit entfernt.
Die einfache Option „Copy & Paste“ verführt manchen Webdesig-
ner geradezu, derlei fremdes Gut zu übernehmen. Nicht selten
hört man dann das Argument, wegen des fehlenden Vermerks
„Copyright“ oder wegen eines fehlenden ©- oder ®-Zeichen kön-
nen die Werke einfach übernommen werden. Dem liegt häufig
der Gedanke zugrunde, „was ich frei im Internet abrufen kann,
das muss auch frei von mir verwendbar sein“. Dies ist jedoch
nicht der Fall. Anders als etwa in einigen amerikanischen Staa-
ten, in denen eine Eintragung von Werken vorgenommen wer-
den muss, entsteht in Deutschland automatisch Schutz nach
dem Urheberrechtsgesetz (UrhG) durch die reine Erstellung des
Werkes. Demzufolge ist eine Übernahme in der Regel ohne Zu-
stimmung des Homepage-Inhabers unzulässig. Voraussetzung
für den Urheberrechtsschutz ist einzig und allein, dass der über-
nommene Content nicht völlig banal ist und eine gewisse Schaf-
fenshöhe hat. Doch Vorsicht: Die Grenze zur Banalität ist äußerst
niedrig. Deshalb ist grundsätzlich vom Schutz nach dem UrhG
auszugehen. Es muss immer bedacht werden, dass bei der Ver-
öffentlichung eines fremden Werkes sofort Unterlassungs- und
Schadensersatzansprüche entstehen.
Irrtum 2: Eine Creative Commons Lizenz ermög-licht mir die Nutzung der Werke ohne Grenzen Die Creative Commons Lizenz bietet eine gute Möglichkeit, Wer-ke im Internet anzubieten und klar zu machen, zu welchen Zwe-cken diese genutzt werden dürfen. Eine solche Lizenz berech-tigt jedoch nicht generell zu jedweder Nutzung. Es muss gerade bei dieser Lizenz genau beachtet werden, welche Nutzung der jeweilige Urheber freigibt. Diese kann zum Beispiel auf den pri-vaten Bereich begrenzt sein und so eine gewerbliche Nutzung ausschließen. Um die genauen rechtlich zulässigen Nutzungen zu erfahren, sollten die Symbole der Creative Commons Lizenz beachtet werden, die sich meistens unter den Werken befinden. Diese geben Auskunft über die zulässige Nutzung. Weitere In-formationen dazu finden Sie unter: http://de.creativecommons.org/was-ist-cc/.
Irrtum 3: Externe Hyperlinks können bedenkenlos verwendet werden
Das Web lebt von Hyperlinks. Ohne Links keine weitergehende
Information und ohne weitergehende Information kein funkti-
onierendes Internet. Rechtlich sollte jedoch beachtet werden,
dass es das sogenannte „zu Eigen machen“ von fremden Inhal-
ten gibt. Dieses liegt immer vor, wenn eine fremde Information
bewusst in das eigene Angebot aufgenommen wurde. Ist dies der
Fall kann es unter Umständen dazu kommen, dass derjenige, der
Hyperlinks setzt, für den Inhalt der von ihm verwiesenen Seiten
zur Haftung gezogen wird. Ein Link auf eine externe Seite sollte
somit nicht „als ihr eigenes Angebot“ in der Webseite dargestellt
werden. Ein „zu Eigen machen“ wird bspw. angenommen, wenn
die neue Seite innerhalb der bestehenden Seite geöffnet wird.
Auch sollte vor dem Setzen eines Links stets überprüft werden,
was sich hinter diesem verbirgt. Sind dort rechtswidrige Inhal-
te hinterlegt, kann auch dies zur Haftung führen. Ob der Link re-
gelmäßig überprüft werden muss, wenn er einmal gesetzt wur-
de, ist rechtlich noch umstritten. Es bietet sich jedoch an, dann
und wann eine Prüfung vorzunehmen.
Irrtum 4: Der Disclaimer macht von allem frei
„Mit der Entscheidung des Landgerichts Hamburg von 1998 ma-
chen wir darauf aufmerksam, dass wir für die Inhalte der von
uns verlinkten Seiten nicht haften“. So oder so ähnlich findet
sich dieser Satz auf vielen Homepages. Dieser vielfach als „Dis-
claimer“ bezeichnete Hinweis ist juristisch jedoch wirkungs-
los. Der Ausschluss der Haftung qua eines Hinweises ist juris-
tisch schlichtweg nicht möglich. Im Übrigen hat das immer
wieder zitierte hanseatische Landgericht im damals entschie-
den Fall überhaupt gar keinen Haftungsausschluss bejaht. Es
hat vielmehr darüber „nachgedacht“, dass ein Ausschluss nach
den Grundsätzen des Presserechts vielleicht auf „Marktplätzen
von Meinungen“ denkbar sei. Dazu gehören aber die wenigs-
ten Homepages. In der Verwendung eines Disclaimers und der
gleichzeitigen Weitergabe von Links liegt auch ein gewisser Ge-
gensatz, da sich der Seitenbetreiber einerseits von seinen Inhal-
ten distanziert, andererseits auf diese verlinkt.
Irrtum 5: Nur wer Waren und Dienstleistungen anbietet, braucht auch ein Impressum
Aufgrund zahlreicher Massenabmahnungen ist den meisten Web-
mastern bekannt, dass Homepages ein Impressum benötigen.
Diese Impressumspflicht ergibt sich aus zwei verschiedenen Pa-
ragraphen in unterschiedlichen Gesetzen. Zunächst werden die
nötigen Angaben auf einer Homepage in § 5 Telemediengesetz
(TMG) geregelt. Zusätzliche Vorgaben enthält § 55 Rundfunkstaats-
vertrag (RStV). Wichtig ist festzuhalten, dass die Bereithaltung ei-
nes Impressums nicht denjenigen vorbehalten ist, die über ihre
Homepage Waren oder Dienstleistungen anbieten. Ausgenom-
men von einer Impressumspflicht sind nur solche Seiten, die aus-
schließlich persönlichen oder familiären Zwecken dienen. Ist dies
nicht der Fall muss gemäß § 55 RStV zumindest Name und An-
schrift des Anbieters sowie bei juristischen Personen Name und
Anschrift des Vertretungsberechtigten auf der Homepage ables-
bar sein. Weitere Vorgaben werden im Rundfunkstaatsvertrag
im Hinblick auf Angebote mit journalistisch-redaktionell gestal-
46 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT
teten Inhalten gemacht. Solche Inhalte können bspw. Webma-
gazine oder Blogs sein. Für Anbieter von Waren und Dienstleis-
tungen sind die Vorgaben aus § 5 TMG zu beachten. Neben dem
Inhalt des Impressums ist gleichzeitig auch die Platzierung von
Bedeutung. Das Impressum sollte sich immer an einem gut auf-
findbaren Platz auf der Homepage befinden und durch wenige
Klicks erreichbar sein. Welche Angaben im Einzelfall zu machen
sind, erläutert der Webimpressum-Assistent unter http://www.
net-and-law.de/de/netlaw/webimpressum/index.php.
Irrtum 6: Das Reservieren zahlreicher Domains ist immer Domain-Grabbing
Die reine Registrierung von so genannten Gattungsdomains, zum
Beispiel beschreibende oder gut einprägsame Begriffe, ist kein
sittenwidriges Domain-Grabbing. Die Argumentation, dass hier
die raren Internet-Adressen ausgebeutet werden, wurde vom
BGH bereits 2004 widerlegt. Bei der Vergabe von Webadressen
gilt „Wer zuerst kommt, mahlt zuerst“. Nur wenn Merkmale hin-
zukommen, die unlauter sind, da sie zum Beispiel Marken- oder
Namensrechte verletzen, handelt es sich um sogenanntes Do-
main-Grabbing. Oft liegt der Fall vor, dass eine Domain mit ei-
nem Namen von einer beliebigen Firma registriert worden ist,
die die Domain zu Geld machen will. Hat diese Firma jedoch kei-
nen Bezug zu dem Namen, kann der tatsächliche Namensinha-
ber Ansprüche geltend machen. So wurde bspw. das Verwenden
eines Domain-Namens, der einer typischen Tippfehler-Varian-
te des gebräuchlichen Domain-Namens entsprach, als wettbe-
werbswi driges Ausspannen von Kunden eingeordnet. Insgesamt
können sich also Ansprüche gegen den Domaininhaber aus dem
Gesetz gegen den unlauteren Wettbewerb (UWG) und aus dem
Namensrecht des Domaininhabers, welches im Bürgerlichen Ge-
setzbuch enthalten ist, ergeben.
Irrtum 7: Domains können nicht gepfändet werden
Domainnamen stellen Vermögenswert dar. Damit unterliegen sie auch der Zwangsvollstreckung. Gepfändet wird dann jedoch nicht der Domain-Name, sondern alle zwischen dem Domainin-haber und der Registrierungsbehörde geschlossenen Verträge. Diese Verträge stellen nämlich das Recht des Domaininhabers dar, die Domain zu nutzen. Die Domain kann dann im Zwangs-vollstreckungsverfahren bspw. durch eine Versteigerung ver-wertet werden.
Irrtum 8: Newsletter dürfen auch ohne Zustimmung verschickt werden
Informative Rund-Mails gibt es zu jedem erdenklichen Thema.
Trotz des Info-Charakters ist aber auch das unaufgeforderte
Zusenden von Newslettern bei fehlender Geschäftsbeziehung
grundsätzlich unzulässig und stellt einen Verstoß gegen § 7 Ab-
satz 2 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb) dar.
Gerade wenn vorher noch kein Kontakt zwischen Sender und
Empfänger besteht, werden Rundmails jeglicher Art mit uner-
wünschter Werbepost gleichgesetzt. Auch die Möglichkeit sich
nach Erhalt von der E-Mail Verteilerliste entfernen zu lassen, än-
dert hieran nichts. Newsletter dürfen demnach nur mit Einwil-
ligung des Empfängers verschickt werden. Eine gute und recht-
lich abgesicherte Methode ist das so genannte Double-Opt-In
Verfahren, also ein doppeltes Einwilligungsverfahren. Hier trägt
der interessierte Empfänger zunächst seine E-Mail Adresse auf
der Homepage des Versenders ein und erhält dann eine Bestä-
tigung der Anmeldung per E-Mail. Um die Anmeldung komplett
abzuschließen, muss er dann zusätzlich auf einen Aktivierungs-
link in der E-Mail klicken oder ein ihm zugesendetes Passwort
auf der Homepage des Anbieters eingeben. Des Weiteren soll-
te jeder Newsletterversender auch eine schnelle und einfache
Möglichkeit für den Empfänger anbieten, sich aus der Empfän-
gerliste entfernen zu lassen.
Irrtum 9: Wer ein Forum oder Gästebuch im Internet betreibt, ist nur Anbieter dieses Forums und muss sich mit den Inhalten nicht beschäftigen
Einträge in einem Forum geben meist nicht die Meinung des Fo-
renbetreibers wieder. Dennoch kann dieser zur Haftung gezogen
werden, wenn durch dortige Einträge eine Rechtsverletzung be-
gangen wird. Der Betreiber wird dann im Rahmen der so genann-
ten „Störerhaftung“ in die Haftung einbezogen. Dem Betreiber
werden so allgemeine Prüfungspflichten auferlegt. Dies bedeu-
tet, dass er bei einem konkreten Hinweis auf einen rechtsver-
letzenden Eintrag verpflichtet ist, diesen zu entfernen und da-
für zu sorgen hat, dass diese Äußerung nicht wiederholt wird.
Eine Überwachungspflicht, in der Form, dass der Betreiber im-
mer jeden neuen Eintrag zuerst überprüfen muss, wird jedoch
nicht gefordert. In welchem Zeitrahmen ein Forenbetreiber auf
rechtsverletzende Eintragungen reagieren muss, ist gesetzlich
nicht geregelt. Lediglich das Amtsgericht Wiesen/Luhe (Urteil
vom 06.06.2005, AZ 23 C 155/05) hat sich dazu geäußert und eine
Reaktion des Betreibers binnen 24 Stunden gefordert.
Irrtum 10: Suchmaschinen dürfen meine Bilder nur aufnehmen, wenn ich ausdrücklich zustimme
Stellt ein Webseitenbetreiber Bilder ins Internet, um für den Ver-
kauf der Bilder zu werben, kann es natürlich in seinem Interesse
sein, dass Suchmaschinen auf seine Seite verlinken. Jedoch wol-
47RECHT | DFN Mitteilungen Ausgabe 79 |
len viele Anbieter nicht, dass ihre Werke als kleine Vorschaubil-
der in den Suchergebnissen der Suchmaschinen erscheinen. Der
BGH hat im April 2010 entschieden, dass durch die ungeschütz-
te Veröffentlichung der Bilder im Internet eine Einwilligung vor-
liegt, die eine Rechtsverletzung ausschließt. Eine Einwilligung
der Klägerin nahm der BGH deswegen an, weil erstens eine Such-
maschinenoptimierung auf ihrer Webseite betrieben wurde und
zweitens weil es Google nicht durch eine bestimmte Art der Web-
seitenprogrammierung erschwert wurde, die Seite zu indexie-
ren, obwohl dies technisch leicht möglich war. Zusammenfas-
send lässt sich somit feststellen, dass derjenige, der seine Seite
nicht vor einer Suchmaschine verschließt, damit rechnen muss,
dass die Bilder in der Suchmaschine verwertet werden.
Irrtum 11: Alle Daten, die ein Nutzer freiwillig auf einer Homepage eingibt, dürfen gespeichert und weitergenutzt werden
Der Anbieter einer Homepage muss vor jedem Nutzungsvorgang
bei dem personenbezogene Daten erhoben werden, den Nutzer
über die Art, den Umfang und Zweck der Nutzung der Daten auf-
klären. Dies ergibt sich aus § 13 TMG. Personenbezogene Daten
sind solche Daten, durch die unmittelbar oder mittelbar Rück-
schlüsse auf eine Person gezogen werden können. Eine Informa-
tionspflicht besteht auch, wenn noch keine personenbezoge-
nen Daten erhoben werden, aber ein automatisiertes Verfahren
durchgeführt wird, das eine spätere Identifizierung des Nutzers
ermöglicht und dadurch eine spätere Erhebung oder Verwendung
personenbezogener Daten vorbereitet. Der Nutzer muss dann
zu der jeweiligen Nutzung einwilligen. Geschieht diese Einwil-
ligung nur auf elektronischem Wege, muss der Nutzer die Vor-
gaben aus § 13 Abs. 2 TMG beachten. Der Nutzer muss seine Ein-
willigung danach bewusst und eindeutig erklären und es muss
ihm ermöglicht werden, diese Einwilligung jederzeit zu wider-
rufen. Der Betreiber muss des Weiteren dafür sorgen, dass der
Nutzer sich jederzeit von dem Dienst abmelden kann und seine
Daten daraufhin gelöscht werden.
Irrtum 12: Arbeitgeber dürfen Mitarbeiterdaten und Bilder im Web veröffentlichenDas allgemeine Persönlichkeitsrecht aus dem Grundgesetz (Art.
2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) gilt auch im Arbeits-
recht und ist demgemäß vom Vorgesetzten bei der Veröffentli-
chung von Mitarbeiterdaten und Bildern auf der Unternehmens-
homepage zu beachten. Bei der Veröffentlichung von Bildern im
Internet, bspw. auf der Unternehmenshomepage, ist stets zu be-
achten, dass eine vorherige Einwilligung von jeder auf dem Bild
abgebildeten Person einzuholen ist. Dies gilt auch für auf einer
Feier des Unternehmens erstellte Bilder. Ausnahmen liegen hier
nur vor, wenn Bilder von Versammlungen oder Demonstrationen
erstellt werden und sich die jeweilige Person in einer Menge von
Menschen befindet. Für die Veröffentlichung anderer personenbe-
zogener Daten ist in der Regel gleichfalls das Einverständnis des
Beschäftigten notwendig. Nur bei bestimmten Arbeitnehmern,
die das Unternehmen nach außen repräsentieren, wie beispiels-
weise der Geschäftsführer oder der Pressesprecher, bedarf es für
bestimmte persönliche Angaben keiner Einwilligung. M
Foto: © madochab - photocase
48 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT
Aufbewahrung elektronischer Dokumente – die Pflichten der Hochschulen
Im Zeitalter der Digitalisierung angekom-
men, fällt auch an Universitäten eine Viel-
zahl elektronischer Dokumente an. Die
Spanne reicht von behördlichen E-Mails
und am PC geschriebenen Prüfungen (sog.
E-Prüfungen) bis hin zum Inhalt von Web-
masken, die beispielsweise bei der elektro-
nischen Bewerbung um einen Hochschul-
platz, bei der Immatrikulation oder Prü-
fungsanmeldung ausgefüllt werden. Da-
mit unterscheiden sich die Hochschulen
nicht von anderen öffentlichen Stellen, die
zu ihrer Aufgabenerfüllung elektronische
Dokumente speichern und aufbewahren.
Doch es stellt sich die Frage, inwieweit die
Universitäten zur Aufbewahrung dieser di-
gitalen Dokumente verpflichtet sind.
Pflichten zur Aufbewahrung elektronischer
Dokumente können sich aus unterschied-
lichen Gesetzen ergeben. Im Rahmen des
Bologna-Prozesses und der damit einher-
gehenden Umstellung auf das Bachelor-/
Master-System steigt die Zahl der abzuneh-
menden Prüfungen stark an, so dass ein
Trend zur Durchführung von sog. „E-Prüfun-
gen“ besteht. Hierbei stellt sich die Frage,
Text: Marina Rinken (Forschungsstelle Recht im DFN), Christine Altemark (Forschungsstelle Recht im DFN)
Foto
: © Sco
tt Wab
y - foto
lia
49RECHT | DFN Mitteilungen Ausgabe 79 |
ob diese genauso wie handschriftliche Prü-
fungsunterlagen aufbewahrt werden müs-
sen. Die im Hochschulbetrieb anfallenden
E-Mails können Informationen jeglicher
Art enthalten. Sie können unter anderem
als Geschäftsbriefe gelten, wenn sie bei-
spielsweise der Rechnungsstellung dienen.
E-Mails können aber auch für Prüfungen
relevante Unterlagen enthalten oder als
verwaltungstechnisch relevante Doku-
mente aufzubewahren sein. Auch Web-
masken werden in vielfältiger Weise ge-
braucht, beispielsweise bei Online-For-
mularen zu Prüfungsanmeldungen oder
Adressänderungen. Hinsichtlich der Ver-
pflichtung zur Aufbewahrung dieser und
ähnlicher elektronischer Dokumente fin-
den sich weder Vorschriften im Telemedien-
gesetz (TMG), noch im Telekommunikati-
onsgesetz (TKG) oder im Datenschutzge-
setz NRW1 (DSG NW). Die Universitäten sind
jedoch in aller Regel nach der allgemeinen
Dokumentationspflicht von Behörden zur
Aufbewahrung elektronischer Dokumente
verpflichtet. Aufbewahrungspflichten wer-
den außerdem oftmals gesondert in Hoch-
schulsatzungen geregelt, die jedoch von
Hochschule zu Hochschule variieren. Bei
E-Prüfungsunterlagen orientiert sich die
Aufbewahrung zudem an den jeweiligen
Prüfungsordnungen der Fachbereiche. Im
Hinblick auf E-Mails müssen unter Umstän-
den auch handels- und steuerrechtliche
Vorschriften beachtet werden. Aus diesen
ergeben sich aber in der Regel im Hinblick
auf Universitäten keine Aufbewahrungs-
pflichten. Im Anschluss an die Aufbewah-
rung elektronischer Dokumente müssen
diese dem jeweiligen Hochschularchiv zur
Archivierung angeboten werden. Das Ar-
chiv entscheidet dann, ob die elektroni-
schen Dokumente archiviert werden.
Keine Pflicht zur Aufbewahrung nach TMG, TKG und DSG NW
Im TMG, TKG und DSG NW findet sich ei-
ne Vielzahl von Speicherrechten für per-
sonenbezogene Daten. Die genannten
Gesetze enthalten jedoch keine Regelun-
gen, die die Universitäten zur Aufbewah-
rung von elektronischen Dokumenten ver-
pflichten. Die einzig in Frage kommende
Speicherpflicht ist im TKG enthalten und
ergäbe sich aus § 111 Abs. 1 TKG für Be-
standsdaten im Rahmen des Auskunftser-
suchens von Sicherheitsbehörden nach den
§§ 112, 113 TKG. Bei E-Mails sowie dem In-
halt von Webmasken handelt es sich jedoch
nicht um Bestandsdaten, die im Sinne von
§ 3 Nr. 3 TKG für die Begründung, inhaltli-
che Ausgestaltung, Änderung oder Beendi-
gung eines Vertragsverhältnisses über Tele-
kommunikationsdienste erhoben werden,
so dass die entsprechenden Regelungen
keine Anwendung finden. Im Hinblick auf
E-Prüfungsunterlagen sind die Normen aus
TMG und TKG erst gar nicht anwendbar,
denn hinter der Durchführung von E-Prü-
fungen steht kein „Dienst“ im Sinne des
TMG oder TKG, sondern die Erbringung
einer Prüfungsleistung. Das DSG NW ent-
hält ebenfalls keine Regelungen, welche
die Hochschulen zur Aufbewahrung von
elektronischen Dokumenten verpflichten.
Es ergeben sich also weder aus TMG und
TKG, noch aus dem DSG NRW Pflichten, die
den Hochschulen die Speicherung von elek-
tronischen Dokumenten vorschreiben.
Pflicht zur Aufbewahrung von elektronischen Dokumenten nach der allgemeinen Doku-mentationspflicht von Behörden
Pflichten zur Aufbewahrung von elektro-
nischen Dokumenten ergeben sich aller-
dings aus der allgemeinen Dokumentati-
onspflicht von Behörden. Auch Universitä-
ten sind Stellen, die Aufgaben der öffentli-
chen Verwaltung wahrnehmen (§ 1 Abs. 4
Verwaltungsverfahrensgesetze (VwVfG))
und gelten deshalb als Behörden.2 Die all-
gemeine Dokumentationspflicht dient ver-
schiedenen Zwecken. Zunächst soll sie ei-
ne Kontrolle der ordnungsgemäßen Ver-
waltung durch übergeordnete Stellen er-
möglichen. Darüber hinaus bezweckt sie,
dass Verfahrensbeteiligten die Möglich-
keit gegeben wird, die Rechtmäßigkeit des
Vorgehens der jeweiligen Behörde beur-
teilen zu können. Zudem sollen innerhalb
der Verwaltung Vorgänge unabhängig von
der Kenntnis eines einzelnen Mitarbeiters
gestaltet werden können.
Eine ausdrückliche gesetzliche Regelung zu
diesen Grundsätzen existiert jedoch nicht.
Rechtlich wird sie auf das Rechtsstaats-
prinzip gestützt und resultiert aus dem
Grundsatz des fairen, objektiven und wahr-
heitsgetreuen Verwaltungsverfahrens. Zu
ihrer inhaltlichen Ausgestaltung kann man
die Wertungen anderer Vorschriften he-
ranziehen, wie die Pflichten hinsichtlich
der Aufbewahrung elektronischer Doku-
mente aus der Gemeinsamen Geschäfts-
ordnung der Bundesministerien (GGO) und
der Registraturrichtlinie für das Bearbei-
ten und Verwalten von Schriftgut in den
Bundesministerien (RegR).
Darüber hinaus ist die ordnungsgemä-
ße Dokumentation durch eine Behörde
grundlegende Voraussetzung des Rechts
auf Akteneinsicht aus § 29 VwVfG NRW3
und des Rechts auf Zugang zu Akten nach
§ 1 Informationsfreiheitsgesetz (IFG NRW)4.
Nach § 29 VwVfG NRW hat die Universität
den Beteiligten Einsicht in die das Verfah-
ren betreffenden Akten zu gewähren. Al-
lerdings nur, wenn dies zur Verteidigung
oder Geltendmachung der rechtlichen
Interessen des an dem Vorgang Beteilig-
ten erforderlich ist. Zudem ist § 29 VwVfG
NRW nur anwendbar, wenn die Universität
im Rahmen eines Verwaltungsverfahrens
(§ 9 VwVfG NRW) agiert. Hierfür muss die
Tätigkeit der Universität auf den Erlass von
Verwaltungsakten gerichtet sein. Verwal-
tungsakte liegen zum Beispiel bei einer
Immatrikulation und bei der Zulassung zu
Abschlussprüfungen vor. Einzelne Teilprü-
fungen stellen nur dann Verwaltungsakte
dar, wenn sie sich auf die Zulassung zur
Abschlussprüfung auswirken.
Insbesondere bei Abschlussprüfungen ist
das Akteneinsichtsrecht der Prüflinge von
großer Bedeutung. Nach § 3a VwVfG NRW
ist eine elektronische Kommunikation mit
der Universität als Behörde innerhalb die-
50 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT
1 Die Regelungen der Datenschutzgesetze in den einzelnen Ländern sind aneinander angepasst, so dass die Ausführungen auch für die übrigen
Datenschutzgesetze gelten.
2 Hier wird exemplarisch auf das VwVfG des Landes NRW eingegangen. Die Bestimmungen der einzelnen Länder stimmen aber regelmäßig überein.
3 Entsprechende Regelungen - mit derselben Nummerierung - existieren auch in den Gesetzen der übrigen Bundesländer.
4 Entsprechende Regelungen existieren auch in den anderen Bundesländern.
ser Verwaltungsverfahren zulässig. Wird
diese Möglichkeit von einer Hochschule
genutzt, ist sie im Hinblick auf elektroni-
sche Dokumente, die im Rahmen dieser
Kommunikation anfallen, zur Einhaltung
der Grundsätze einer ordnungsgemäßen
Aktenführung verpflichtet. Fallen im Kon-
text eines solchen Verwaltungsverfahren
E-Mails an oder werden Webmasken ge-
nutzt oder E-Prüfungen geschrieben, sind
sie beziehungsweise ihre Inhalte aufzube-
wahren. Auch § 1 des Informationsfreiheits-
gesetzes NRW (IFG NRW) gewährt Dritten
Auskunftsrechte. Das IFG NRW ist nach des-
sen § 2 Abs. 3 jedoch nur für Hochschulen
anwendbar, soweit sie nicht im Bereich von
Forschung, Lehre, Leistungsbeurteilungen
und Prüfungen tätig werden.
Generell besteht bei der Aufbewahrung
elektronischer Dokumente eine Pflicht der
Behörden zur Aktenförmigkeit und Doku-
mentation. Dabei sind Vollständigkeit, Ein-
heitlichkeit und wahrheitsgetreue Führung
von Akten besonders wichtig. Die allgemei-
ne Dokumentationspflicht beinhaltet die
Pflicht der Behörden, also auch der Univer-
sitäten, ordnungsgemäße Akten zu führen
und alle Vorgänge, welche für das Verwal-
tungsverfahren während seiner Durchfüh-
rung und später für seine Nachvollziehbar-
keit von Bedeutung sind, in Niederschrif-
ten oder Aktenvermerken festzuhalten,
Schriftwechsel aufzubewahren und den
gesamten Vorgang „aktenkundig“ zu ma-
chen. Elektronische Dokumente sollten da-
nach den jeweiligen Vorgängen und Akten
zugeordnet werden und es muss durch or-
ganisatorische Maßnahmen gewährleistet
werden, dass die Dokumente nicht aus der
Akte gelöscht oder entfernt werden. Die je-
weilige Akte sollte also vollständig gehal-
ten werden (vgl. §§ 4, 18 RegR). Die elektro-
nischen Dokumente können dabei in her-
kömmlicher Weise aufbewahrt werden, in-
dem sie ausgedruckt und dann in eine Akte
eingefügt werden. Es ist aber auch mög-
lich elektronisch zu aufzubewahren (vgl.
§ 18 Abs. 3 RegR). Elektronisches Schriftgut
sollte laufend gepflegt werden und muss
rechtzeitig und ohne inhaltliche Änderun-
gen auf ein Format und einen Datenträ-
ger übertragen werden, welche dem aktu-
ellen Stand der Technik entsprechen. Do-
kumente sollten ihrer Relevanz entspre-
chend aufbewahrt werden.
Die bei Universitäten anfallenden elektro-
nischen Dokumente müssen somit nach
der allgemeinen Dokumentationspflicht
analog zu Papierdokumenten aufbewahrt
werden, wenn die Universität gegenüber
Dritten als Behörde auftritt. Das ist bei-
spielsweise dann der Fall, wenn es um die
Immatrikulation oder die Zulassung zu Ab-
schlussprüfungen geht.
Regelung der Pflicht zur Aufbe-wahrung elektronischer Doku-mente in Hochschulsatzungen
Die Aufbewahrungspflichten der Hoch-
schulen im Hinblick auf elektronische
Dokumente können in Hochschulsatzun-
gen näher ausgestaltet werden. Aufgrund
von § 2 Abs. 4 Hochschulgesetz (HG) wer-
den die Hochschulen zum Erlass von Ord-
nungen zur Regelung ihrer Angelegenhei-
ten ermächtigt. Bei einer Regelung der Auf-
bewahrung von elektronischen Dokumen-
ten bietet es sich an, Aufbewahrungsfristen
für Akten festzulegen. So haben einige Uni-
versitäten, beispielsweise die Bergische
Universität Wuppertal, in ihren „Bestim-
mungen zur Aufbewahrung, Aussonderung
und Archivierung von Akten und anderen
Unterlagen“ je nach Art des Schriftstücks
Aufbewahrungsfristen von bis zu 30 Jahren
vorgesehen. Diese Bestimmungen sollen
ebenso für maschinenlesbar gespeicherte
Informationen und Dokumente gelten.
E-Mails mit bedeutsamem Inhalt sollten
dabei ausgedruckt und – wie Telefonno-
tizen – zu den Akten genommen und ent-
sprechend der Fristen aufbewahrt werden.
Dabei richten sich die Fristen jeweils nach
dem Inhalt der E-Mail. Je bedeutender die-
ser ist, desto länger ist die E-Mail aufzube-
wahren. Auch bei Webmasken werden Spei-
Foto
: © R
ainer G
roth
ues - fo
tolia
51RECHT | DFN Mitteilungen Ausgabe 79 |
cherpflichten regelmäßig in Hochschulsat-
zungen normiert. Dort werden üblicherwei-
se auch die Speicherfristen für bestimmte
Daten wie Bewerberdaten, Immatrikulati-
onsdaten etc. geregelt. Ist dies der Fall, be-
steht auch eine Speicherpflicht für diesen
Zeitraum. Ähnliche Regelungen sind auch
an anderen Hochschulen möglich und üb-
lich. Die Regelungen sind jedoch von Hoch-
schule zu Hochschule verschieden.
Aufbewahrungspflichten für E-Mails aus handels- und steu-errechtlichen Vorschriften Insbesondere E-Mails können in bestimm-
ten Fällen als Geschäftsbriefe eingeordnet
werden, zum Beispiel wenn sie der Rech-
nungslegung dienen. Daher können bei
der Aufbewahrung von E-Mails zusätzlich
handels- und steuerrechtliche Vorschrif-
ten zum Tragen kommen. Aufbewahrungs-
pflichten sind in den handels- und steuer-
rechtlichen Vorschriften § 257 des Handels-
gesetzbuchs (HGB) und in § 147 der Abga-
benordnung (AO) normiert. Danach sind
– vereinfacht ausgedrückt – alle Daten auf-
bewahrungspflichtig, die für eine steuer-
liche Überprüfung und die Ordnungsge-
mäßheit der Buchhaltung bedeutsam sind,
worunter auch geschäftliche E-Mails fal-
len können. Im Regelfall ergeben sich für
Hochschulen jedoch keine Pflichten zur
Aufbewahrung von E-Mails aus handels-
und steuerrechtlichen Vorschriften. Die
Aufbewahrungspflichten, die sich aus den
handels- oder steuerrechtlichen Vorschrif-
ten ergeben, gelten hauptsächlich für Un-
ternehmen, die geschäftliche Dokumente,
in der Regel für einen Zeitraum von sechs
bzw. zehn Jahren, aufbewahren müssen.
Hochschulen gelten grundsätzlich nicht
als Kaufmann im Sinne des HGB, so dass
die handels- und steuerrechtlichen Nor-
men nur in Ausnahmefällen zur Anwen-
dung gelangen. Zusammenfassend kann
also festgehalten werden, dass Hochschu-
len nach handels- und steuerrechtlichen
Vorschriften grundsätzlich keine Aufbe-
wahrungspflichten treffen.
Regelung der Pflicht zur Aufbe-wahrung elektronischer Doku-mente in Prüfungsordnungen
Im Bereich von E-Prüfungen orientiert sich die Aufbewahrung von elektroni-schen Dokumenten auch an den jeweili-gen Prüfungsordnungen der Fachbereiche. Da § 64 Abs. 2 Nr. 10 HG ein Recht auf Ein-sichtnahme für den Prüfling vorsieht, be-steht zumindest eine Speicherungspflicht bis zum Ende der Einsichtnahmefrist, die ebenfalls in der jeweiligen Prüfungsord-nung in angemessener Länge festzuset-zen ist. Oftmals regeln die Ordnungen der Universitäten auch, dass die für analoge Dokumente geltenden Bestimmungen auf elektronische Dokumente entsprechend anzuwenden sind. Auch wenn keine solche Regelung besteht, sollten die Bestimmun-gen auch auf elektronische Dokumente an-gewandt werden, da keine Unterschiede zwischen handschriftlichen und elektroni-schen Prüfungsunterlagen bestehen.
Archivierung elektronischer Dokumente
Nachdem die jeweiligen elektronischen
Dokumente von einer Hochschule im
Rahmen eines noch nicht abgeschlosse-
nen Vorgangs und/oder nach dessen Ab-
schluss aufbewahrt wurden, stellt sich
die Frage der Archivierung dieser Doku-
mente in den entsprechenden Archiven.
Für die Archivierung von Dokumenten
sind die Hochschularchive zuständig.
Wichtig für die jeweiligen Einrichtungen
der Hochschule ist allerdings, dass diese
gem. § 4 Abs. 1 ArchivG NRW eine Anbie-
tungspflicht trifft. Von dieser sind auch
elektronische Dokumente umfasst. Gem.
§ 4 Abs. 1 ArchivG NRW müssen alle Unter-
lagen angeboten werden, welche von der
jeweiligen Einrichtung nicht mehr zur Er-
füllung ihrer Aufgaben benötigt werden.
Die Anbietung erfolgt dementsprechend
grundsätzlich nach Ablauf von Aufbewah-
rungsfristen oder aber spätestens nach 30
Jahren, es sei denn, es liegen längere Auf-
bewahrungsfristen vor. Welche der so „an-
gebotenen“ Dokumente dann letztlich von
dem zuständigen Archiv archiviert wer-
den, also als „archivwürdig“ im Sinne von
§ 2 Abs. 6 ArchivG NRW eingeordnet wer-
den, entscheidet dann das Archiv bzw. die
Archivare.
Zusammenfassung
Die Vorschriften aus dem TMG, dem TKG
und dem DSG NW enthalten keine Aufbe-
wahrungspflichten für elektronische Do-
kumente, sondern reglementieren, wann
eine Aufbewahrung datenschutzrechtlich
zulässig ist. Allerdings ergeben sich Auf-
bewahrungspflichten für die Hochschu-
len aus der allgemeinen Dokumentations-
pflicht von Behörden. Diese Pflicht greift
immer dann, wenn die Hochschulen Drit-
ten gegenüber als Behörde auftreten. Das
ist insbesondere bei der Immatrikulation
und bei Abschlussprüfungen der Fall. Zu-
meist regeln die Hochschulen die Aufbe-
wahrung von Dokumenten in ihren Satzun-
gen. Im Zusammenhang mit E-Prüfungen
orientiert sich die Aufbewahrung zudem
auch an den Prüfungsordnungen der jewei-
ligen Fachbereiche. Dabei sollte sich die
Aufbewahrung von elektronischen Doku-
menten nicht von der Aufbewahrung sons-
tiger Papierdokumente unterscheiden. Im
Anschluss an die dargestellten Aufbewah-
rungspflichten trifft die Hochschulen eine
Anbietungspflicht gegenüber den Hoch-
schularchiven. Diese bezieht sich auf sämt-
liche Dokumente, die von einer Hochschu-
le nicht mehr zur Erfüllung ihrer Aufgaben
benötigt werden. M
weiterführende Hinweise
Roßnagel/Fischer-Dieskau/Jandt/
Knopp, Langfristige Aufbewahrung
elektronischer Dokumente, 2007,
Waldhausen/Weißauer/Susenber-
ger, Praxis der Kommunalverwal-
tung, A 15 NW
Recht im DFN – Kurzmeldungen
| DFN Mitteilungen Ausgabe 78 | November 2010 | RECHT52
Googles Bildersuche rechtlich unbedenklich
In einem der bedeutendsten Urteile der letzten Jahre zum Thema
Urheberrecht hat der Bundesgerichtshof (BGH) die Wiedergabe
urheberrechtlich geschützter Werke in Vorschaubildern bei der
Google-Bildsuche für urheberrechtlich zulässig erklärt. Anders
hatten dies noch das Landgericht (LG) Hamburg und das Ober-
landesgericht (OLG) Jena gesehen. Der BGH hat sich in einer Revi-
sionsentscheidung (Urteil v. 29.04.2010, Az. I ZR 69/08) gegen das
Hamburger Urteil gestellt. Zwar handele es sich bei der Auflis-
tung von Abbildungen urheberrechtlich geschützter Werke als
Thumbnails in der Trefferliste einer Suchmaschine um eine öf-
fentliche Zugänglichmachung der Werke nach § 19a UrhG. Diese
sei aber anders als nach den vorausgegangenen Urteilen nicht
rechtswidrig, weil der Urheber eingewilligt habe. Insoweit gab
der BGH dem Einwand von Google Recht, der Webseitenbetrei-
ber könne durch eine bestimmte Kennzeichnung oder Program-
mierung der Internetseite bestimmen, ob das jeweilige Bild als
solches registriert werde. Damit könne er selbst darüber ent-
scheiden, ob ein Thumbnail hergestellt werde oder nicht. Neh-
me der Urheber diese technischen Möglichkeiten nicht wahr, ma-
che er die Bilder für den Zugriff durch Suchmaschinen zugäng-
lich und gebe damit seine Einwilligung, dass er mit der Anzeige
des Werkes im Rahmen der Bildersuche einverstanden sei. Die
Zukunft der herkömmlichen Google-Bildersuche ist damit nun
auch höchstrichterlich abgesichert. Bilder der Hochschulmitar-
beiter und Studenten als Urheber auf Hochschulseiten können
also weiterhin im Internet über die Google-Bildersuche direkt ge-
funden werden. Sollte dies nicht gewünscht sein, müssen techni-
sche Vorkehrungen in der Programmierung des Internetauftritts
der jeweiligen Hochschule getroffen werden. Beispielsweise kann
von der Möglichkeit Gebrauch gemacht werden, entsprechen-
de Anweisungen an die Suchmaschinen-Robots in der robots.
txt-Datei zu erteilen. Wurden die Bilder hingegen von unbefug-
ten Dritten ins Internet gestellt, haftet Google nur bei Kennt-
nis der Rechtswidrigkeit der gespeicherten Information. In die-
sem Fall kann der Urheber Google davon in Kenntnis setzen, so
dass die entsprechenden Inhalte in der Bildersuche dann ent-
fernt werden müssen.
Marina Rinken
Parkverbot für Domains? – Haftung des „Domain-Parking”-Providers für Markenverletzungen
seiner Kunden
Unter Domain-Parking versteht man ein Geschäftsmodell, nach
dem Werbelinks (etwa durch Textanzeigen von Google und Yahoo)
geschaltet werden, bei deren Abruf so genannte „Pay-per-Click”-
Vergütungen fällig werden. Damit möglichst viele Nutzer die an-
gezeigten Werbelinks anklicken, werden in der Regel solche Links
abrufbar gehalten, die einen inhaltlichen Bezug zu dem mit dem
Domainnamen in Verbindung gebrachten Angebot aufweisen.
Das Geschäftsmodell „Domain-Parking“ ist aus rechtlicher Sicht
problematisch, wenn der Domainname Ähnlichkeit zu einer Mar-
ke aufweist und unter der Domain solche Waren und Dienstleis-
tungen beworben werden, für die auch die Marke Schutz genießt.
Universitäten, die Opfer eines Domain-Grabbers werden, der Do-
mains beim Parking-Provider reserviert, die sich an die Hoch-
schul-Domain anlehnen, sollten sich zur Geltendmachung ihrer
Ansprüche direkt an ihn halten. Ein gerichtliches Vorgehen gegen
die Parking-Provider ist wenig Erfolg versprechend. Dagegen ist
die Geltendmachung von Ansprüchen gegen den Domaininhaber
viel aussichtsreicher. Selbst wenn der Domaininhaber erklärt, er
nutze die Domain weder privat noch geschäftlich, gehen die Ge-
richte regelmäßig von einer geschäftlichen Nutzung aus. Denn
der Domaininhaber vermietet bzw. verpachtet die Domain wei-
ter an den Parking-Anbieter, der dann daraus Kapital schlägt.
Die Verantwortung des Domain-Inhabers endet nicht mit dem
Parken. Dadurch dass der Domaininhaber durch die Wahl des
Keywords direkt steuert, welche Werbeeinblendungen gezeigt
werden, ist er unmittelbar verantwortlich für etwaige Marken-
rechtsverletzungen.
Eva-Maria Herring
Entscheidung des Bundesgerichtshofs zu der
Verwendung fremder Fotos im Internet
Im November 2009 hat der für das Urheberrecht zuständige
I. Zivilsenat des Bundesgerichtshofs (BGH) über die Verwendung
fremder Fotos für eine Rezeptsammlung im Internet entschieden.
Der Betreiber kann nach Ansicht des BGH dafür haften, wenn In-
ternetnutzer widerrechtlich Fotos von Kochrezepten auf seine
Website hochladen. Das Urteil beschäftigt sich mit den für die
Haftung von Internet-Service-Providern (ISP) grundlegenden Fra-
gen. Der DFN-Infobrief Recht vom Mai 2010 gibt Auskunft über
die haftungsrechtlichen Hintergründe und erörtert neben der
Entscheidung des BGH auch die vorinstanzlichen Urteile.
Christine Altemark
Sie können sich von uns über das Erscheinen neuer DFN-In-
fobriefe Recht per E-Mail informieren lassen. Bei Interesse
schicken Sie bitte eine E-Mail an: [email protected]
Sämtliche von der Forschungsstelle Recht im DFN be-
handelte Themen finden sich auch auf dem Web-Portal
des DFN-Vereins unter: http://www.dfn.de/de/beratung/
rechtimdfn/
DFN-Infobrief Recht
Foto: © Fineas - fotolia
53RECHT | DFN Mitteilungen Ausgabe 79 |
54 | DFN Mitteilungen Ausgabe 79 | November 2010 | DFN-VEREIN
Am 8. September 2010 verstarb der frühe-
re kaufmännische Geschäftsführer des
DFN-Vereins, Dr. Klaus-Eckart Maass, an
den Folgen einer längeren Krankheit. Als
„Mann der ersten Stunde“ hat er mit sei-
ner Arbeit im DFN-Verein Bedeutendes ge-
leistet, er hat den DFN-Verein geprägt und
die Weichen für eine erfolgreiche Zukunft
gestellt.
Klaus-Eckart Maass nahm seine Tätigkeit
kurz nach Gründung des Vereins im Jahr
1985 auf. Ausgebildet als Geologe konnte
er damals bereits auf Tätigkeiten als Pro-
jektleiter eines größeren geologischen Pro-
jektes und im Wissenschaftsmanagement
als Assistent des wissenschaftlichen Ge-
schäftsführers am Hahn-Meitner-Institut
zurückblicken. Im DFN-Verein befasste er
sich zunächst mit dem Aufbau einer von
den Strukturen des Hahn-Meitner-Insti-
tuts unabhängigen Administration. Sein
Leitgedanke in den DFN hinein war, dass
Administration einen dienenden Zweck
haben muss, ohne dabei die z. B. für den
Geldgeber notwendige Vertrauensbasis zu
beschädigen. So gelang es unter seiner Lei-
tung, in einer vertrauensvollen Zusammen-
arbeit mit Zuwendungsgebern eine Verwal-
tung aufzubauen, die es ermöglichte, ein
anspruchsvolles Entwicklungsprogramm
und den Aufbau des Wissenschaftsnetzes
zu finanzieren und späterhin den Schritt
von der Fehlbedarfsfinanzierung des BMBF
in eine von Zuwendungen unabhängige Fi-
nanzierung des Wissenschaftsnetzes zu
wagen. Mit diesem wichtigen Schritt wur-
de im Jahr 2004 die notwendige finanzi-
elle Flexibilität des DFN-Vereins erreicht,
von der noch heute alle Mitglieder profi-
tieren.
Zwei Themenkreise haben Klaus-Eckart
Maass während seiner fast 20jährigen Tä-
tigkeit im DFN-Verein besonders beglei-
tet. Zum einen erkannte er schon bald
die Bedeutung der Gemeinnützigkeit für
den DFN-Verein. Noch kurz vor dem Eintritt
in den Ruhestand gelang es ihm, dass die
entsprechenden jahrelangen Verhandlun-
gen mit dem Finanzamt letztlich von Er-
folg gekrönt wurden. Dieser Erfolg wirkt
über sein Ausscheiden aus dem DFN fort.
Zum anderen stellte Klaus-Eckart Maass
sehr früh fest, dass mit dem sich immer
weiter verbreitenden Internet rechtliche
Fragen auch im Wissenschaftsnetz eine zu-
nehmende Bedeutung bekommen würden
und dass sich dem DFN-Verein auch hier
eine Aufgabe stellte. Diese an sich nicht
im klassisch kaufmännischen Bereich an-
gesiedelte Fragestellung entpuppte sich
als „Treffer ins Schwarze“. Mit der Einrich-
tung der Forschungsstelle Recht im DFN
als Projekt an der Universität Münster wur-
de 1998 eine Stelle geschaffen, deren Erfol-
ge sehr schnell erkennbar wurden. Klaus-
Eckart Maass hat besonders in der Grün-
dungsphase der Forschungsstelle Recht
Nachruf auf Klaus-Eckart Maass, einen
Wegbereiter des DFN
erheblichen Aufwand in die Realisierung
der Idee gesteckt und bis heute deckt sie
einen großen Bedarf der Mitglieder des
DFN-Vereins.
Neben vielen Aspekten des Wirkens ist es
aber der Mensch Klaus-Eckart Maass, der
in Erinnerung bleibt. Klaus-Eckart Maass
hat immer großen Wert auf harmonische
Zusammenarbeit gelegt, sowohl in den
Vereinsgremien als auch in der DFN-Ge-
schäftsstelle. Dies umzusetzen gelang
ihm in besonderer Weise. In seiner offe-
nen und herzlichen Art suchte er immer
das Gespräch.
Hierbei ging es ihm nicht um die Verwi-
schung von Positionen und Meinungen –
er war ein durchaus harter Diskutierer –
sondern immer um eine sachbezogene Dar-
stellung. Er war so Vorbild und wird allen
auch als Kollege mit einem offenen Ohr für
alle Sorgen in Erinnerung bleiben.
R. Kraft, K. Ullmann im Oktober 2010
Foto: Dr. Klaus-Eckart Maass im Gespräch mit Bundesforschungsministerin Edelgard Bulmahn während
der CeBIT 2002.
55DFN-VEREIN | DFN Mitteilungen Ausgabe 79 |
Laut Satzung fördert der DFN-Verein die
Schaffung der Voraussetzungen für die
Errichtung, den Betrieb und die Nutzung
eines rechnergestützten Informations- und
Kommunikationssystems für die öffentlich
geförderte und gemeinnützige Forschung
in der Bundesrepublik Deutschland. Der
Satzungszweck wird verwirklicht insbe-
sondere durch Vergabe von Forschungs-
aufträgen und Organisation von Dienst-
leistungen zur Nutzung des Deutschen
Forschungsnetzes.
Als Mitglieder werden juristische Per-
sonen aufgenommen, von denen ein we-
sentlicher Beitrag zum Vereinszweck zu er-
warten ist oder die dem Bereich der insti-
tutionell oder sonst aus öffentlichen Mit-
teln geförderten Forschung zuzurechnen
sind. Sitz des Vereins ist Berlin.
Die Organe des DFN-Vereins sind:
die Mitgliederversammlung•
der Verwaltungsrat•
der Vorstand•
Die Mitgliederversammlung ist u. a. zustän-
dig für die Wahl der Mitglieder des Verwal-
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins (Stand: 11/2010)
tungsrates, für die Genehmigung des Jah-
reswirtschaftsplanes, für die Entlastung
des Vorstandes und für die Festlegung der
Mitgliedsbeiträge. Derzeitiger Vorsitzen-
der der Mitgliederversammlung ist Prof.
Dr. Gerhard Peter, HS Heilbronn.
Verwaltungsrat
Der Verwaltungsrat beschließt alle wesent-
lichen Aktivitäten des Vereins, insbeson-
dere die technisch-wissenschaftlichen Ar-
beiten, und berät den Jahreswirtschafts-
plan. Für die 9. Wahlperiode sind Mitglie-
der des Verwaltungsrates:
Prof. Dr. Achim Bachem (FZ Jülich)•
Prof. Christian Bischof (RWTH Aachen)•
Prof. Dr. Claudia Eckert (FhI-SIT) •
Prof. Geerd-Rüdiger Hoffmann (DWD)•
Prof. Dr. Wilfried Juling (KIT)•
Dr. Klaus-Peter Kossakowski (PRESECU-•
RE Consulting)
Prof. Dr. Wolfgang E. Nagel (TU Dres-•
den)
Prof. Dr. Bernhard Neumair (KIT)•
Dr. Frank Nolden (Univ. Leipzig)•
Dr. Christa Radloff (Univ. Rostock)•
Manfred Seedig (Univ. Kassel)•
Dr. Wolfgang Slaby (Univ. Eichstätt)•
Prof. Dr. Horst Stenzel (FH Köln)•
Der Verwaltungsrat hat als ständige
Gäste:
einen Vertreter der KMK: gegenwärtig •
Herrn Grothe, SMWK Sachsen
einen Vertreter der HRK: gegenwär-•
tig Prof. Dr. Metzner, Präsident der FH
Köln
einen Vertreter der Hochschulkanzler: •
gegenwärtig Herrn Schöck, Kanzler der
Universität Erlangen-Nürnberg
den Vorsitzenden des ZKI: gegenwärtig •
Prof. Dr. Lang, Universität zu Köln
den Vorsitzenden der Mitgliederver-•
sammlung: gegenwärtig Prof. Dr. Peter,
HS Heilbronn
Vorstand
Der Vorstand des DFN-Vereins im Sinne des
Gesetzes wird aus dem Vorsitzenden und
den beiden stellvertretenden Vorsitzen-
den des Verwaltungsrates gebildet. Der-
zeit sind dies Prof. Dr. Wilfried Juling, Vor-
sitz, sowie Prof. Dr. Bernhard Neumair und
Dr. Frank Nolden.
Der Vorstand wird beraten von einem Tech-
nologie-Ausschuss (TA), einem Betriebsaus-
schuss (BA), und einem Ausschuss für Recht
und Sicherheit (ARuS), der zugleich auch
als Jugendschutzbeauftragter für das DFN
fungiert.
Der Vorstand bedient sich zur Erledigung
laufender Aufgaben einer Geschäftsstel-
le mit Standorten in Berlin und Stuttgart.
Sie wird von einer Geschäftsführung ge-
leitet. Als Geschäftsführer wurden vom
Vorstand Jochem Pattloch und Klaus Ull-
mann bestellt.
56 | DFN Mitteilungen Ausgabe 79 | November 2010 | DFN-VEREIN
Aachen Fachhochschule Aachen
Rheinisch-Westfälische Technische Hochschule Aachen (RWTH)
Aalen Hochschule Aalen
Albstadt Hochschule Albstadt-Sigmaringen
Amberg Hochschule Amberg-Weiden für angewandte Wissenschaften
Aschaffenburg Hochschule Aschaffenburg
Augsburg Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg
Universität Augsburg
Bamberg Otto-Friedrich-Universität Bamberg
Bayreuth Universität Bayreuth
Berlin Alice Salomon Hochschule Berlin
BBB Management GmbH
Beuth Hochschule für Technik Berlin – University of Applied Sciences
Bundesanstalt für Materialforschung und -prüfung
Bundesinstitut für Risikobewertung
Deutsche Telekom AG Laboratories
Deutsches Herzzentrum Berlin
Deutsches Institut für Normung e. V. (DIN)
Deutsches Institut für Wirtschaftsforschung (DIW)
Hochschule für Wirtschaft und Recht
Fachinformationszentrum Chemie GmbH (FIZ Chemie)
Forschungsverbund Berlin e. V.
Freie Universität Berlin (FUB)
Helmholtz-Zentrum Berlin für Materialien und Energie GmbH
Hochschule für Technik und Wirtschaft (HTW)
Humboldt-Universität zu Berlin (HUB)
IT-Dienstleistungszentrum
Konrad-Zuse-Zentrum für Informationstechnik (ZIB)
Robert Koch-Institut
Stanford University in Berlin
Stiftung Deutsches Historisches Museum
Stiftung Preußischer Kulturbesitz
Technische Universität Berlin (TUB)
T-Systems International GmbH
Umweltbundesamt
Universität der Künste Berlin
Wissenschaftskolleg zu Berlin
Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)
Biberach Hochschule Biberach
Bielefeld Fachhochschule Bielefeld
Universität Bielefeld
Bingen Fachhochschule Bingen
Böblingen Staatliche Akademie für Datenverarbeitung
Bochum ELFI Gesellschaft für Forschungsdienstleistungen mbH
Evangelische Fachhochschule Rheinland-Westfalen-Lippe
Hochschule Bochum
Ruhr-Universität Bochum
Technische Fachhochschule Georg Agricola für Rohstoff,
Energie und Umwelt zu Bochum
Bonn Bundesministerium des Innern
Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit
Deutsche Forschungsgemeinschaft (DFG)
Deutscher Akademischer Austauschdienst e. V. (DAAD)
Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)
GESIS – Leibniz-Institut für Sozialwissenschaften
Rheinische Friedrich-Wilhelms-Universität Bonn
Zentrum für Informationsverarbeitung und Informationstechnik
Borstel FZB, Leibniz-Zentrum für Medizin und Biowissenschaften
Brandenburg Fachhochschule Brandenburg
Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen
GmbH
Helmholtz-Zentrum für Infektionsforschung GmbH
Hochschule für Bildende Künste Braunschweig
Johann-Heinrich von Thünen-Institut, Bundesforschungs-
institut für Ländliche Räume, Wald und Fischerei
Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen
Physikalisch-Technische Bundesanstalt (PTB)
Technische Universität Carolo-Wilhelmina zu Braunschweig
Bremen Hochschule Bremen
Hochschule für Künste Bremen
Jacobs University Bremen gGmbH
Universität Bremen
Bremerhaven Hochschule Bremerhaven
Stadtbildstelle Bremerhaven
Stiftung Alfred-Wegener-Institut für Polar- u. Meeresforschung (AWI)
Chemnitz Technische Universität Chemnitz
Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)
Technische Universität Clausthal-Zellerfeld
Coburg Hochschule für angewandte Wissenschaften, Fachhochschule Coburg
Cottbus Brandenburgische Technische Universität Cottbus
Darmstadt European Space Agency (ESA)
GSI Helmholtzzentrum für Schwerionenforschung GmbH
Hochschule Darmstadt
Merck KGaA
Technische Universität Darmstadt
T-Systems International GmbH
Deggendorf Hochschule für angewandte Wissenschaften,
Fachhochschule Deggendorf
Detmold Lippische Landesbibliothek
Dortmund Fachhochschule Dortmund
Technische Universität Dortmund
Dresden Forschungszentrum Dresden-Rossendorf e. V.
Hannah-Arendt-Institut für Totalitarismusforschung e. V.
Hochschule für Bildende Künste Dresden
Hochschule für Technik und Wirtschaft
Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.
Leibniz-Institut für Polymerforschung Dresden e. V.
Sächsische Landesbibliothek
Technische Universität Dresden
Düsseldorf Fachhochschule Düsseldorf
Heinrich-Heine-Universität Düsseldorf
Information und Technik Nordrhein-Westfalen (IT.NRW)
Eichstätt Katholische Universität Eichstätt-Ingolstadt
Emden Johannes A Lasco Bibliothek - Große Kirche Emden
Fachhochschule Emden/Leer
Erfurt Fachhochschule Erfurt
Universität Erfurt
Erlangen Friedrich-Alexander-Universität Erlangen-Nürnberg
Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V.
Universität Duisburg-Essen
Esslingen Hochschule Esslingen
Flensburg Fachhochschule Flensburg
Universität Flensburg
57DFN-VEREIN | DFN Mitteilungen Ausgabe 79 |
Frankfurt/M. Bundesamt für Kartographie und Geodäsie
Deutsche Nationalbibliothek
Deutsches Institut für Internationale Pädagogische Forschung
Fachhochschule Frankfurt am Main
Fachinformationszentrum Technik e. V. (FIZ Technik)
Johann Wolfgang Goethe-Universität Frankfurt am Main
Juniper Networks GmbH
KPN EuroRings B.V.
Philosophisch-Theologische Hochschule St. Georgen e.V.
Frankfurt/O. IHP GmbH - Institut für innovative Mikroelektronik
Stiftung Europa-Universität Viadrina
Freiberg Technische Universität Bergakademie Freiberg
Freiburg Albert-Ludwigs-Universität Freiburg
Fulda Hochschule Fulda
Furtwangen Hochschule Furtwangen - Informatik, Technik, Wirtschaft, Medien
Garching European Southern Observatory (ESO)
Gesellschaft für Anlagen- und Reaktorsicherheit mbH
Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften
Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)
Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenfor-
schung GmbH
Gelsenkirchen Fachhochschule Gelsenkirchen
Gießen Fachhochschule Gießen-Friedberg
Justus-Liebig-Universität Gießen
Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)
Verbundzentrale des Gemeinsamen Bibliotheksverbundes
Greifswald Ernst-Moritz-Arndt-Universität Greifswald
Hagen Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft
FernUniversität in Hagen
Halle/Saale Institut für Wirtschaftsforschung Halle
Martin-Luther-Universität Halle-Wittenberg
Hamburg Bundesamt für Seeschifffahrt und Hydrographie
Deutsches Elektronen-Synchrotron (DESY)
Deutsches Klimarechenzentrum GmbH (DKRZ)
Helmut-Schmidt-Universität, Universität der Bundeswehr
Hochschule für Angewandte Wissenschaften Hamburg
Hochschule für Bildende Künste Hamburg
Hochschule für Musik und Theater Hamburg
Technische Universität Hamburg-Harburg
Universität Hamburg
Hamm SRH Hochschule für Logistik und Wirtschaft Hamm
Hannover Bundesanstalt für Geowissenschaften und Rohstoffe
Fachhochschule Hannover
Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische
Landesbibliothek
Gottfried Wilhelm Leibniz Universität Hannover
HIS Hochschul-Informations-System GmbH
Hochschule für Musik, Theater und Medien
Landesamt für Bergbau, Energie und Geologie
Medizinische Hochschule Hannover
Technische Informationsbibliothek und Universitätsbibliothek
Tierärztliche Hochschule
Heide Fachhochschule Westküste, Hochschule für Wirtschaft und Technik
Heidelberg Deutsches Krebsforschungszentrum (DKFZ)
European Molecular Biology Laboratory (EMBL)
Network Laboratories NEC Europe Ltd.
Ruprecht-Karls-Universität Heidelberg
Heilbronn Hochschule für Technik, Wirtschaft und Informatik Heilbronn
Hildesheim Hochschule für angewandte Wissenschaft und Kunst
Fachhochschule Hildesheim/Holzminden/Göttingen
Universität Hildesheim
Hof Stiftung Hof
Hochschule Hof – University of Applied Sciences (FH)
Ilmenau Technische Universität Ilmenau
Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen
Hochschule für angewandte Wissenschaften FH Ingolstadt
Jena Fachhochschule Jena
Friedrich-Schiller-Universität Jena
Institut für Photonische Technologien e. V.
Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)
Jülich Forschungszentrum Jülich GmbH
Kaiserslautern Fachhochschule Kaiserslautern
Technische Universität Kaiserslautern
Karlsruhe Bundesanstalt für Wasserbau
Fachinformationszentrum Karlsruhe (FIZ)
Karlsruher Institut für Technologie - Universität des Landes Baden-
Württemberg und nationales Forschungszentrum in der Helmholtz-
Gemeinschaft (KIT)
FZI Forschungszentrum Informatik
Hochschule Karlsruhe - Technik und Wirtschaft
Zentrum für Kunst und Medientechnologie
Kassel Universität Kassel
Kempten Hochschule für angewandte Wissenschaften, Fachhochschule Kempten
Kiel Christian-Albrechts-Universität zu Kiel
Fachhochschule Kiel
Institut für Weltwirtschaft an der Universität Kiel
Leibniz-Institut für Meereswissenschaften
Koblenz Fachhochschule Koblenz
Köln Deutsche Sporthochschule Köln
Fachhochschule Köln
Hochschulbibliothekszentrum des Landes NRW
Kunsthochschule für Medien Köln
Rheinische Fachhochschule Köln gGmbH
Universität zu Köln
Konstanz Universität Konstanz
Köthen Hochschule Anhalt (FH)
Krefeld Hochschule Niederrhein
Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.
Landshut Hochschule Landshut, Fachhochschule
Leipzig Deutsche Telekom, Hochschule für Telekommunikation Leipzig
Helmholtz-Zentrum für Umweltforschung – UFZ GmbH
Hochschule für Grafik und Buchkunst Leipzig
Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“
Hochschule für Technik, Wirtschaft und Kultur Leipzig
Leibniz-Institut für Troposphärenforschung e. V.
Mitteldeutscher Rundfunk
Universität Leipzig
Lemgo Hochschule Ostwestfalen-Lippe
Lübeck Fachhochschule Lübeck
Universität zu Lübeck
Ludwigshafen Fachhochschule Ludwigshafen am Rhein
Lüneburg Leuphana Universität Lüneburg
Magdeburg Hochschule Magdeburg-Stendal (FH)
Leibniz-Institut für Neurobiologie Magdeburg
Otto-von-Guericke-Universität Magdeburg
58 | DFN Mitteilungen Ausgabe 79 | November 2010 | DFN-VEREIN
Mainz Fachhochschule Mainz
Johannes Gutenberg-Universität Mainz
Universität Koblenz-Landau
Mannheim Hochschule Mannheim
TÜV SÜD Energietechnik GmbH Baden-Württemberg
Universität Mannheim
Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW)
Marbach a. N. Deutsches Literaturarchiv
Marburg Philipps-Universität Marburg
Merseburg Hochschule Merseburg (FH)
Mittweida Hochschule Mittweida
Mosbach Berufsakademie Mosbach, Staatliche Studienakademie
Mühlheim an
der Ruhr
Hochschule Ruhr West
Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V.
München Bayerische Staatsbibliothek
Hochschule München (FH)
Fraunhofer-Gesellschaft e. V.
Helmholtz Zentrum München Deutsches Forschungszentrum für
Gesundheit und Umwelt GmbH
IFO Institut für Wirtschaftsforschung e. V.
Ludwig-Maximilians-Universität München
Max-Planck-Gesellschaft
Technische Universität München
Universität der Bundeswehr München
Münster Fachhochschule Münster
Westfälische Wilhelms-Universität Münster
Neubranden-
burg
Hochschule Neubrandenburg
Neu-Ulm Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm
Nordhausen Fachhochschule Nordhausen
Nürnberg Georg-Simon-Ohm-Hochschule für angewandte Wissenschaften,
Fachhochschule Nürnberg
Kommunikationsnetz Franken e. V.
Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen
Nuthetal Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke
Oberursel Dimension Data Germany AG & Co. KG
Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH
Offenbach/M. Deutscher Wetterdienst (DWD)
Offenburg Hochschule Offenburg, Fachhochschule
Oldenburg Carl von Ossietzky Universität Oldenburg
Landesbibliothek Oldenburg
Osnabrück Fachhochschule Osnabrück
Universität Osnabrück
Paderborn Fachhochschule der Wirtschaft Paderborn
Heinz Nixdorf MuseumsForum GmbH
Universität Paderborn
Passau Universität Passau
Peine Deutsche Gesellschaft zum Bau und Betrieb von Endlagern
für Abfallstoffe mbH
Potsdam Fachhochschule Potsdam
Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ
Hochschule für Film und Fernsehen „Konrad Wolf“
Potsdam-Institut für Klimafolgenforschung e. V. (PIK)
Universität Potsdam
Ratingen Hewlett-Packard GmbH
Regensburg Hochschule für angewandte Wissenschaften - Fachhochschule
Regensburg
Universität Regensburg
Rosenheim Hochschule für angewandte Wissenschaften - Fachhochschule
Rosenheim
Rostock Leibniz-Institut für Ostseeforschung Warnemünde
Universität Rostock
Saarbrücken Universität des Saarlandes
Salzgitter Bundesamt für Strahlenschutz
Sankt Augustin Fachhochschule Bonn Rhein-Sieg
Schmalkalden Fachhochschule Schmalkalden
Schwäbisch
Gmünd
Pädagogische Hochschule Schwäbisch Gmünd
Schwerin Landesbibliothek Mecklenburg-Vorpommern
Senftenberg Hochschule Lausitz (FH)
Siegen Universität Siegen
Speyer Deutsche Hochschule für Verwaltungswissenschaften
Straelen GasLINE Telekommunikationsnetzgesellschaft deutscher
Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft
Stralsund Fachhochschule Stralsund
Stuttgart Cisco Systems GmbH
Duale Hochschule Baden-Württemberg
Hochschule der Medien Stuttgart
Hochschule für Technik Stuttgart
NextiraOne Deutschland GmbH
Universität Hohenheim
Universität Stuttgart
Tautenburg Thüringer Landessternwarte Tautenburg
Trier Fachhochschule Trier
Universität Trier
Tübingen Friedrich-Loeffler-Institut, Bundesforschungsinstitut
für Tiergesundheit
Eberhard Karls Universität Tübingen
Ulm Hochschule Ulm
Universität Ulm
Vechta Hochschule Vechta
Private Fachhochschule für Wirtschaft und Technik
Wachtberg Forschungsgesellschaft für Angewandte Naturwissenschaften e. V.
Wadern Schloss Dagstuhl - Leibniz-Zentrum für Informatik GmbH (LZI)
Weidenbach Fachhochschule Weihenstephan
Weimar Bauhaus-Universität Weimar
Weingarten Hochschule Ravensburg-Weingarten
Pädagogische Hochschule Weingarten
Wernigerode Hochschule Harz (FH)
Weßling T-Systems Solutions for Research GmbH
Wiesbaden Hochschule RheinMain
Statistisches Bundesamt
Wildau Technische Hochschule Wildau (TH)
Wilhelmshaven Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth
Wismar Hochschule Wismar
Witten Universität Witten/Herdecke GmbH
Wolfenbüttel Ostfalia Hochschule für angewandte Wissenschaften
Herzog August Bibliothek
Worms Fachhochschule Worms
Wuppertal Bergische Universität Wuppertal
Würzburg Hochschule für angewandte Wissenschaften -Fachhochschule
Würzburg-Schweinfurt
Julius-Maximilians-Universität Würzburg
Zittau Hochschule Zittau/Görlitz
Internationales Hochschulinstitut
Zwickau Westsächsische Hochschule Zwickau
59DFN Mitteilungen Ausgabe 79 |