America Connects to Europe

Internet2 verbessert inter-nationale Verbindungen

Mitteilungen

Deutsches Forschungsnetz Mitteilungen Ausgabe 79 | November 2010

www.dfn.de

Die nächste X-WiN-GenerationDFN@100G: Tests erfolgreich abgeschlossen

Der neue Personalausweis ist da

Erste Ergebnisse des

offenen Anwendungstests

America Connects to Europe

Internet2 verbessert inter-nationale Verbindungen

Impressum

Herausgeber: Verein zur Förderung

eines Deutschen Forschungsnetzes e. V.

DFN-Verein

Alexanderplatz 1, 10178 Berlin

Tel: 030 - 88 42 99 - 0

Fax: 030 - 88 42 99 - 70

Mail: dfn-verein@dfn.de

Web: www.dfn.de

ISSN 0177-6894

Redaktion: Kai Hoelzner (kh)

Gestaltung: Labor3 | www.labor3.com

Druck: Rüss, Potsdam

©DFN-Verein 11/2010

Fotonachweis:

Titel © gettyimages

Seite 6/7 © Vladimir Wrangel - fotolia

Seite 28/29 © alek - fotolia

Seite 42/43 © dustin gaffke - fotolia

Vor einigen Wochen sind die Tests für den Einsatz von 100-Gigabit-Technologie im Wis-

senschaftsnetz zu Ende gegangen. Gemeinsam mit den Hardware-Ausrüstern Cisco und

Huawei sowie dem Faser-Provider GasLINE und unter tatkräftiger Mithilfe der Kolle-

gen in den projektbeteiligten Rechenzentren wurde auf einer Strecke zwischen dem

Forschungszentrum Jülich und dem Karlsruher Institut für Technologie ein mehrere

hunderte Kilometer langes Testbed eingerichtet, auf dem im Sommer dieses Jahres der

Einsatz „nativer“ 100-Gigabit/s-Netztechnik erprobt wurde.

Die Ergebnisse dieser Tests erfüllten sämtliche Hoffnungen, die wir in Bezug auf 100G-

Technologie hatten. Es kann gesagt werden, dass die Einführung von 100G-Technologie

im X-WiN eine realistische Option für die Zukunft des Wissenschaftsnetzes ist.

Neben dem Ausbau des Backbones wird diese Technologie auch einzelnen Anwender-

gruppen mit extremen Anforderungen neue Möglichkeiten eröffnen. Dazu gehören

Großexperimente wie der LHC, dessen enorme Datenmengen über die Tier-1 Zentren

zugänglich gemacht werden, ebenso wie die im Aufbau befindliche Europäische Su-

percomputer Infrastruktur PRACE. Für den Datenaustausch zwischen den Zentren wer-

den Weitverkehrsnetze benötigt, die mit den rasant zunehmenden I/O-Kapazitäten

und -Geschwindigkeiten Schritt halten können.

Ein Innovationssprung, wie ihn die Einführung von 100G-Techologie darstellen würde,

wurde in der Vergangenheit meist dadurch kenntlich gemacht, dass man dem Netz ei-

nen neuen Namen gab. Die Evolution des Wissenschaftsnetzes spiegelte sich in sei-

nen Bezeichnungen wider, die dann x.25, B-WiN oder G-WiN lauteten, und die jeweils

mit mehrjährigen Testbed-Projekten vorbereitet wurden. Dass das Wissenschaftsnetz

auch auf einer kommenden Technologiestufe weiterhin „X-WiN“ heißen wird, weist

auf eine hervorstechende Eigenschaft und Qualität des Wissenschaftsnetzes hin. Der

mit dem X-WiN eingeführte Grundsatz, Glasfasern, optische Plattform und Router se-

parat einzukaufen, ermöglicht bedarfsgerechten Ausbau und technologische Sprün-

ge im Rahmen des bestehenden Konzeptes. Die Bezeichnung „X-WiN“ kann daher als

ein Garant für die gemeinsame Anstrengung verstanden werden, die Netzinfrastruk-

tur für die Wissenschaft in Deutschland stets auf dem technologisch avanciertesten

fortgeschrittenen Stand und mit einem Höchstmaß an Sicherheit und Verfügbarkeit

bereitzustellen.

Dr. Thomas Eickermann

Abteilungsleiter Kommunikationssysteme

Jülich Supercomputing Centre

in der Forschungszentrum Jülich GmbH und

Projekt Manager PRACE

4 | DFN Mitteilungen Ausgabe 79 | November 2010

Unsere Autoren dieser Ausgabe im Überblick

1 Robert Stoy, DFN-Verein (stoy@dfn.de); 2 Christian Grimm, DFN-Verein (grimm@

dfn.de); 3 Andreas Hanemann, DFN-Verein (hanemann@dfn.de); 4 Kai Hoelzner,

DFN-Verein (hoelzner@dfn.de); 5 Bettina Kauth, DFN-Verein (kauth@noc.dfn.de);

6 Paul Mies, Fraunhofer Gesellschaft (paul.mies@zv.fraunhofer.de); 7 Gisela Maiß,

DFN-Verein (maiss@dfn.de); 8 Jens Fromm, Fraunhofer FOKUS (jens.fromm@fokus.

fraunhofer.de); 9 Jan Mönnich, DFN-CERT Service GmbH (moennich@dfn-cert.de);

10 Jürgen Rauschenbach, DFN-Verein (jrau@dfn.de); 11 Hans-Martin Adler, DFN-Ver-

ein (adler@dfn.de); 12 Holger Wirtz, DFN-Verein (wirtz@dfn.de); 13 Marcus Pattloch,

DFN-Verein (pattloch@dfn.de); 14 Christoph Golla, Forschungsstelle Recht im DFN

(christoph.golla@uni-muenster.de); 15 Marina Rinken, Forschungsstelle Recht im

DFN (marina.rinken@uni-muenster.de); 16 Christine Altemark, Forschungsstelle

Recht im DFN (ch.altemark@uni-muenster.de).

1 2

5

4

6 7 8

9 10 11 12

13 14

3

15

31

16

5DFN Mitteilungen Ausgabe 79 |

Wissenschaftsnetz

DFN@100G: Mit 100 Gigabit/s von Jülich

nach Karlsruhe

von Robert Stoy, Christian Grimm,

Andreas Hanemann ......................................................

X-WiN intern

von Bettina Kauth, Paul Mies ........................................

Gestochen scharf – die neue Qualität

beim Videokonferenzdienst

von Gisela Maiß ........................................................................

Kurzmeldungen ..........................................................

International

Internet2 verbessert internationale Verbindungen

von Kai Hoelzner ...............................................................

Campus

Studentennetze

von Kai Hoelzner .........................................................

Der neue Personalausweis ist da

von Jens Fromm ..................................................................

Der neue Personalausweis – erste Ergebnisse des

offenen Anwendungstests

von Jan Mönnich ................................................................

Kurzmeldungen .................................................................

8

12

16

19

20

24

28

32

36

38

41

44

48

52

54

55

Sicherheit

DNSSEC reloaded

von Kai Hoelzner, Holger Wirtz ...........................................

Sicherheit aktuell

von Marcus Pattloch ...................................................

Recht

Zwölf hartnäckige Irrtümer – die neuen „Klassiker“

juristischer Fehleinschätzungen bei Homepages

von Christoph Golla ....................................................

Aufbewahrung elektronischer Dokumente –

die Pflichten der Hochschulen

von Marina Rinken, Christine Altemark ......................

Recht im DFN – Kurzmeldungen ..................................

DFN-Verein

Nachruf auf Dr. Klaus-Eckart Maass ..................................

Übersicht über die Mitgliedseinrichtungen

und Organe des DFN-Vereins ......................................

Inhalt

6 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ

7WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |

WissenschaftsnetzDFN@100G: Mit 100 Gigabit/s von Jülich

nach Karlsruhe

von Robert Stoy, Christian Grimm und Andreas

Hanemann

X-WiN intern

von Bettina Kauth und Paul Mies

Gestochen scharf – die neue Qualität beim

Videokonferenzdienst

von Gisela Maiß

Kurzmeldungen

8 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ

Im Juli und August testete der DFN-Verein gemeinsam mit Cisco Systems Inc. und

Huawei Technologies sowie GasLINE Datenübertragungen mit einer Rate von

100 Gigabit/s pro Wellenlänge (100G-Technologie). Hierbei stand der Einsatz in der

Praxis im Vordergrund, um die Tauglichkeit der Technologie unter realen Bedingun-

gen zu untersuchen. Der zuverlässige Einsatz dieser Technologie ist insbesondere für

die bevorstehende Generation des X-WiN relevant.

Text: Robert Stoy (DFN-Verein), Dr. Christian Grimm (DFN-Verein), Dr. Andreas Hanemann (DFN-Verein)

DFN@100G: Mit 100 Gigabit/s von Jülich nach Karlsruhe Tests für die nächste X-WiN-Generation erfolgreich abgeschlossen

100 Gigabit/s in der Praxis

Derzeit werden etwa zehn Petabyte pro Mo-

nat über das deutsche Wissenschaftsnetz

transportiert. Neben steigendem Übertra-

gungsvolumen im X-WiN sind es vor allem

Anforderungen aus oft international auf-

gestellten Forschungsprojekten verschie-

dener Wissenschafts-Communities, die be-

sondere Bedarfe an leistungsstärkere Netz-

verbindungen anmelden. Auch wenn man

100G-Technologie im Labor bereits gut im

Griff hat, bleibt es eine Herausforderung,

sie in der realen Umgebung eines Weitver-

kehrsnetzes einzusetzen. Insbesondere das

Zusammenspiel technischer Komponen-

ten verschiedener Hersteller stellt den Be-

treiber beim Ausbau von Hochleistungs-

netzen vor besondere Probleme.

Daher sollte im Testbed DFN@100G die Eig-

nung von 100G-Technologie für im DFN be-

reitgestellte Dienste, insbesondere den

DFN-Internetdienst, untersucht werden.

Von vornherein stand dabei fest, dass die

Tests möglichst produktionsnah durchge-

führt werden sollten. Anstatt sich auf op-

tische Parameter zu beschränken, sollten

während der Tests IP-Datenpakete über

die 100 Gbit/s-Verbindung übertragen wer-

den. Ein besonderer Fokus lag auf dem Ver-

halten von Verfügbarkeit und Dienstgüte

bei mittlerer wie bei hoher Auslastung der

Verbindung.

Aufbau des Testbeds

Das zwischen dem Forschungszentrum Jü-

lich (FZJ) und dem Karlsruher Institut für

Technologie (KIT) liegende ca. 447 km lange

Testbed führte entlang einer Strecke über

Köln, Bonn, Wiesbaden, Mainz und Heidel-

berg. Von der Fa. GasLINE wurde hierzu ein

Glasfaserpaar bereitgestellt, welches nicht

speziell für den Test ausgesucht wurde, so

dass es eine für das X-WiN typische Quali-

tät aufweisen sollte.

Von der Fa. Huawei Technologies wurde in

Karlsruhe und Jülich jeweils DWDM-Tech-

nik (Dense Wavelength Division Multiple-

xing) aufgebaut, die insbesondere ein Mo-

dul zur Übertragung von 100 Gbit/s über

eine einzelne Wellenlänge enthielt (siehe

Abbildung 1). Zusätzlich wurden an fünf

Standorten entlang der Teststrecke opti-

sche Verstärker von Huawei aufgebaut.

Die Fa. Cisco Systems stellte in Karlsru-

9WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |

he und Jülich jeweils einen CRS-3-Router

bereit, der mit einer speziellen Interface-

Karte für die 100 Gigabit/s-Übertragung

ausgestattet war. Die Kopplung dieser In-

terface-Karte mit dem optischen System

stellte eine besondere Herausforderung

im Test dar, da der Standard für diese Zu-

sammenarbeit (100 Gbit-Ethernet-Stan-

dard, IEEE 802.3ba) erst vor kurzem ver-

abschiedet wurde und die Hersteller von

entsprechenden Komponenten noch we-

nig Erfahrung mit der Interoperabilität ha-

ben. Die Interoperabilität der Komponen-

ten war zu Beginn nicht gegeben, aber es

konnte nach kurzer Zeit eine tragfähige

Lösung gefunden werden.

Für die Erzeugung des Testverkehrs wurden

die Cisco Router an den beiden Standor-

ten mit Clustern herkömmlicher Server PCs

mit 10 Gbit/s-Interfaces verbunden. Somit

konnte ein typisches Verkehrsaufkommen

im Internet und insbesondere in Wissen-

schaftsnetzen simuliert werden. Außerdem

wurden an die Router spezielle Netzmo-

nitoring-Systeme angeschlossen, um die

Leistungsfähigkeit der Technik während

der Tests zu messen.

Bereits der Aufbau der Systeme zeigte, dass

die neue Technik im Hinblick auf Platzbe-

sondere konnte so ermittelt werden, wie

viele Dateneinheiten über die Teststrecke

fehlerhaft übertragen wurden.

Diese Analysemethoden waren jedoch

noch nicht ausreichend, um alle Quali-

tätsaspekte der Datenübertragung zu er-

fassen. So konnten zum Beispiel eventuell

auftretende Paketverluste oder Paketver-

tauschungen bei der Übertragung nicht

von den Routern erfasst werden. Ergän-

zend sendet man daher zusätzliche Test-

pakete über die Strecke, um zu ermitteln,

ob diese wie erwartet beim Ziel eintreffen.

Dazu wurden jeweils zwei weitere Rechner

mit 10 Gbit/s-Interfaces an die Router an-

geschlossen. Ein Rechner diente zur Mes-

sung von Paketverlusten und Paketvertau-

schungen mit Hilfe des Tools „iperf“ un-

ter Verwendung von UDP-Übertragungen.

Hier wurde mit der Datenrate 5 Gbit/s bzw.

ca. 72.000 Paketen/s gemessen, damit in

fünfminütigen Abständen Ergebnisse mit

hinreichender Genauigkeit erzielt werden

konnten. Der andere Rechner – ein bereits

im X-WiN verwendeter HADES-Rechner –

sollte die Einweg-Paketlaufzeiten und ihre

Varianz messen. Solche HADES-Messergeb-

nisse ließen z.B. Rückschlüsse auf hochbe-

lastete Puffer in den Routern zu. Die Ver-

fügbarkeit der Teststrecke wurde durch se-

darf, Stromverbrauch und Abwärme im

Rahmen der Erwartungen des DFN-Vereins

blieb, so dass die Standorte des X-WiN in

Zukunft ohne große Probleme auf die neue

Technik aufgerüstet werden können.

Aufbau des Monitorings

Nach erfolgreicher Installation der einzel-

nen Komponenten wurde zunächst das

Netzmonitoring konfiguriert. Zum einen

wurden Variablen kontinuierlich aufge-

zeichnet, die die Router jeweils von sich

aus bereits messen und die mit Hilfe des

SNMP (Simple Network Management Proto-

col) abfragbar sind. Dieses sind insbesonde-

re Zähler, die ermitteln, wie viele IP-Pakete

über ein Interface gesendet und empfan-

gen werden. Damit wurde der Datenaus-

tausch über alle 10 Gbit/s-Interfaces gemes-

sen. Die Daten wurden am DFN-NOC mit

einer Auflösung von einem Messwert pro

Minute gesammelt und dargestellt. Weite-

re vom Router bereitgestellte Informati-

onen, insbesondere Statusdaten, wurden

über automatische Abfragen ebenfalls er-

mittelt und kontinuierlich aufgezeichnet.

Vom DFN-NOC wurden spezielle Skripte zur

Weiterverarbeitung der Daten erstellt, um

sämtliche relevanten Informationen aufzu-

arbeiten und grafisch darzustellen. Insbe-

Abb. 1: Konfiguration der

verschiedenen Komponen-

ten an den Endpunkten

des Testbeds in Jülich

und Karlsruhe. Zentral

sind die beiden CRS3-

Router von Cisco, die per

100 Gbit/s-Interface an

die Wellenlängenmulti-

plexer und das optische

Übertragungssystem von

Huawei angeschlossen

sind. Rechner des FZ Jülich

und des KIT (grün) sind

über 10 Gbit/s-Interfaces

und Ethernet-Switches

als Medienkonverter an

die Router angeschlossen.

DFN-Messrechner (orange)

sind direkt mit Single-Mo-

de-Interfaces an die Router

angeschlossen.

ti-kit1

trc-kit1CRS-3

tsc-kit24900M

tsc-kit14900M

ms-kit1 ms-fzj1Te0/3/0/2Te0/3/0/1

Hu0/0/0/0 Hu0/0/0/0

hades-kit2 hades-fzj2Te0/3/0/2Te0/3/0/3

tsc-fzj24900M

K9 Te1/4 Te1/3 Te0/3/0/0 Te2/2 J9Te2/1Te0/3/0/0Te1/6 Te1/5 Te2/4Te2/3Te0/3/0/1

K8 Te1/2 Te1/1 Te0/2/0/3 Te1/6 J8Te1/5Te0/2/0/3K7 Te2/4 Te0/2/0/2 Te1/4 J7Te1/3Te0/2/0/2K6 Te2/2

Te2/3Te2/1 Te0/2/0/1 Te1/2 J6Te1/1Te0/2/0/1

tsc-fzj14900M

K5 Te1/6 Te1/5 Te0/2/0/0 Te0/2/0/0 Te2/4Te2/3 J5K4 Te1/4 Te1/3 Te0/1/0/3 Te0/1/0/3 Te2/2Te2/1 J4K3 Te1/2 Te1/1 Te0/1/0/2 Te1/6Te1/5 J3K2 Te2/4 Te2/3

Te0/1/0/2Te0/1/0/1 Te1/4Te1/3 J2

K1 Te2/2 Te2/1 Te0/1/0/0Te0/1/0/1

Te0/1/0/0 Te1/2Te1/1 J1

trc-fzj1CRS-3

Karlsruhe JülichDistance447 km

End systems, Administration: KIT, FZJ, 10GE Interface: 10GBase SR

End systems, Administration: DFN, 10GE Interface: 10GBase LR

Single-Mode Fiber

Multi-Mode Fiber

10 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ

kündliche Ping Messungen zwischen den

DFN-Messrechnern erfasst.

Durchführung von UDP- und

TCP-Tests

Damit das System unter realen Produkti-

onsbedingungen aber auch unter Über-

lastsituationen getestet werden konnte,

wurden zwei Verfahren zur Erzeugung von

Testverkehr eingesetzt. Bei einem Test mit

UDP-Verkehr sollte die Strecke vollstän-

dig mit Verkehr ausgelastet werden. Die-

ser Verkehr wurde mit einer so genannten

Routing-Schleife erzeugt, d. h. die Wege-

wahl im Cisco Router war so eingestellt,

dass der Verkehr zum Ursprungsort zurück

übertragen wurde und sich mit weiteren

erzeugten Verkehr im Laufe der Zeit zu

einem größeren Datenvolumen auswei-

tete. Durch die Schleife wurde die Daten-

rate des injizierten Datenstroms bis zum

Faktor 127 multipliziert. Abbildung 2 zeigt

die Datenrate auf der 100 Gbit/s-Strecke

während eines dieser Testläufe. Die Ver-

bindung blieb hierbei auch bei hoher Aus-

lastung stabil.

Das zweite Belastungsszenario sollte mög-

lichst nahe an Produktionsbedingungen

angelehnt sein. Dazu wurden als Endsys-

teme im FZ Jülich und KIT bereitgestellte

und betriebene Rechner mit 10 Gbit/s-In-

terfaces an die Router angeschlossen. Es

handelte sich dabei um Standard Server

verschiedener Hersteller und unterschied-

lichen Alters. Die 10 Gbit/s-Interfaces in den

Rechnern kamen von zwei Herstellern und

waren mit Multi-Mode Interfaces ausge-

stattet. Da die 10 Gbit/s-Ports der Router

nur Single-Mode Interfaces unterstützten,

wurden von Cisco Ethernet-Switches als

Medienkonverter eingesetzt.

Die Endsysteme wurden mit Linux und

den darin enthaltenen Standard TCP-Im-

plementierungen betrieben. Zur Daten-

übertragung mit TCP wurde iperf einge-

setzt. Nach Anpassung der üblichen Kernel-

Parameter für TCP-Datentransfers mit für

Weitverkehrsnetze typischen Paketlaufzei-

ten waren die neuen Systeme in der Lage,

Daten mit bis zu 9,5 Gbit/s zu übertragen.

Lediglich bei vier älteren Rechnern muss-

ten komplexere Anpassungen der Parame-

ter durchgeführt werden. Danach konnte

ein TCP-Durchsatz von bis zu 7,5 Gbit/s er-

reicht werden.

Abbildung 3 zeigt den zeitlichen Ablauf von

einem der Testläufe mit elf gleichzeitigen

Datenströmen zwischen den Endsystemen

über die 100 Gbit/s-Verbindung, wobei die

Volumen der einzelnen Ströme durch un-

terschiedliche Farben dargestellt sind. Die

Datenraten der einzelnen Ströme wurden

nur durch die Hardware der Endsysteme

begrenzt.

Ergebnisse des Tests

Insgesamt zeigten alle Tests auch im mehr-

stündigen Dauerbetrieb ein sehr stabiles

Verhalten des gesamten Systems. In einem

18-stündigen Dauertest akkumulierte sich

das über eine einzelne Wellenlänge über-

tragene Datenvolumen auf 770 Terabyte.

Während des Tests wurden über längere

Zeiträume Auslastungen von 95 Prozent

der theoretisch erreichbaren 100 Gbit/s

erreicht. Die Verfügbarkeit entsprach da-

bei den Erwartungen an ein produktives

System.

Dennoch waren auch kleine „Kinderkrank-

heiten“ spürbar, die jedoch glücklicherwei-

se nur auf den Einsatz von Vorserienmodel-

len zur Kopplung zwischen DWDM-Technik

und Router zurückzuführen waren. Auch

kam es in sehr geringen Umfang zu Bit-

fehlerraten, die jedoch nur in speziellen

Messungen des Paketverlustverhältnisses

sichtbar waren und die Qualität der TCP-

Datenübertragungen nicht beeinflussten.

Darüber hinaus zeigten jedoch sämtliche

Dienstgütemesswerte sehr gute Ergebnis-

se und bestätigten die Erwartungen hin-

sichtlich einer Eignung der 100G-Techno-

logie für den Einsatz im Produktionsbe-

trieb.

Die im Testbed eingesetzten Standardme-

thoden zum Monitoring und zur Fehlersu-

Abb. 2: Verlauf der Datenrate am 100 Gbit/s-Interface eines Routers, bei einer Testparametrisierung, in welcher zeitversetzt eine ansteigende Anzahl von

UDP-Strömen mit jeweils 10 Gbit/s über den 100 Gbit/s-Link generiert wurde (vom SNMP Monitor aufgenommen).

11WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |

che in den Routern und deren 100 Gbit/s-In-

terfaces zeigten, dass die für einen Produk-

tionsbetrieb durch das DFN-NOC benötigte

Software vorhanden ist und gut funktio-

niert. Lediglich bei der Softwareunterstüt-

zung zur Inbetriebnahme der Schnittstel-

len zwischen optischer Technik und Router

zeigten sich noch kleine Lücken. Da beim

derzeitigen Entwicklungsstand der Gerä-

te noch keine ausgereifte Management-

Software verfügbar ist, mussten Konfigu-

rationen vorerst noch händisch und mit

Unterstützung durch den Hersteller vor-

genommen werden.

Die Datenübertragungen zwischen den

Rechnern des FZ Jülich und des KIT zeig-

ten zum einen, dass die heute „von der

Stange“ erhältlichen Server Systeme oh-

ne Probleme in der Lage sind, einzelne TCP-

Datenströme mit Raten nahe bei 10 Gbit/s

über Weitverkehrsstrecken zu generieren

und zu empfangen. Zum anderen konn-

te gezeigt werden, dass die im DFN ein-

gesetzten Ausrüster von Glasfasern, opti-

schen Übertragungssystemen und IP-Ver-

mittlungstechnik zusammen in der Lage

sind, die benötigte Technologie in produk-

tionsreifer Weise bereitzustellen und dass

vor allem die am Markt verfügbaren Fa-

sern „100G fähig“ sind.

Fazit

Auf der Teststrecke wurden im Juli und Au-

gust 2010 Daten über längere Zeiträume

bis zur vollen Kapazitätsgrenze der 100G-

Technologie übertragen. In einem 18-stün-

digen Dauertest wurden über eine einzel-

ne Wellenlänge 770 Terabyte übertragen,

was einem Fassungsvermögen von annä-

hernd 1,2 Millionen CDs bzw. 160.000 DVDs

entspricht.

Die positiven Ergebnisse des Feldversuchs

bestätigen, dass die optische Plattform

der kommenden X-WiN Generation mit

100G-Technologie ausgerüstet werden

kann. M

Abb. 3: Datenraten zwischen den einzelnen, mit 10 Gbit/s-Interfaces angeschlossenen Rechnern in aufsummierter Darstellung. Es zeigt sich das stabile Verhal-

ten fast aller Datenübertragungen. Lediglich ein Datenstrom zwischen zwei Rechnern älterer Bauart (roter Datenstrom) war instabil. In der Summe wurde eine

Auslastung des 100 Gbit/s-Links bis zu ca. 95 Gbit/s erreicht.

Bit

s p

er S

eco

nd

12 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ

X-WiN intern

Text: Bettina Kauth (DFN-Verein), Paul Mies (Fraunhofer Gesellschaft)

Foto: © FabioFilzi - iStockphoto

Der DFN-Verein bietet seinen Anwendern schon seit mehreren Netzgenerationen

die Möglichkeit an, private Verbindungen über das Wissenschaftsnetz zu betreiben.

Die Anforderungen an solche Strukturen sind individuell oftmals verschieden.

Dennoch gibt es grundlegende Konzepte, die zur Implementierung herangezogen

werden können.

13WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |

Foto: © FabioFilzi - iStockphoto

Im Jahr 2009 wandte sich die Fraunho-

fer Gesellschaft (FhG) an den DFN-Verein,

um die Realisierung einer virtuellen FhG-

weiten Infrastruktur auf der Basis des

X-WiNs zu diskutieren. Die Vernetzung der

Institute und Arbeitsgruppen der FhG an

ca. 80 Standorten ist zurzeit über das In-

ternet mit Hilfe unterschiedlicher Provi-

der realisiert. Dabei hat die überwiegen-

de Zahl der FhG-Institute den DFN-Verein

als Dienstleister gewählt. Der Zugang zu

zentral angebotenen IT-Diensten erfolgt

in der Regel über Sterne von IPSec-VPN-

Tunnel. Das Management dieser Tunnel-

strukturen ist aufwändig, fehleranfällig

und skaliert schlecht. Ein Ziel bei der Su-

che nach einer neuen Lösung war, den In sti-

tuten einen Zugang zu zentralen IT-Diens-

ten zu verschaffen und dabei Adress- und

Zugangsregelungen umzusetzen, wie sie

in lokalen Netzen gelten. Natürlich sollte

die angestrebte Lösung robust, skalierbar

und finanzierbar sein. Das Ergebnis war ein

MPLS-basiertes Layer-3-VPN, das zunächst

als Pilotnetz zwischen den Standorten Bir-

linghoven, München und Stuttgart definiert

wurde und das mittlerweile in den Regel-

betrieb überführt wurde.

MPLS (RFC 2547) steht für Multi Protocol

Lable Switching. Wenn man MPLS im OSI-

Referenzmodell abbilden wollte, wäre es

zwischen Link- und Network-Layer, also als

Schicht 2,5 anzusehen. Die Idee, die hinter

MPLS steht, ist die Weiterleitung von Da-

tenpaketen in IP-Netzen anhand von Labels,

die dem ursprünglichen Datenpaket vor-

angestellt werden. Der Labeling-Mechanis-

mus ermöglicht eine Verkehrsweiterleitung

über die vom Internet-Protokoll gesetzten

Paradigmen der eindeutigen Adressierung

und des Destination Based Routings hin-

aus. Somit ergeben sich die Schwerpunkt-

Anwendungen für MPLS: nämlich Traffic-En-

gineering, Aufbau von Virtual Private Net-

works (VPN) und Virtual Leased Lines (VLL).

MPLS ist ein sehr mächtiges Werkzeug, das

eine Vielzahl von bedarfsorientierten Lö-

sungen zum Netzdesign zulässt. MPLS er-

laubt es sozusagen, Netze im Netz zu defi-

nieren. Allen Anwendungsschwerpunkten

gemeinsam ist, dass die Verkehrsvermitt-

lung unabhängig und losgelöst vom Stan-

dard-IP-Routing erfolgt. Die Implementie-

rung eines VPNs oder VLLs erfolgt inner-

halb des Providernetzes. Den Nutzern ei-

ner solchen virtuellen Infrastruktur wird je

nach Ausprägung eine IP- oder eine Layer2-

Schnittstelle zur Verfügung gestellt. MPLS

wird in den angeschlossenen Netzen des

Anwenders nicht benötigt.

Eine Variante der virtuellen Netze stellt

das Layer-3 VPN dar. Wie der Name schon

andeutet, wird dieser VPN-Typ zum Aufbau

einer privaten IP-Infrastruktur verwendet.

In Abbildung 1 soll durch die Layer-3-VPN-

Wolke innerhalb der IP-X-WiN-Wolke dar-

gestellt werden.

Ein Layer3-VPN ist ein in sich geschlosse-

nes Konstrukt, das a priori keinen Über-

gang in das Internet hat. Somit sind we-

der die Übergänge vom Anwender ins VPN

noch die im VPN verwalteten Routen aus

dem Internet erreichbar.

Für den Anwender bedeutet dies, dass er

nicht daran gebunden ist, global eindeu-

tige Adressen für die Kommunikation zwi-

schen den beteiligten Standorten zu ver-

wenden, sondern in seiner Adressvergabe

frei ist. Es können also auch Bereiche aus

dem privaten Adressbereich im VPN verteilt

werden, solange sie innerhalb des VPNs

eindeutig sind. Ebenso sind die Transfer-

netze, die zur Konfiguration der Anwender-

Übergänge ins VPN verwendet werden, aus

dem Internet nicht erreichbar.

In der Regel benötigt der Anwender neben

dem Zugang zum VPN auch einen Zugang

zum Internet. Dieser muss dann parallel

zum VPN-Anschluss über ein eigenes In-

terface geführt werden. Das klingt nach

Materialschlacht, ist es aber nicht, denn

zur Trennung der Anschlüsse sind logische

Subinterfaces ausreichend. Der Austausch

von Routinginformationen zwischen VPN

und Anwender erfolgt über ein Routingpro-

tokoll oder wird statisch konfiguriert. Im

X-WiN wird dazu analog zum Standard-IP-

Dienst das Border Gateway Protokoll (BGP) Abb. 1: Layer-3-VPN der FhG

Birlinghoven

KR

VPN – Zugang

XRX-WiN MPLS-enable

XRXR

KR

Stuttgart

München

KR

FhG-Layer3-

VPN

14 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ

verwendet. Folglich präsentiert sich ein An-

schluss an ein VPN für X-WiN Anwender

wie ein Standard-IP-Anschluss. Abbildung

2 zeigt in einem Beispiel die Konfigurati-

on des VPN-Übergangs beim Anwender-

router (KR) und beim Zugangsrouter des

X-WiN (XR).

Die eigentliche Implementierung des VPNs

geschieht innerhalb des X-WiNs durch die

Definition einer Virtual Routing and For-

warding Instanz oder kurz: VRF. Jede VRF

erhält einen eindeutigen Bezeichner der im

Beispiel in Abbildung 3 „test“ heißt. Das VRF

muss auf jedem XR konfiguriert werden,

an dem Teilnehmer des VPNs angeschlos-

sen sind. Die Zugangsinterfaces zum VPN

auf den XRs werden dem VRF zugewiesen.

Damit sind sie aus der globalen X-WiN Rou-

tingtable entfernt. Nun müssen die Rou-

ten, die im VRF verteilt werden, noch so

markiert werden, dass sie dem VRF zuge-

ordnet werden können und überdies lokal

eindeutig sind. Dazu wird ein Route-Dis-

tinguisher (rd) definiert, der den Routen

im VRF als Community Attribut vorange-

stellt wird. Mit Hilfe des Route-Target (rt)

wird festgelegt, welche Routen lokal dem

VPN zugeordnet werden. Darüber mag man

sich erst einmal wundern, da doch zu er-

warten ist, dass dies die im VRF definier-

ten Routen sind. Allerdings erlaubt es die

Route-Target Konstruktion Übergänge zwi-

schen VRFs (und damit VPNs) zu schaffen.

Die Routinginformation des VRF wird mit

Multiprotocol BGP (RFC 2858) zwischen den

beteiligten XRs verteilt. Dies geschieht über

die Definition einer Adress-Family, die es

erlaubt, die Routinginformation des VRFs

parallel zu anderen Adresstypen, wie z.B.

IP unicast zu verteilen. Die drei XRs, die am

FhG-VPN beteiligt sind, sind über MBGP voll

vermascht. Steigt die Anzahl der beteilig-

ten XRs, so werden redundant ausgeleg-

te Route-Reflektoren innerhalb des VRFs

definiert. Damit bleibt die Skalierbarkeit

des VPNs auch bei einer großen Anzahl von

Teilnehmern erhalten.

Das Forwarding innerhalb des VPNs wird

durch MPLS realisiert. Dazu werden zwi-

schen den beteiligten XRs, die im MPLS-Jar-

gon als ProviderEdge-Router (PE) bezeich-

net werden, Label Switched Pathes (LSPs)

aufgebaut. Die benötigte Label-Informati-

on wird mit Hilfe des Label-Distribution-

Protocols (LDP) verteilt. Zur Weiterleitung

von Paketen wird die Zieladresse eines Pa-

ketes am Eingangsrouter des VPNs ausge-

wertet und einem LSP zugeordnet. Dazu

wird dem Datenpaket ein geeignetes La-

bel vorangestellt. Für die Weiterleitung

im Kernnetz wird nur die Labelinformati-

on ausgewertet und entsprechend der lo-

kalen Label-Forwarding-Table jedes Rou-

ters modifiziert. Die Label-Forwarding-Ta-

ble wird dynamisch aufgebaut. MPLS kann

dazu z.B. die Informationen aus dem Inte-

rior Gateway Protokollen auswerten. Am

Ausgangsrouter (PE) wird das Label ent-

fernt und dem Anwender ein reines IP-Pa-

BGPXR-1 XR-2 KRKR-1

10.2.0.0/25AS65072

VPNAS680

XR-1 XR-2 KRKR-1

10.1.0.0/25

VPN

GigEth9/39.100188.1.248.9

KR-1

interface gigabitethernet 1/2.100 description Zugang zu VPN ip adress 188.1.248.10 255.255.255.252

router bgp 65072

no synchronization neighbor 188.1.248.9 remote-as 680 network 10.2.0.0 mask 255.255.255.128

XR-1

interface gigabitethernet 9/39.100 description Interface zum Anwender ip adress 188.1.248.10 255.255.255.252 ip vrf forwarding test

router bgp 680 adress-family ipv4 vrf test

no synchronization neighbor 188.1.248.10 remote-as 65072 neighbor 188.1.248.10 activate neighbor 188.1.248.10 as-override neighbor 188.1.248.10 route-map vpn-in in neighbor 188.1.248.10 route-map vpn-out out

Abb. 2: Konfiguration des VPN-Übergangs beim Anwender und im X-WiN

Abb. 3: Definition des Virtuellen VPN-Routers

XR-1 (XWiN-Router)

interface GigabitEthernet 9/39.100 description Interface zum Anwender ip adress 188.1.248.9 255.255.255.252 ip vrf forwarding test !

ip vrf test rd 680:100

route-target export 680:100 route-target import 680:100

15WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |

ket übergeben. Die Zuordnung des Pake-

tes zum VRF und zum Ausgangsinterface

erfolgt durch Auswertung der Route-Dis-

tinguisher Information und der VRF-Table.

Abbildung 4 zeigt einen Routingeintrag in

der VRF-Table. Neben Route Distinguisher

und Route-Target wird auch die Lable-In-

formation mitgeführt.

Nach so viel Theorie soll nun endlich der

Blick in die praktische Umsetzung erfolgen.

Das FhG-L3-VPN umfasst die Standorte Bir-

linghoven, Stuttgart und München. In der

Pilotphase wurden die redundant ausge-

legten zentralen Server für IP-Telefonie in

München und Stuttgart über das L3-VPN

miteinander gekoppelt. Dieser Test sollte

Auskünfte über Latenzzeiten und Robust-

heit des VPNs unter Anwendungsbedingun-

gen ergeben. Die Ergebnisse entsprachen

in beiden Bereichen voll den Erwartungen.

Die Latenzzeiten hatten sich gegenüber

den bis dato verwendeten IPSec-Tunneln

deutlich verringert und entsprachen den

Latenzzeiten im X-WiN. Ebenso erwies sich

das Konstrukt als sehr robust und gut zu

managen. Ein Grund dafür ist die klare Auf-

teilung der administrativen Zuständigkei-

ten. IPSec–Tunnel werden in der Regel über

mehrere administrative Grenzen hinweg

definiert, so dass die Betreiber solcher Tun-

nel keine volle Sicht (und Einflussnahme)

auf die darunterliegenden Strukturen ha-

ben. Beim Layer3-VPN sind Zuständigkeiten

und Verantwortung zwischen den Betrei-

bern des Weitverkehrsnetzes und der lo-

kalen Netze klar definiert. Das erleichtert

im Fehlerfall die Eingrenzung des Fehlers

enorm. Auf eine Einschränkung eines Lay-

er3-VPNs gegenüber IPSec-Tunneln sei an

dieser Stelle hingewiesen: Ein VPN über Pro-

vidergrenzen hinweg zu implementieren

ist sowohl technisch als auch administra-

tiv mit erheblichen Problemen verbunden

und wird deswegen in der Regel nicht um-

gesetzt. Sollen also weitere Institute an das

FhG-VPN angeschlossen werden, so benö-

tigen diese einen Anschluss an das X-WiN.

Eine Erweiterung des VPNs ist unter diesen

Bedingungen sehr einfach zu handhaben,

da ja dazu lediglich eine Erweiterung des

VRFs um ein Anwenderinterface und die

entsprechenden BGP-Session notwendig

sind. Layer3-VPNs skalieren gut.

Eine weitere Aufgabe für den DFN war, den

Nutzern des Layer3-VPN denselben Service

anzubieten wie sie beim Standard IP-Dienst

implementiert sind. So ist das FhG-VPN in

die 24x7 Überwachung des DFN eingebun-

den. Analog zum IP-Dienst ist neben der rei-

nen Linküberwachung eine Überwachung

des darüber liegenden Dienstes notwen-

dig, um zuverlässige Aussagen über die

Funktion des Links zu haben. Nachdem ei-

ne ICMP-Überwachung durch den exter-

nen Überwacher beim Layer3-VPN nicht

möglich ist, wird stattdessen der Status

der BGP-Session zum Anwender per Simp-

le Network Management Protocol (SNMP)

ermittelt. Ist dieser nicht mehr im Zustand

„established“ wird eine Störung angenom-

men. Da diese Lösung gegenüber der ICMP-

Überwachung einige Vorteile hat, wird sie

mittlerweile auch zur Überwachung von re-

dundant ausgelegten Anwenderanschlüs-

sen an den IP-Dienst verwendet. Natürlich

ist es auch möglich, Anbindungen an das

Layer3-VPN redundant auszulegen. Diese

Option wird derzeit von der FhG noch nicht

genutzt. Wie die Erfahrungen aus dem IP

Dienst zeigen, verringert sich die Ausfall-

wahrscheinlichkeit für den Anwender er-

heblich.

Was bleibt zu sagen? Das FhG-Layer3-VPN

hat sich für die FhG und den DFN als robus-

te und gut zu betreibende Lösung erwiesen.

Sie besticht dadurch, dass sie sich sowohl

beim Anwender als auch beim Netzbetrei-

ber problemlos in die bestehenden Prozes-

se einpasst. Aufgrund der bisherigen po-

sitiven Erfahrungen ist ein mittelfristiges

Ziel der Fraunhofer Gesellschaft, mit Hilfe

des Layer3-VPNs die Anzahl der Perimeter

zum öffentlichen Internet zu verringern

und dadurch die Komplexität und den Auf-

wand für das Management der Fraunhofer

Netzinfrastruktur zu reduzieren. M

Abb. 4: Routingeintrag für das Netz 10.2.0.0/25

xr-1#sh bgp vpnv4 unicast vrf test 10.2.0.0/25 BGP routing table entry for 680:100:10.2.0.0/25,

version 56 Paths: (1 available, best#1, table fhg) Advertised to update-groups: 2 12 188.1.201.66 (metric 260) from 188.1.201.66 (188.1.200.66) Origin incomplete, metric 0, localpref 100, valid, internal best Extended Community: RT:680:100 mpls lables in/out nolabel/729

Netz mit RouteDistinguisher

Route Target Information

MPLS-Label

16 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ

Gestochen scharf – die neue Qualität beim VideokonferenzdienstText: Gisela Maiß (DFN-Verein)

Foto: © jeremias münch - fotolia

17WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |

Die Nutzung des Videokonferenzdienstes DFNVC ist für viele Mit-

arbeiter in den Universitäten und Forschungseinrichtungen in

den letzten Jahren zum festen Bestandteil ihrer Arbeitsgewohn-

heiten geworden. Man trifft sich zu unterschiedlichen Zeiten

und Anlässen, sei es, um sich mit Kollegen über den Fortschritt

in EU-Projekten auszutauschen oder Absprachen mit kommer-

ziellen Partnern zu treffen, sei es, um an Veranstaltungen und

Konferenzen online teilzunehmen. Die Szenarien für die Nut-

zung von Videokonferenzen im Alltag sind vielfältig. Immer mehr

Einrichtungen im DFN-Umfeld haben den Wert dieses Arbeits-

mediums erkannt, so dass inzwischen fast 200 Einrichtungen

den Dienst nutzen.

Je mehr Einrichtungen mit Videokonferenztechnik ausgestattet

sind, desto mehr kommt auch der Gedanke auf: „Ach, das kön-

nen wir am besten alles in einer „VC“ besprechen. Treffen wir uns

doch in der nächsten Woche auf der DFN-MCU unter der Kon-

ferenznummer 0049100979xxxxx.“ Und so hat die Nutzung der

vom DFN-Verein zentral angebotenen Videokonferenztechnik

in den letzten Jahren stark zugenommen. Kernstück des Diens-

tes sind die Multipoint Control Units (MCU), Sternverteiler für

die Video- und Audio-Datenströme in einer Gruppenkonferenz.

Die Kommunikation ist H.323- oder SIP-standardbasiert und so-

mit kompatibel zu einer Vielzahl von Herstellern von Videokon-

ferenzsystemen.

HD ready oder Full HD?

Gerade der Endgerätemarkt hat sich in den letzten Jahren stark

weiterentwickelt und hier insbesondere die Videoqualität. Die-

se Entwicklung ist parallel zu der des Consumer TV-Bereichs er-

folgt, wo Begriffe wie HD ready und Full HD hinlänglich bekannt

sind. Ältere Videokonferenzsysteme bieten eine Standard Defi-

nition (SD) Auflösung an, die bei 768 x 576 Pixel (PAL) oder bei 704

x 480 (4CIF) Pixel liegt. Die neuere Gerätegeneration deckt den

High Definition (HD) Bereich mit Auflösungen von 1280 x 720 Pi-

xel (720p oder HD genannt) ab und die Spitzenprodukte der Her-

steller bieten derzeit als beste Auflösung 1920 x 1080 (1080p oder

Full HD genannt) an. Entscheidend ist auch die Bildwiederhol-

rate, die bei den 720p-Geräten meist bei 30 Bildern pro Sekunde

liegt (30 fps, frames per second) und bei den 1080p-Geräten so-

gar bis 60 fps geht.

Der Marktanteil der im DFN-Umfeld verkauften HD Videokonfe-

renzsysteme mit einer Unterstützung von 720p und einer entspre-

chenden Bildwiederholrate ist stetig gewachsen. Diese Systeme

gehören heute zum Standard und werden schon länger ohne Pro-

bleme von den im DFN eingesetzten MCUs unterstützt. Für die

Unterstützung der HD-Spitzenprodukte wurden jetzt die MCUs

im DFN aufgerüstet. Der DFN-Verein hat sich entschieden, so-

wohl die Port-Kapazität der MCUs um ein Viertel aufzustocken,

als auch alle MCUs mit einem HD 1080p Upgrade auszustatten.

Somit stehen jetzt insgesamt 160 HD Video-Ports für den DFN-

Videokonferenzdienst zur Verfügung.

Spitzenleistung der DFN-MCU

Mit dem Upgrade wird Ihnen als Nutzer des DFNVC-Dienstes ei-

ne deutlich bessere Qualität angeboten, die im Augenblick auf

dem Markt nicht überboten werden kann. Da die eingesetzten

Prozessoren der MCU allerdings limitiert sind, ist derzeit nur ei-

ne asymmetrische 1080p Unterstützung möglich, d. h. die Teil-

nehmer einer Konferenz senden 720p und empfangen von der

MCU ein auf 1080p deutlich verbessertes Video. Auch ältere SD-

Systeme profitieren von dieser Qualitätssteigerung.

Noch ein paar Details für die Experten: Die MCU kann bis zu 1080p

mit 30 fps und einer Bandbreite von 4 Mbps Continuous Presence

im Videostandard H.264 senden. Als Bildschirmformat ist sowohl

4:3 als auch 16:9 möglich. SD und HD Teilnehmer können kombi-

niert an einer VC teilnehmen und erhalten per Transcoding das

für sie optimale Video und Audio. Für die Übertragung von Prä-

sentationen über das Protokoll H.239 steht wie bisher ein zwei-

ter Videokanal zur Verfügung. Mit dem Built-in Streaming Ser-

ver können bis zu 80 Unicast Teilnehmer über die Viewer Real-

Player™ oder QuickTime™ teilnehmen. Ein Text Chat steht beim

Streaming ebenfalls zur Verfügung. Präsentationen können ne-

ben H.239 auch separat über VNC™ übertragen werden oder Sie

nutzen die vom DFN-Verein in die MCU-Webschnittstelle integ-

rierte Lösung des „Collaboration“ über Adobe Connect. Neu ist

ein so genannter Lecture Mode: Dabei wird der Videokanal des

Sprechers automatisch im Vollbild-Modus an alle anderen Kon-

ferenzteilnehmer gesendet. Der Sprecher selbst sieht weiterhin

alle Teilnehmer im Split-Screen-Modus. Und selbstverständlich

ist wie bisher die Verschlüsselung der Konferenzen mit AES En-

cryption und 128 Bit Key nach dem Protokoll H.235 oder die SIP

Encryption möglich.

Einwahl per Telefon

Zusätzlich zu den 160 HD Video-Ports stehen seit kurzem auch

160 Audio-Ports zur Verfügung. Die Einwahl in eine Videokonfe-

renz per Telefon oder die Teilnahme an einer reinen Audiokon-

ferenz ist eine vielgefragte Leistung des DFN-Videokonferenz-

dienstes. Der Zugang erfolgt über die Anwahl des ISDN-H.323-Ga-

teways unter Eingabe der Konferenznummer. Durch die große

Nachfrage war im letzten Jahr auch ein Ausbau der Gateway-Ka-

pazität nötig. Das Berliner Gateway wurde mit einem zweiten

S2M-Anschluss ausgestattet. Das ermöglicht nun die Einwahl

an den beiden Gateways von maximal 15 parallelen ISDN-Video-

konferenzsystemen mit 384 Kbps Bandbreite oder 90 parallelen

Telefonanrufen.

18 | DFN Mitteilungen Ausgabe 79 | November 2010 | WISSENSCHAFTSNETZ

Seit 01.10.2010 sind die ISDN-H.323-Gateways in den Dienst DFN-

Fernsprechen integriert. Für alle Teilnehmer dieses Dienstes ist

die Einwahl in die Gateways ab sofort entgeltfrei. Das gilt auch

für Mobilfunkanschlüsse, die unter den Mobilfunkrahmenver-

trag zwischen DFN-Verein und T-Mobile fallen.

Auswahl von Videokonferenzsystemen

Als Nutzer des Dienstes hat man nun die Qual der Wahl, welches

Videokonferenzsystem denn das richtige für die eigene Anwen-

dungsumgebung ist. Die Angebote der Hersteller gehen von Desk-

top-Lösungen bis zu den Hightech-Spitzensystemen, die schon

vor Jahren unter der Bezeichnung Telepresence auf den Markt

kamen. Damals verstand man darunter noch eine meist propri-

etäre Lösung, die aus einem Multi-Codec mit 3 Kameras und 3

großen Monitoren bestand sowie einer abgestimmten Möbel-

und Raumausstattung. Dies sollte zu einem völlig neuen, reali-

tätsnahem Konferenzerlebnis beitragen, als ob man mit seinem

Kommunikationspartner an einem Tisch sitzt. Aber Achtung, der

Begriff Telepresence ist heutzutage völlig verwaschen und kein

fest definierter Terminus. Es gibt verschiedene Hersteller, die re-

den von Personal Telepresence, Room Telepresence und Immer-

sive Telepresence und diese Bezeichnungen markieren die ge-

samte Palette des Angebots.

Insofern ist es deutlich besser, sich nicht an diesem Begriff zu

orientieren, sondern die Leistungsparameter der Systeme unter

die Lupe zu nehmen und zu vergleichen. Der DFN-Verein und das

Kompetenzzentrum für Videokonferenzdienste (VCC) an der TU

Dresden bieten Ihnen dabei umfangreiche Hilfe an. Viele Hin-

weise finden sich im Videokonferenz-Handbuch, das kapitel-

weise auf dem Webportal des VCC angesehen und herunterge-

laden werden kann. Außerdem steht dort auch eine umfangrei-

che Sammlung von Testberichten der auf dem Markt verfügba-

ren Videokonferenzsysteme zur Verfügung. Aber auch per Mail,

Telefon und an jedem ersten Montag des Monats per Videokon-

ferenz steht das Kompetenzzentrum des DFN-Vereins für Fra-

gen zur Verfügung.

Probieren geht über Studieren

Die Tücke der modernen HD-fähigen Videokonferenzsysteme

steckt oft im Detail. So erzeugen einige Systeme im Zusammen-

spiel mit neuen 100 Hertz LCD-Monitoren Echoprobleme bei der

Audioübertragung. Viele Hersteller ermöglichen es, zunächst ei-

ne Teststellung in der eigenen Umgebung auszuprobieren, was

angesichts der finanziellen Aufwendungen für VC-Technik auch

sehr zu empfehlen ist. Man sollte sich die Systeme vorher ge-

nau anschauen und sich beraten lassen. Für die Ansprechpart-

ner in den Einrichtungen, meist Mitarbeiter der Rechenzentren,

bietet der DFN-Verein als Einstieg in den gesamten Bereich von

H.323, DFNVC-Dienst und Videokonferenzsystemen Schulungen

an. Die Ankündigungen dafür finden sich auf dem VC-Portal des

DFN-Vereins.

Im Übrigen garantiert der DFN-Verein durch die redundante, zen-

trale Infrastruktur des Dienstes eine nahezu 100%ige Verfügbar-

keit. Die Adressierung der Kommunikationspartner erfolgt über

eine weltweite Adressierungsstruktur. Die Konferenzen können

bei Bedarf vom Konferenzveranstalter aufgezeichnet und spä-

ter heruntergeladen werden. Es gibt keine langwierige Reser-

vierungsprozedur oder Konferenzanmeldung, der Dienst steht

den Nutzern ad hoc zur Verfügung und die einmal generierten

Konferenznummern können immer wieder verwendet werden,

so dass man sie gut in die lokalen Adressbücher eintragen kann.

So steht einer Nutzung des Videokonferenzdienstes mit der neu-

en, brillanten Qualität nichts mehr im Wege. M

http://www.vc.dfn.de

http://vcc.zih.tu-dresden.de

E-Mail: hotline@vc.dfn.de

Telefon: 0711-63314-214

weitere Informationen

Foto: © gettyimages

19WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 79 |

Kurzmeldungen

DFNRoaming/eduroam

Der DFN-Verein nimmt derzeit an einem

Pilotprojekt zur Erstellung von Statistiken

für den Dienst eduroam teil. In den Statis-

tiken werden alle Endgeräte gezählt, die

sich über die Top-Level Radius-Server des

DFN-Vereins erfolgreich authentisieren.

Im Juli 2010 konnte damit erstmals präzi-

se festgestellt werden, wie viele Endgerä-

te im Dienst DFNRoaming/eduroam aktiv

waren. Die Zahl betrug im Juli ca. 24.000

aktive Endgeräte. Im August hatten sich

über 30.000 Nutzer erfolgreich über einen

der 15.600 WLAN-Hotspots an mehr als 200

Standorten im DFN authentisieren können.

An Werktagen wurden dabei durchschnitt-

lich 2.200 erfolgreiche Authentifizierungen

registriert. kh

Neue SIM-Karte für iPads

Als neues Leistungsmerkmal von DFNRoa-

ming ist es seit Jahresbeginn möglich, via

UMTS oder über einen von mehr als 20.000

WLAN-Hotspot der T-Mobile in Deutsch-

land Zugang zum Wissenschaftsnetz zu

bekommen. Zur Nutzung dieses Leistungs-

merkmals können die Einrichtungen über

den DFN-Verein die entsprechenden UMTS-

SIM-Karten zusammen mit einer Kennung

zur Nutzung der WLAN-Hotspots erhalten.

Bis Ende Juli waren 387 UMTS-Karten ak-

tiviert.

Für das neue iPad von Apple wird eine neue,

so genannte Micro-SIM-Karte notwendig.

T-Mobile tauscht die alten SIM-Karten kos-

tenlos gegen die neuen Micro-SIM-Karten

aus. Zusätzlich wird kostenlos auch ein

Adapter mitgeliefert, so dass die Micro-

SIM-Karte auch in USB-UMTS-Sticks für den

Laptop genutzt werden kann. Eine gleich-

zeitige Nutzung beider UMTS-Karten (Mi-

cro-SIM und normale UMTS-SIM-Karte) ist

nicht möglich. http://www.dfn.de/dienst-

leistungen/dfnroaming/ kh

Doppelte Bandbreite zwischen X-WiN und GÉANT

Bereits im Juli wurde der GÉANT-Anschluss

des Deutschen Forschungsnetzes in Frank-

furt/Main auf 2x10 Gbit/s ausgebaut. Mit

diesem Ausbau wurde unter anderem

auf die Anforderungen aus internationa-

len Wissenschaftskooperationen reagiert,

die während des ersten Halbjahres 2010

zu einem deutlichen Anstieg des zwischen

europäischen NRENs übertragenen Daten-

aufkommens geführt haben. Das impor-

tierte Datenvolumen aus dem GÉANT be-

trägt derzeit gut ein Petabyte pro Monat,

die exportierte Datenmenge liegt mit 950

TeraByte knapp darunter. kh

Erstmals mehr als 10 Petabyte im Wissenschaftsnetz

Der Traffic im Wissenschaftsnetz X-WiN

hat die 10-Petabyte-Schwelle überschrit-

ten. Insgesamt 10.557 Terabyte wurden im

Oktober 2010 mit dem Dienst DFNInternet

übertragen. Davon wurden an den 490 An-

wenderanschlüssen des X-WiN 5.599 TByte

gemessen. Etwa 500 TByte gingen auf das

Konto von VPNs, der übrige Traffic wurde

über die Peerings zu Netzen anderer Pro-

vider und die Verbindungen in das welt-

weite Internet und zum GÉANT-Backbone

verursacht.

Bislang lag das höchste im X-WiN übertra-

gene Volumen bei 9.403 TByte und wurde im

Mai 2010 gemessen. Noch im Oktober des

Vorjahres hatte das transportierte Daten-

volumen 7.514 TByte betragen. Der jährli-

che Steigerungsfaktor liegt bei 1,4 und ent-

spricht damit den Steigerungsraten, die in

den letzten Jahren im Wissenschaftsnetz

zu beobachten waren. kh

0

2.000

4.000

6.000

8.000

10.000

12.000

14.000

16.000

18.000

03/1

0

12/0

9

08/0

9

05/0

9

02/0

9

10/0

8

07/0

8

04/0

8

01/0

8

09/0

7

06/0

7

03/0

7

11/0

6

08/0

6

0

20

40

60

80

100

120

140

160

180

200

An

zah

l Ein

rich

tun

gen

An

zah

l Sta

nd

ort

e

An

zah

l Acc

essp

oin

ts

Anzahl EinrichtungenAnzahl Accesspoint Anzahl Standorte

Abb. 1: Anzahl an Access-Points, angeschlossenen Einrichtungen und Standorte pro Quartal

20 | DFN Mitteilungen Ausgabe 79 | November 2010 | INTERNATIONAL

Internet2 verbessert internationale Verbindungen

Text: Kai Hoelzner (DFN-Verein)

Atlantisch-Pazifische Vernetzung mit neuen Strecken zwischen Asien, USA und Europa

GÉANT Coverage

ALICE2-RedCLARA Network

EUMEDCONNECT2 Network

TEIN3 Network

BSI Network

UbuntuNet Alliance

CAREN

10 Gbps

5 Gbps2,5 Gbps

1000 Mbps

622 Mbps

155 Mbps

34 - 45 Mbps

geplante n*10 Gbps Leitungen

für ACE und TransPac3

Abb.: Von Dante Ltd. initiierte regionale Netzinitiativen und ihre derzeitige weltweite Vernetzung.

21INTERNATIONAL | DFN Mitteilungen Ausgabe 79 |

Mit 9,2 Millionen Dollar unterstützt die Na-

tional Science Foundation (NSF) die Inter-

nationalen Verbindungen der nordameri-

kanischen Internet2-Initiative. Unter der

Projektleitung der Indiana Universität soll

eine Hälfte des Betrages für den Ausbau

der Verbindungen zum TEIN3 verwendet

werden, mit dem die ostasiatischen For-

schungsnetze untereinander und mit Eu-

ropa vernetzt sind. Die andere Hälfte des

Förderbetrages soll dem Ausbau der Ver-

bindungen zum Europäischen GÉANT die-

nen, das von Dante, der Einrichtung der Eu-

ropäischen NRENs, gemanagt wird.

Ebenso wie einige weitere europäische

Forschungsnetz-Organisationen ist der

DFN-Verein Shareholder von Dante und

damit auch in die internationale Vernet-

zung des Wissenschaftsnetzes maßgeblich

involviert. Neben dem GÉANT betreibt Dan-

te Ltd. ebenfalls das asiatische TEIN3, mit

dem die wissenschaftliche Zusammenar-

beit zwischen dem asiatisch-pazifischen

Raum und Europa vorangetrieben wird.

Unter dem Projekttitel „TransPAC2“ ist das

Nordamerikanische Internet2 derzeit be-

reits mit 10 Gbit/s an TEIN3 angeschlossen.

Die Projektmittel der NSF ermöglichen den

Ausbau dieser Ostasien-Verbindung im Rah-

men des TransPAC3-Projektes. TEIN3 verbin-

det China, Indien, Indonesien, Japan, Korea,

Laos, Malaysia, Nepal, Pakistan, die Philippi-

nen, Singapur, Sri Lanka, Taiwan, Thailand,

Vietnam und Australien untereinander und

mit derzeit zwei 2,5 Gbit/s-Verbindungen

mit Europas Forschungsnetzen.

Der für TransPAC3 geplante Betrieb mehr-

facher 10 Gbit/s Verbindungen, die über Ja-

pan in die USA führen, sowie die Weiter-

führung dieser Verbindung über den Atlan-

tik nach Europa stellt eine echte Verbes-

serung der internationalen Konnektivität

dar. TransPAC3 zeigt, dass das europäische

Engagement zur Vernetzung des asiatisch-

pazifischen Raumes der Region einen ech-

ten Schub gegeben hat und nun tatkräf-

tig und mit leistungsstarken Verbindun-

gen von den USA unterstützt wird.

Die direkte, von Amerika aus initiierte Ver-

bindung nach Europa wird unter dem Na-

men „America Connects to Europe“ (ACE)

projektiert und ergänzt die bestehenden,

jedoch bislang meist durch die europäi-

sche Wissenschaft organisierten Verbin-

dungen zwischen den Forschungsnetzen

Europas und Nordamerikas. Das finanzielle

Engagement der National Science Found-

ation für die transatlantischen und trans-

pazifischen Verbindungen ist Indiz für eine

Trendwende bei der internationalen Ver-

netzung der Wissenschaften.

Wegen der weit früheren Verbreitung von

Wissenschaftsnetzen in den USA wurden

die Verbindungen zwischen Europas und

Nordamerikas NRENs traditionell einseitig

von Europa finanziert. Das erfolgreiche En-

gagement der europäischen Forschungs-

netzorganisationen für einen gemeinsa-

men Backbone, der heute 34 Länder von

Island bis nach Israel und von Finnland bis

nach Portugal miteinander verbindet, so-

wie der Aufbau von Verbindungen nach

Südamerika, Nord-Afrika und Zentralafri-

ka, Zentralasien sowie in den asiatisch-pa-

zifischen Raum, verbunden mit der Einrich-

tung lokaler Backbones zur Förderung der

Vernetzung in diesen Regionen, hat Europa

zur weltweit führenden Region in Fragen

der Wissenschaftsvernetzung gemacht.

Neben der symbolischen Bedeutung der

massiven Förderung ihrer internationa-

len Konnektivität bringt „ACE“ aber auch

sehr konkrete Vorteile für beide Seiten.

Zum einen schlagen die Kosten für trans-

atlantische Verbindungen erheblich zu Bu-

che, zum anderen werden sie in Folge im-

mer häufigerer Kooperationen bei wissen-

schaftlichen Großprojekten deutlich öfter

nachgefragt.

Zugleich stellt die US-Initiative auch eine

Stärkung des Europäischen Forschungs-

Backbone dar, der mit den verbesserten

transatlantischen Verbindungen für die na-

tionalen Europäischen Forschungsnetze

noch attraktiver wird. Das Engagement

der Amerikaner belegt, dass Dante in Eu-

ropa erster Ansprechpartner ist, wenn es

um die internationale Vernetzung der Wis-

senschaft geht. M

weitere Informationen

Internet2

Das Internet2 wurde 1996 von der University Corporation for Advanced Inter-

net Development (UCAID) initialisiert. Mehr als 300 Wissenschaftseinrichtun-

gen sind in den USA an das Internet2 angeschlossen. Es unterhält auf seinen

wichtigsten Strecken mehrfache 10 Gbit/s-Verbindungen. Gemanagt wird das

Internet2 durch die Indiana University.

TEIN3

TEIN ist ein regionales Forschungs- und Bildungsnetzwerk in Asien, das nach

dem europäischen Netzwerk-Modell GÉANT geschaffen wurde. Der Gedanke,

ein transeurasisches Informationsnetz (TEIN) zu schaffen, wurde bei dem euro-

päisch-asiatischen Gipfeltreffen (ASEM) im Jahr 2000 gefasst. TEIN3, die jüngste

Generation des Netzes, bietet eine Bandbreitenkapazität mit Geschwindigkei-

ten bis zu 2,5 Gbit/s. Die EU und die asiatischen Partner stellen dafür Finanz-

mittel in Höhe von 18 Millionen Euro zur Verfügung. Derzeit sind 15 Länder im

asiatisch-pazifischen Raum an das Netz angeschlossen, die über TEIN3 mit 5

Gbit/s mit dem GÉANT verbunden sind. Gemanagt wird TEIN3 durch Europas

Forschungsnetzorganisation Dante Ltd., die unter anderem vom DFN und einer

Reihe weiterer nationaler Forschungsnetzorganisationen gegründet wurde.

22 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS

23CAMPUS | DFN Mitteilungen Ausgabe 79 |

CampusStudentennetze

von Kai Hoelzner

Der neue Personalausweis ist da

von Jens Fromm

Der neue Personalausweis – erste Ergebnisse

des offenen Anwendungstests

von Jan Mönnich

Kurzmeldungen

24 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS

Viele der Studentenwohnheime sind heute direkt an das Rechenzentrum der Univer-

sität angeschlossen. Wer im Karlsruher Hans-Diekmann-Kolleg, im Braunschweiger

„Affenfelsen“ oder im Aachener „Dorf“ zu Hause ist, ist nicht nur tiefer in das aka-

demische Leben seiner Hochschule integriert als manch ein „Externer“, sondern er

verfügt auch zu Hause über einen direkten Zugang zum lokalen Netz der Hochschule

und zum Wissenschaftsnetz. Daraus ergeben sich weit reichende Möglichkeiten, Wis-

sensressourcen zu nutzen und an netzgestützten Formen der Lehre teilzunehmen.

Viele Studentenwohnheime sind heute direkt an das Rechenzentrum der Universität

angeschlossen. Wer im Karlsruher Hans-Diekmann-Kolleg, im Braunschweiger „Affen-

felsen“ oder im Aachener „Dorf“ zu Hause ist, ist nicht nur tiefer in das akademische

Leben seiner Hochschule integriert als manch ein „Externer“, sondern er verfügt auch

zu Hause über einen direkten Zugang zum lokalen Netz der Hochschule und zum Wis-

senschaftsnetz. Daraus ergeben sich weitreichende Möglichkeiten, Wissensressour-

cen zu nutzen und an netzgestützten Formen der Lehre teilzunehmen.

Studentennetze

Text: Kai Hoelzner (DFN-Verein)

25CAMPUS | DFN Mitteilungen Ausgabe 79 |

Initiativen wie die „Arbeitsgemeinschaft

Dresdner Studentennetz“, das Braunschwei-

ger „MichaelisNet“ oder die „Netz-AK Tübin-

gen“ treiben seit vielen Jahren den Auf- und

Ausbau lokaler Fasernetze voran und organi-

sieren Netzzugänge in studentischer Selbst-

verwaltung. Organisiert werden die „Studen-

tennetze“ teils in Eigenregie, teils unter der

Ägide der Studentenwerke und immer in en-

ger Zusammenarbeit mit den Rechenzen-

tren der Hochschulen.

Basistechnologie für viele der Studenten-

netze ist Ethernet. Mehr als 5000 Bewohner

von Studentenheimen gehen in Bochum

über Gigabit-Anschlüsse ins Netz, die di-

rekt in die Häuser hineinreichen. Statt mit

2 Mbit/s asymmetrischer DSL-Kapazität

ist man in Bochum ebenso wie in Braun-

schweig oder Dresden mit symmetrischen

100 Mbit/s im Netz unterwegs. In Bonn, wo

das Studentenwerk 4300 Studierende mit-

tels eines eigenen, 60 Kilometer langen 10

GE-Backbone versorgt, werden die Zimmer-

anschlüsse in den Wohnheimen derzeit be-

reits auf 1 Gbit/s aufgerüstet. Wohnheime,

die nicht über Fasern mit dem Rechenzen-

trum verbunden sind, können entweder

über eine Richtfunkstrecke (meist im Stan-

dard 802.11a oder 802.11n) oder über eine

Laserstrecke angebunden werden, wobei

Laserstrecken jedoch bei längeren Distan-

zen nur eingeschränkt nutzbar sind und

sich überdies anfällig für Schnee und Ne-

bel zeigen. Bei gutem Wetter jedoch bie-

ten sie gegenüber Richtfunk eine deutlich

höhere Bandbreite.

Do-it-Yourself – Selbst ist der Surfer

Der Nutzen von Studentennetzen be-

schränkt sich nicht nur auf die Erschlie-

ßung neuer Arbeits- und Kommunika-

tionsmöglichkeiten im Studium. Der in

Eigenregie organisierte Aufbau und Be-

trieb lokaler Netze vermittelt den Stu-

dierenden zugleich auch ganz prakti-

sche Kompetenzen. Dazu gehören der

aktive Betrieb von Netztechnik wie auch

die Betreuung der Mitbewohner als „Sup-

porter“, das Einrichten und die Admini-

stration von Webseiten oder das Verfas-

sen von Anleitungen zur Konfiguration

von Rechnern und Programmen für die

verschiedenen Betriebssysteme. Einbli-

cke eröffnen sich ebenfalls in die Verwal-

tung von Nutzer-Accounts, das Kostenma-

nagement und nicht zuletzt in die Grün-

dung und Organisation eines Vereins.

In einigen Fällen steht nicht nur der Be-

trieb von Netztechnik auf der Aufgabenlis-

te, sondern auch die Erstinstallation von

Fasern, Routern und Switches. So konn-

ten etwa die Bewohner des Braunschwei-

ger Michaelishofes auf keine vorhandene

Netzwerk-Infrastruktur in den Häusern zu-

rückgreifen. Die Installation der gesamten

Netztechnik im Haus wurde im Jahr 1999

von einem eigens gegründeten Netzwerk-

Verein, dem Michaelisnet e.V., in Eigenre-

gie durchgeführt. Von der Verlegung der

Dark Fiber über die Installation der Rou-

terschränke bis hin zum Anklemmen der

Anschlussdosen wurde das Netz von den

Studierenden mit erheblichem Aufwand

selbst aufgebaut. Nachdem die größten

Wand- und Deckendurchbrüche noch von

ortsansässigen Handwerkern gestemmt

wurden, galt es, mit Bohrhämmern Kanä-

le von Zimmer zu Zimmer zu öffnen, durch

die die Kabelstränge Etage für Etage durch

das Haus geführt werden konnten. Bei 130

Zimmern mit jeweils zwei Leitungen zu

acht Adern führten am Ende dieser fast

gänzlich unter dem Motte „Do-it-Yourself“

stehenden Kabelarbeiten schließlich mehr

als 2000 einzelne Leitungen auf die Patch-

Panels in den Betriebsräumen der verschie-

denen Häuser des Michaelishofs. „Leider“,

so der lakonische Bericht von der Erstin-

stallation auf der Webseite des Michaelis-

net, „war das Wohnheim nicht komplett

unterkellert, so dass es zwischen den Häu-

serteilen keine Verbindung gab. Um das

Glasfaserkabel zwischen den einzelnen

Stationen verlegen zu können, mussten

wir diese Verbindung erst schaffen.“ Einen

Eindruck, was darunter zu verstehen ist,

vermittelt die Fotostrecke auf der Websei-

te des akademischen Netz-Vereins. Bildun-

terschriften wie „Graben ausschachten“,

„Wanddurchbruch“ oder „abschließen-

de Pflasterarbeiten“ lassen erahnen, wie

weit das Engagement der Braunschwei-

ger Studenten beim Aufbau des eigenen

Netzes ging, bis schließlich der erste zen-

trale Wohnheim-Server für Mail- und FTP-

Dienste und der erste eigene Router in Be-

trieb gehen konnten.

Geschichte der Studentennetze

Dass man auf Seiten der Studierenden

viel Freizeit in die Netze steckt und selbst

Schwielen und Muskelkater in Kauf genom-

men hat, um die heimische Studierstube

zu verdrahten, erklärt sich auch historisch:

Eine große Zahl studentischer Netzinitiati-

ven wurde bereits Mitte der 90er Jahre ge-

gründet, zu einer Zeit also, als das Internet

noch weit von seiner heutigen Bedeutung

entfernt war. In Greifswald, Göttingen und

in vielen anderen Universitätsstädten fan-

den sich bereits Mitte der 90er Jahre Stu-

dierende zusammen, um das noch junge

Medium Internet möglichst vielen Kommi-

litonen zur Verfügung zu stellen. In Göttin-

gen beispielsweise wurde diese Initiative

schon früh vom Studentenwerk aufgegrif-

fen. In Kooperation mit der GWDG und der

Universität Göttingen wurde zum 1. Okto-

ber 1996 die Internet-AG gegründet. Wur-

den die Göttinger Wohnheime zunächst

mit der damals neuen Technik ADSL ange-

schlossen, nahm man 1999 die Schaufel in

die Hand, um das erste Wohnheim, die „Pa-

penburg“ direkt per Lichtwellenleiter an

das Göttinger Wissenschaftsnetz GÖNET

anzuschließen. Seit 2000 sind alle Systeme

im Göttinger Studentennetz in das „Stu-

dierenden-VLAN“ integriert. Darüber hin-

aus versorgt die heute als studIT bekannte

Initiative alle Studierenden der Universi-

tät Göttingen mit Internet-Accounts und

Foto links: Wo keine Glasfasern verfügbar sind,

werden Studentenheime mit Richtfunk oder per

Laserstrecke an das Hochschulnetz angeschlos-

sen. Als höchster Punkt des Braunschweiger Uni-

Geländes stellt das Hochhaus der Bauingenieure

den idealen Standort für die Laserstrecke dar.

26 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS

E-Mail-Adressen sowie mit dem entspre-

chenden Support.

Traffic

Ein kritisches Thema für Studentennetze

ist das Datenvolumen, das den Nutzern

zur Verfügung steht. Es ist das Anliegen

eines Rechenzentrums, innovative Kom-

munikationsformen wie Videokonferen-

zen, IP-Telefonie und andere multimedia-

le Technologien zu unterstützen und die

Kompetenz der Studierenden im Umgang

mit Rechnern und Netzen zu fördern. Die

Nutzungsrichtlinien vieler Rechenzen-

tren sind dabei so gestaltet, dass sie sich

an den originären, wissenschaftlichen

Zwecken der Studentennetze orientieren.

Vielerorts gibt es daher Traffic-Begrenzung,

wie etwa in Dresden, wo das wöchentliche

Limit sechs Gigabyte beträgt, wobei einge-

hender und ausgehender Verkehr zusam-

mengerechnet werden. Wer sich der 6-GB-

Schwelle nähert, erhält bei 80% seines er-

laubten Wochenvolumens einen Hinweis

per E-Mail. Darüber hinaus kann der indivi-

duelle Verbrauch mittels eines einfachen

Customer-Network-Management-Systems

laufend überprüft werden. Wird mehr als

die erlaubte Menge Datenverkehr verur-

sacht, wird beim ersten Verstoß eine Sper-

re für die nächsten 7 Tage verhängt. Ab

dem dritten Verstoß wird für die jeweils

folgenden 30 Tage gesperrt, wobei inter-

ner Traffic, also die direkten Verbindungen

von und zu den IP-Adressen der Hochschu-

le, nicht mitgerechnet wird.

Dass der Traffic der Studentenheime in

den Rechenzentren ein Thema ist, zeigt

auch das Beispiel Erlangen. Durchschnitt-

lich 3,5 Gigabyte stehen den Studenten pro

Woche zur Verfügung. Täglich werden da-

bei 500 Megabyte zum bisherigen Gutha-

ben hinzu addiert. Da dieses Modell ins-

besondere nach den Semesterferien zu

einer erheblichen Ansammlung von Gut-

haben führen würde, ist das maximale

Guthaben auf 5 Gigabyte begrenzt. Doch

auch wenn das Gigabyte-Guthaben aufge-

braucht ist, bleibt ein Basis-Dienst mit ge-

drosselter Bandbreite erhalten. Für die nö-

tige Transparenz sorgt in Erlangen ein von

den Studierenden entwickeltes Tool, das

als Webinterface genutzt oder als Widget

für den Desktop heruntergeladen werden

kann und für Windows ebenso verfügbar

ist wie für Mac OS X und Linux.

Mehr als nur Netz

Nicht nur beim Auf- und Ausbau der Cam-

pus-Netze und bei der Bereitstellung von

Internet-Services haben sich die studenti-

schen Netzinitiativen zu wahren Schwer-

gewichten entwickelt. Nahezu alle Angele-

genheiten von bzw. in Studentenwohnhei-

men werden heute netzbasiert organisiert,

so dass Einrichtungen wie das Studenten-

dorf Aachen oder das Erlangener Erwin-

Rommel-Studentenwohnheim mit seinen

mehr als 300 Appartements das Netz heute

als zentrale Plattform für die Kommunika-

tion der Bewohner und Koordination des

Gemeinschaftslebens nutzen. Die Vorteile

liegen auf der Hand: Auch wenn man prak-

tikums-, ferien- oder studienbedingt nicht

zu Hause ist, bleibt der direkte Draht zur

Hausgemeinschaft bestehen. Anmeldung,

Rückmeldung oder die Planung von Frei-

zeitaktivitäten lassen sich ortsunabhängig

bewerkstelligen. Hinzu kommen vielerorts

engagierte und durchdachte Mehrwert-Ser-

vices wie der zentrale Scanner im Wohn-

heim, der die Scans automatisiert auf die

Mailbox des einzelnen Nutzers schickt, der

Netzwerkdrucker oder das Open-Source-

Programmpaket, das auf den Servern vie-

ler akademischer Initiativen in der stets

aktuellsten Version bereitsteht.

Auf der Webseite des Dresdner Studen-

tennetzes etwa finden sich nicht nur de-

taillierte Anleitungen zur Installation von

Netz, Middleware und Desktop-Program-

men für alle gängigen Betriebssysteme,

27CAMPUS | DFN Mitteilungen Ausgabe 79 |

sondern auch nützliche „Mehrwert-Diens-

te“ wie Webmailer, die stets aktuellen Wer-

te der universitätseigenen Wetterstation,

der digitale Wegweiser über den Campus

der Universität oder der „Abfahrtsmoni-

tor“ für die Bushaltestellen rund um das

Wohnheim.

Mit Projekten wie „Virtueller Hörsaal“ oder

dem „Bibliotheksmodul“, das die direkte

Bibliotheksrecherche aus dem Wohnheim-

Netz heraus vorantreibt, begleitet der 1997

gegründete Ilmenauer Forschungsgemein-

schaft elektronischer Medien e.V. das The-

ma Studentennetze sogar durch eigene

wissenschaftliche Aktivitäten, die spezi-

fisch auf die Anforderungen der Studie-

renden zugeschnitten sind.

Studentennetztreffen

Zum Erfahrungsaustausch und zur ge-

meinsamen Interessenvertretung finden

seit 2004 jährliche Studentennetztreffen

statt, die – programmatisch den DFN-Be-

triebstagungen nicht unähnlich – Fragen

rund um den Betrieb von Studentennetzen

thematisieren. Netzwerksicherheit, artge-

rechte Wurm- und Virenbekämpfung, Ac-

counting oder Traffic-Management stehen

dabei ebenso auf der Tagesordnung wie die

Klärung rechtlicher Fragen, der Umgang

mit Trouble-Ticket-Systemen oder die Be-

deutung des Datenschutzes bei Nutzerver-

waltung und Netzmanagement. Natürlich

kommt kein Studentennetztreffen ohne

die „obligatorische“ Besichtigung der lo-

kalen Betriebsräume und das abendliche

Get Together aus.

Eine gute Link-Sammlung zu den Studen-

tennetzen in Deutschland bietet die Sei-

te http://www.studentennetze.de, die ein

Verzeichnis von Initiativen und eine Über-

sicht über die bisherigen Tagungen der Stu-

dentennetzwerker bietet. Je nach Inter-

essenlage gelangt man von hier aus mit

drei Klicks zur Topologie des Chemnitzer

CSN, zur Benutzerordnung des Stralsunder

„Holzhausen Network“ oder zum Kicker-

tisch der Mittweidaer Informatiker. M

Die Installation des MichaelisNet am Braun-

schweiger Michaelishof wurde von den

Studierenden fast vollständig in Eigenregie

durchgeführt.

Foto oben: Auflegen der Kabel am Patchfeld.

Linke Seite

Foto links: Einrichten der Laser-Strecke auf dem

Dach des Hochhauses der Bauingenieure.

Fotos rechts: Einrichten eines Zugangs für die

Verbindung der einzelnen Häuser.

Rechte Seite

Foto oben links und rechts: Wanddurchbrüche

im Heimwerker-Verfahren.

Foto unten links: Fertig belegte Patch-Felder für

den Netzwerk-Schrank.

Foto unten rechts: Abschließende Pflasterarbei-

ten auf dem Hof des Wohnheims.

28 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS

Der neue Personalausweis ist da

Text: Jens Fromm (Fraunhofer FOKUS)

Foto: © Fraunhofer FOKUS

29CAMPUS | DFN Mitteilungen Ausgabe 79 |

Wer ab November zu seinem Bürgeramt geht, um einen Personal-ausweis zu beantragen, wird einen neuen, scheckkartengroßen Personalausweis erhalten. Der neue Personalausweis mit Chip ist ein großer Fortschritt, denn seine altbewährte Sichtausweis-Funktion wird nun in die virtuelle Welt übertragen. Die Online-Ausweisfunktion ermöglicht eine sichere und vertrauenswür-dige Identifikation im eBusiness und eGovernment für alle Bür-ger. Ausweisinhaber können sich überall dort sicher elektronisch ausweisen, wo Identitätsdaten erforderlich sind – sowohl gegen-über Behörden zur Beantragung bestimmter Verwaltungsdienst-leistungen als auch gegenüber privatwirtschaftlichen Dienst-leistungsanbietern, beispielsweise beim Online-Shopping oder -Banking. Außerdem besitzt der neue Personalausweis auch ei-ne Unterschriftsfunktion mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz und kann das dazugehörige Signaturzertifikat speichern.

Der neue Personalausweis en detail

Der neue Personalausweis hat die Größe einer Scheckkarte. Ge-

fertigt wird er aus dem stabilen Material Polycarbonat. Die Vor-

derseite ziert das Bild des Bundesadlers und auf der Rückseite

ist das Brandenburger Tor als Symbol der deutschen Einheit ab-

gebildet.

Um Fälschungssicherheit zu gewährleisten, hat das neue Doku-

ment zahlreiche Sicherheitsmerkmale, unter anderem Hologram-

me, Kippbilder sowie einen Sicherheitsfaden. Die individuellen

Personendaten werden per Laser auf eine der inneren Karten-

schichten graviert. Oberflächenprägungen, spezielle Druckfarben

und komplexe Linienmuster (Guillochen) erschweren das Kopie-

ren zusätzlich. Auf der Rückseite ist neben den Sicherheitsmerk-

malen das Logo des neuen Personalausweises aufgedruckt.

Die beiden sich ergänzenden Halbkreise stehen für das Prinzip

des gegenseitigen Ausweisens zwischen Nutzer und Dienstean-

bieter und symbolisieren die Verwendung in der Online- und der

Offline-Welt. Dieses Logo kennzeichnet außerdem Internetanwen-

dungen, Automaten und Lesegeräte, bei denen man den neuen

Personalausweis einsetzen kann.

Prinzipiell werden die aufgedruckten Daten auf einem Chip im

Karteninneren digital hinterlegt – und zwar nur diese. Denn wei-

tere Daten werden weder erhoben noch gespeichert. Auf freiwil-

liger Basis können die Ausweisinhaber auch zwei Fingerabdrü-

cke aufnehmen lassen. Der berührungslos auslesbare Ausweis

vereint in sich drei elektronische Funktionen.

Online-Ausweisfunktion (Elektronischer

Identitätsnachweis)

Für Online-Anwendungen von Dienstleistern aus eBusiness und

eGovernment können sich Nutzer mit ihrem Personalausweis

jetzt im Internet anmelden und registrieren, d. h. sicher und au-

thentisch bestimmte persönliche Daten aus ihrem Ausweis über-

mitteln. Außerdem kann so auch die sichere Nutzung an Auto-

maten (z. B. zur Altersbestätigung) und Zutrittssystemen (z. B.

Firmengelände) mit dem neuen Dokument und dessen Funktio-

nen ermöglicht werden. Zugriff auf die persönlichen Daten des

Ausweisinhabers haben nur jene Dienstleister, die eine staatli-

che Berechtigung bei der Vergabestelle für Berechtigungszerti-

fikate beantragt und das Berechtigungszertifikat erhalten ha-

ben. Die Berechtigung gilt nur für Daten, die für den Geschäfts-

zweck des Dienstes erforderlich sind. Beispielsweise benötigt

eine Onlinevideothek im besten Fall nur die Altersverifikation,

Abb. 2: Im Inneren des neuen Personalausweises ist ein Chip untergebracht,

der die Daten des Ausweisinhabers sichert.

Abb. 1: Das Logo auf der Rückseite kennzeichnet ab November 2010 Internet-

anwendungen, Automaten und Lesegeräte, die mit dem neuen Personalaus-

weis genutzt werden können.

30 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS

um das Erreichen eines bestimmten Alters des Ausweisinhabers

nachzuweisen. Generell werden nur Daten an die Dienstanbie-

ter übermittelt, wenn der Ausweisinhaber dies mit der Eingabe

seiner sechsstelligen PIN bestätigt. Der Einsatz der Online-Aus-

weisfunktion des neuen Ausweises ist sowohl für die Ausweis-

inhaber als auch für die Anbieter von Diensten freiwillig.

Die Online-Ausweisfunktion des neuen Personalausweises ba-

siert auf dem Prinzip des gegenseitigen Ausweisens, damit beide

Seiten der Identität ihres Gegenübers vertrauen können (Abbil-

dung 3). Auf diese Weise authentifizieren sich sowohl der Nutzer

als auch der Anbieter gegenseitig sicher und valide.

Unterschriftsfunktion (Elektronische

Signaturfunktion)

Die Unterschriftsfunktion ist für das rechtsverbindliche Unter-

zeichnen elektronischer Dokumente und E-Mails vorgesehen. Im

Gegensatz zur Online-Ausweisfunktion dient sie nicht dem Iden-

tifizieren von Personen, sondern dem elektronischen Signieren

von Dokumenten. So ermöglicht sie im Internet den Abschluss

von verbindlichen und rechtswirksamen Transaktionen, die die

Schriftform erfordern. Personalausweisinhaber können ein ent-

sprechendes Zertifikat für die qualifizierte elektronische Signa-

tur auf den Ausweis nachladen. Ausgeliefert wird der Ausweis

jedoch immer ohne dieses Zertifikat. Es kann bei Anbietern von

Zertifizierungsdiensten, die von der Bundesnetzagentur zuge-

lassen sind, kostenpflichtig erworben werden.

Hoheitliche Ausweisfunktion

Die hoheitliche biometrische Ausweisfunktion ist ausschließ-

lich den zur Identitätsfeststellung berechtigten Behörden, al-

so z. B. Polizei-, Grenz- und Zollkontrollen, vorbehalten. Nur sie

können neben den Angaben zur Person auch auf das Lichtbild

und die ggf. erfassten Fingerabdrücke zugreifen. Im Gegensatz

zum elektronischen Identitätsnachweis und der elektronischen

Signaturfunktion ist diese Funktion bzw. das biometrische Fo-

to Pflicht. Freiwillig können zwei Fingerabdrücke auf dem Chip

gespeichert werden.

Datenschutz und Datensicherheit

Bei der Nutzung der elektronischen Funktionen des neuen Per-

sonalausweises wird besonderer Wert auf Datenschutz, Daten-

sicherheit und die Wahrung der informationellen Selbstbestim-

mung gelegt. Alle Informationen und Übertragungen werden mit

international anerkannten und etablierten Sicherheitsprotokol-

len geschützt. Dies sind insbesondere PACE (Password Authenti-

cated Connection Establishment) und EAC (Extended Access Con-

trol), bestehend aus Terminal- und Chipauthentisierung.

Das PACE-Protokoll ist ein kryptographisches Protokoll und dient

dem Aufbau eines verschlüsselten und integritätsgesicherten

Kanals zwischen Kartenlesegerät und Ausweis-Chip.

Die Terminalauthentisierung ermöglicht dem Ausweis-Chip zu

verifizieren, ob der Diensteanbieter berechtigt ist, auf die Daten

des elektronischen Identitätsnachweises zuzugreifen. Dies er-

folgt auf der Basis der erteilten Berechtigungszertifikate.

Die Chipauthentisierung ermöglicht es, die Echtheit des Aus-

weis-Chips und damit auch der auf dem Chip gespeicherten Da-

ten nachzuweisen. Des Weiteren dient die Chipauthentisierung

dem Aufbau eines stark gesicherten Ende-zu-Ende-Kanals zwi-

schen Ausweis-Chip und Diensteanbieter. Erst wenn der sichere

Abb. 3: Sowohl Bürger als auch Diensteanbieter können sich bei Nutzung des neuen Personalausweises auf die Identität ihres Gegenübers verlassen.

Wer ist die anfragende Person?

Ist das Unternehmen

real?

BürgerInnen Diensteanbieter

Bürger weist sich mitneuem PA aus

Diensteanbieter weistsich mit Berechtigungs-zertifikat aus

31CAMPUS | DFN Mitteilungen Ausgabe 79 |

Ende-zu-Ende-Kanal aufgebaut ist, kann auf die Daten im Chip

zugegriffen und diese übermittelt werden.

Diese Protokolle und ihr Zusammenwirken werden in der Tech-

nischen Richtlinie BSI-TR-03110 beschrieben (Abbildung 4).

Der Anwendungstest

Bereits vor der Einführung des neuen Personalausweises wur-

den seine Funktionen ausführlich getestet. Dazu hat das Bun-

desministerium des Innern bereits am 01. Oktober 2009 einen

Anwendungstest gestartet, in dem über 200 Unternehmen und

Verwaltungen die elektronischen Funktionen des neuen Aus-

weises erprobten, damit bereits jetzt schon Anwendungen für

den neuen Personalausweis zur Verfügung stehen. Als zentra-

le Anlaufstelle und InfoPoint rund um den neuen Personalaus-

weis dient seitdem das Test- und Demonstrationszentrum im

Fraunhofer-Institut FOKUS. Im Test- und Demonstrationszentrum

werden in entsprechenden Laborumgebungen die Nutzung des

neuen Personalausweises und die Integration der notwendigen

Komponenten in unterschiedliche Anwendungen getestet. Da-

zu gehören u.a. der Aufbau von Szenarien und die Demonstrati-

on der technischen Infrastruktur, wie zum Beispiel AusweisApp

und eID-Server. Außerdem werden hier ausgewählte Pilotpro-

jekte unterschiedlicher Diensteanbieter vorgestellt. Das Test-

und Demonstrationszentrum befindet sich im Fraunhofer-In sti-

tut FOKUS in Berlin.

Wie können Unternehmen und Bürger vom

neuen Personalausweis profitieren?

Der neue Personalausweis eröffnet völlig neue Gestaltungsmög-

lichkeiten für Online-Dienste, die wiederum zu Kostensenkun-

Weitere Informationen

zum neuen Personalausweis:

www.personalausweisportal.de

zu den Anwendungstests:

www.ccepa.de

Abb. 4: Informationen und Übertragungen werden beim neuen Personalausweis durch das Zusammenwirken von PACE-Protokoll,

Terminalauthentisierung und Chipauthentisierung geschützt.

gen, Vereinfachung, Effizienz und Service-Qualität führen. Die

Online-Ausweisfunktion ist für alle Unternehmen, aber auch für

Behörden interessant, für deren Geschäftsprozesse eine Über-

prüfung der Identität erforderlich ist. Die Unternehmen profi-

tieren von einer sicheren Übermittlung und dem Erhalt valider,

authentischer Daten und können gleichzeitig einen besseren

Service für ihre Kunden bieten.

Mithilfe der Unterschriftsfunktion können Unternehmen und öf-

fentliche Behörden Prozesse nun vollständig und medienbruch-

frei ins Internet verlagern, die bisher noch den persönlichen oder

postalischen Austausch von Dokumenten erfordern. Das führt

wiederum zur Verschlankung dieser Geschäftsprozesse. Auch die

Innovationsimpulse durch die Erschließung neuer Geschäftsmo-

delle und die Erweiterung der bestehenden Internetangebote

dürfen hier nicht vergessen werden.

Aufgrund der verkürzten und zeitsparenden Abläufe profitieren

auch die Bürgerinnen und Bürger, die mit einer schnelleren Bear-

beitung rechnen können. Nicht zuletzt muss hier auch die Stär-

kung des Vertrauens erwähnt werden, die durch den gegensei-

tigen Identitätsnachweis zwischen Kunden und Anbietern ge-

fördert wird. M

Password Authenticated •

Connection Establishment

- PACE

Terminalauthentisierung•

Passive Authentisierung•

Chipauthentisierung•

32 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS

Der neue Personalausweis – erste Ergebnisse des offenen AnwendungstestsText: Jan Mönnich (DFN-CERT)

Foto: © homebredcorgi - iStockphoto

33CAMPUS | DFN Mitteilungen Ausgabe 79 |

Nach Betrachtung der Grundlagen des

neuen Personalausweises im Artikel „Der

neue Personalausweis ist da“ und neben

aller Kritik (siehe beispielsweise Veröffent-

lichungen vom CCC) ist es nun an der Zeit,

die Frage zu stellen: Welchen Mehrwert

bringt der neue Ausweis z. B. im DFN-Um-

feld und welche Probleme könnte er lösen?

An praktisch allen DFN-Einrichtungen gibt

es Vorgänge, die nicht nur ein beliebiges

Benutzerkonto erfordern, sondern die Veri-

fizierung einer realen Identität verlangen.

Ein Beispiel: Das Ausstellen eines digita-

len Zertifikats in der DFN-PKI erfordert ei-

ne persönliche Identifizierung anhand ei-

nes Ausweises. Der neue Personalausweis

könnte hierbei eine Remote-Identifizierung

ermöglichen oder die Übernahme der per-

sönlichen Daten durch direktes Auslesen

aus dem Chip effizienter gestalten und da-

bei gleichzeitig die Fälschungssicherheit

durch Kryptografie verbessern. Aber auch

einfachere Anwendungsszenarien sind

eine Betrachtung wert: Der Ausweis kann

das Anmelden bei vielen verschiedenen

(Web-) Anwendungen auf Basis einer

2-Faktor-Authentifizierung (Besitz und

Kenntnis der PIN) ermöglichen.

Der offene Anwendungstest

Um herauszufinden, was die neuen Aus-

weisfunktionen wirklich bringen und wie

diese in der Praxis genutzt werden können,

hat der DFN-Verein an dem offenen Anwen-

dungstest des neuen Personalausweises

teilgenommen. Ziel der Teilnahme an den

bis zum 31. Oktober 2010 zeitlich begrenz-

ten Tests war, den Einsatz des neuen Per-

sonalausweises in relevanten Anwendun-

gen und Prozessen innerhalb des DFN zu

erproben. Dazu wurde eine exemplarische

Web-Anwendung entwickelt, die Daten aus

dem Ausweis auslesen und diese zur Bean-

tragung und Ausstellung eines Zertifikats

in der DFN-PKI nutzen kann. Es wurden da-

bei alle Schritte nachvollzogen, die ein An-

bieter in der Praxis durchlaufen muss, um

den neuen Personalausweis als Mittel der

Authentifizierung in seinen Online-Diens-

ten zu integrieren.

Zunächst wurden mehrere Testausweise

mit unterschiedlichen Daten bezüglich Na-

men, Anschrift und Alter sowie der Stan-

dardkartenleser SCL011 (auch im so genann-

ten IT-Sicherheitskit enthalten) über das

„Kompetenzzentrum neuer Personalaus-

weis“ besorgt. Dieses Kompetenzzentrum

ist eine Anlaufstelle für alle technischen

und organisatorischen Fragen während des

offenen Anwendungstests. Es werden dort

Informationen zu aktuellen Entwicklungen,

Dokumentationen sowie ein Forum zum

Erfahrungsaustausch bereitgestellt.

Um die persönlichen Daten aus den Aus-

weisen auslesen zu können, musste als

nächster Schritt ein Berechtigungszerti-

fikat beschafft werden. Berechtigungszer-

tifikate können während des Anwendungs-

tests über das Kompetenzzentrum in ver-

schiedenen Varianten beantragt werden:

Eintrittskarte, Kundenkonto, Wohnortab-

frage, Pseudonym und Altersverifikation.

Die Wahl der Variante beeinflusst, welche

Daten der Anbieter aus einem Ausweis aus-

lesen darf (Abbildung 1) und muss daher

sorgfältig auf das eigene Anwendungssze-

nario abgestimmt sein. Eine tabellarische

Übersicht der Varianten mit den zugehö-

rigen auslesbaren Daten hilft bei der Aus-

wahl. Da der offene Anwendungstest, an-

ders als im späteren echten Betrieb, kei-

ne hohen Sicherheitsanforderungen stellt,

wird das ausgestellte Berechtigungszer-

tifikat nach einem formlosen Antrag per

verschlüsselter E-Mail an den Anbieter ge-

sendet.

Die Sicht des Anbieters

Um nun die Daten aus dem neuen Personal-

ausweis auslesen zu können, muss der An-

bieter Zugriff auf einen eID-Server haben.

Da der Aufwand zum Betreiben eines eige-

nen eID-Servers aufgrund der notwendigen

Spezial-Software und der Sicherheitsan-

forderungen sehr hoch ist, kann auch ein

Drittanbieter genutzt werden, der sich auf

das Hosting von eID-Servern spezialisiert

hat. Neben der Bundesdruckerei gibt es ei-

ne Reihe von weiteren Anbietern für die-

sen Zweck, die in dem Portal des Kompe-

tenzzentrums gelistet sind. Für den eige-

nen Test wurde die Firma „bremen online

Services GmbH (BOS)“ kontaktiert, die mit

ihrem Produkt „Governikus Autent“ eine

Lösung für Identitätsmanagement mit in-

tegriertem eID-Server geschaffen hat. Da-

Abb. 1: Freigabe der persönlichen Daten bei Nutzung des neuen Personalausweises für elektronische

Transaktionen im Netz

34 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS

mit eine Konfiguration eingerichtet wer-

den konnte, mussten das Berechtigungs-

zertifikat sowie ein frei wählbarer Name

für die Konfiguration per verschlüsselter

E-Mail an BOS geschickt werden.

Für die Nutzung des neuen Personalauswei-

ses sind die eigenen (Web-)Anwendungen

um einen neuen Programmcode zu ergän-

zen. Dazu stellt BOS erfreulicherweise eine

Java-Bibliothek inklusive Beispielquelltex-

ten zur Verfügung, mit der die Entwicklung

stark beschleunigt werden konnte. Ledig-

lich die Parameter für die Kommunikati-

on mit dem eID-Server sowie die Prüfung

der zurückgegebenen Daten mussten noch

selbst implementiert werden. Die „Tech-

nische Richtlinie eID-Server“ des BSI be-

schreibt zwei Verfahren, über die der An-

bieter mit dem eID-Server kommunizieren

kann, die beide von Governikus Autent un-

terstützt werden (siehe Kasten „Technik“).

Unabhängig von dem gewählten Verfahren

muss auf der Seite des Nutzers während

des Anmeldeverfahrens eine Anwendung

gestartet werden, die mit dem eID-Server

kommuniziert. Die Firma BOS hat hier ein

eigenes Java-Applet entwickelt, das nicht

lokal installiert werden muss, sondern im

Browser ausgeführt wird. Diese Vorgehens-

weise eignet sich besonders für Web-An-

wendungen, da der Nutzer das Browser-

Fenster nicht verlassen muss.

Die Sicht des Nutzers

Der Nutzer wird aus der Web-Anwendung

zum Zweck der Identifizierung auf eine Sei-

te mit dem Java-Applet umgeleitet, wird

dort aufgefordert seinen Personalausweis

auf den Kartenleser zu legen und wählt

selbst, welche der vom Anbieter geforder-

ten persönlichen Daten ausgelesen und

gesendet werden sollen. Der notwendige

Zeitaufwand liegt dabei, abgesehen von

dem ersten Start des Java-Applets, durch-

aus in einem tolerablen Bereich. Alle per-

sönlichen Daten bleiben auf dem Weg vom

Personalausweis zum eID-Server verschlüs-

selt und werden auf dem Weg vom eID-

Server zur Web-Anwendung so verschlüs-

selt, dass nur der Anbieter sie wieder ent-

schlüsseln kann.

Der neue Personalausweis bietet eine Be-

sonderheit, wenn nur eine Anmeldung an

einer Webseite unterstützt werden soll: Bei

einer Anmeldung wird der Nutzer nicht da-

zu aufgefordert seine persönlichen Daten,

sondern lediglich sein „dienste- und kar-

tenspezifisches Kennzeichen“ freizugeben.

Dieses wird durch Daten aus dem Berech-

tigungszertifikat und dem Ausweis gene-

riert. Dadurch ist ein und dieselbe Person

bei verschiedenen Anbietern niemals unter

dem gleichen Kennzeichen bekannt, was

verhindern soll, dass Anbieter sich zusam-

menschließen können, um dadurch Kun-

denprofile zu erstellen.

Fazit

Aus technischer Sicht hat der neue Perso-

nalausweis das Potential, das allseits wün-

schenswerte „Single Sign On“ umzusetzen.

Durch die 2-Faktor-Authentifizierung ist der

neue Personalausweis sicherer als ein nor-

males Benutzerkonto und das mit vielen

Vorteilen aus Datenschutzsicht. Denkba-

re Anwendungsszenarien reichen von ei-

ner Anmeldung bei Web-Anwendungen wie

beispielsweise dem DFN-CERT Portal oder

einem Typo3-System bis hin zu einer Alter-

native zu der persönlichen Identifizierung

in der DFN-PKI. Die erfolgreiche Implemen-

tierung im Rahmen des Anwendungstests

hat gezeigt, dass solche Szenarien mit we-

nig Aufwand umgesetzt werden können

(Abbildung 2 und 3).

Abb. 2: Start des Identifizierungsvorgangs mit Hinweis auf eine Umleitung

Abb. 3: Übernahme der persönlichen Daten für die Zertifizierung

35CAMPUS | DFN Mitteilungen Ausgabe 79 |

Aber gerade aufgrund des amtlichen

Charakters des Dokuments steigt natür-

lich auch der Schaden im Fall eines Miss-

brauchs. Da ist es bedauerlich zu hören,

dass der Bund die so genannten IT-Sicher-

heitskits, mit denen der Einsatz des neu-

en Personalausweises gefördert werden

soll, mit einem einfachen Kartenlesege-

rät ohne PIN-Eingabefeld ausstatten will.

Die PIN muss über die Tastatur eingege-

ben werden und kann daher von Spiona-

Die Technik hinter den Kulissen

Die Kommunikation zwischen einem Anbieter und ei-

nem eID-Server ist in dem Dokument „Technische Richt-

linie eID-Server” (BSI-03130) spezifiziert und erfolgt ent-

weder über SOAP- oder SAML-Nachrichten. Beide For-

mate müssen gesichert über das HTTPS-Protokoll aus-

getauscht werden.

Die Variante über SAML erfolgt gemäß dem „Web Brow-

ser SSO Profile“ von OASIS, wobei der Betreiber des eID-

Servers die Rolle des Identity Providers einnimmt. Die

(Web-)Anwendung des Anbieters (Service Provider) er-

stellt auf Nutzerwunsch nach Authentisierung eine ver-

schlüsselte und signierte SAML-Authentisierungsanfrage.

Die Verschlüsselung und Signatur erfolgen dabei mittels

XMLDSIG und XML-Encryption unter der Verwendung von

X.509-Zertifikaten, denen beide Kommunikationspartner

vertrauen. Auch die SAML-Antwort ist so verschlüsselt,

dass sie nur der Anbieter mit seinem privaten Schlüssel

entschlüsseln kann.

Als Alternative kann die Kommunikation über SOAP erfol-

gen. Dabei ruft die Anwendung des Anbieters eine Funk-

tion über SOAP bei einem eID-Server auf, die den Start ei-

ner Authentisierung signalisiert und die auszulesenden

Daten als Parameter übergibt. Dann muss die Anwen-

dung für die Kommunikation zwischen Ausweis und eID-

Server gestartet werden (Java-Applet) und der Nutzer be-

ginnt mit der Freigabe seiner persönlichen Daten. Paral-

lel dazu fragt die Anwendung des Anbieters periodisch

per SOAP bei dem eID-Server nach, bis ein Ergebnis der

Authentisierung vorliegt, also bis der Nutzer die Interak-

tion mit der eCardAPI-Anwendung beendet hat. Die Ver-

schlüsselung erfolgt bei der Variante über SOAP auf der

Transportebene durch Nutzung von SSL/TLS.

Die Kommunikation zwischen dem Kartenleser und dem

eID-Server erfolgt nach der eCard-API und ist deutlich

komplexer. Ein Anbieter kann hier im Normalfall jedoch

auf bestehende Software setzen, wie z. B. das Java-Applet

von BOS. Detailliertes Wissen über diese Kommunikati-

on ist daher normalerweise auf der Seite des Anbieters

nicht erforderlich.

geprogrammen mitgelesen werden. Grö-

ßere Hürden sind jedoch auf der organi-

satorisch rechtlichen Seite zu erwarten:

Für jede Anwendung und jede Einrichtung

muss ein eigenes Berechtigungszertifikat

beantragt und der Grund für das Auslesen

von bestimmten Daten gut argumentiert

werden. Ob sich so innerhalb des DFN An-

wendungen für den neuen Personalaus-

weis etablieren lassen und ob diese auf

positive Resonanz stoßen werden, bleibt

abzuwarten. In jedem Fall wird der DFN-

Verein die Entwicklung rund um den neu-

en Personalausweis aufmerksam verfolgen

und steht allen technisch interessierten

Anwendern im DFN als Ansprechpartner

hierzu unter dfnpca@dfn-cert.de zur Ver-

fügung. M

Kurzmeldungen

Vierzig Jahre GWDG

Im Oktober feierte die Gesellschaft für wissenschaftliche Da-

tenverarbeitung mbH Göttingen (GWDG) ihr 40-jähriges Beste-

hen. Als Hochschulrechenzentrum für die Georg-August-Univer-

sität Göttingen und als Rechen- und IT-Kompetenzzentrum für

die Max-Planck-Gesellschaft besitzt die GWDG eine lange Tradi-

tion. Bereits 1970 wurde die GWDG mit je hälftiger Beteiligung

vom Land Niedersachsen, vertreten durch die Universität Göt-

tingen, und von der Max-Planck-Gesellschaft (MPG) mit dem für

die damalige Zeit sehr innovativen Ziel gegründet, Synergien in

der Informationsverarbeitung durch den gemeinsamen Betrieb

eines Rechenzentrums zu realisieren.

War die GWDG anfangs noch ein reines Rechenzentrum, das im

Wesentlichen Großrechnerleistung zur Verfügung stellte, wan-

delte sie sich im Laufe der Jahre immer weiter zu einem moder-

nen IT-Kompetenzzentrum und IT-Dienstleister für Forschung und

Lehre. Zu ihrem heutigen umfangreichen Leistungsspek trum ge-

hören vor allem Mail- und Kommunikationsservices, Datenspei-

Wissenschaftsnetze schreiben sich in die Geschichtsbücher ein

Anfang der 1970er Jahre wurden in der DDR sowjetische Groß-

rechner vom Typ BESM 6 installiert. Dieser Computer war damals

mit einer Million Rechenoperationen pro Sekunde der schnells-

te des Ostblocks. Um die Kapazitäten dieser Rechner optimal

auszunutzen, wurde am Zentrum für Rechentechnik in den Aka-

demie-Standorten Zeuthen und Berlin-Adlershof und an der TU

Dresden ein Rechnernetzwerk entwickelt. Damit konnten um-

fangreiche Rechenjobs zwischen den Hochleistungscomputern

aufgeteilt werden.

Das Rechnernetz DELTA ging 1979 mit zwei Knoten in Betrieb und

wurde 1981 auf fünf Knoten erweitert. Das Herzstück des Net-

zes bildeten Großrechner in Adlershof, Berlin-Buch, Zeuthen und

Dresden, die durch Modems über Standleitungen miteinander

verbunden wurden. Mit dem eigens entwickelten Kommunika-

tionssystem KOMET konnten Datenpakete mit einer Geschwin-

digkeit von 48 Kilobit/s übertragen werden. Nach Prag gab es ei-

ne Testverbindung mit 1,2 Kilobit/s.

Die Ausstellung „Weltwissen - 300 Jahre Wissenschaft in Berlin“,

die im September im Berliner Martin-Gropius-Bau eröffnet wur-

cherung und -sicherung und Netzservices. Sie betreibt das Göttin-

ger Übertragungsnetzes GÖNET und das Funk-LAN „GoeMobile“

mit derzeit 300 Access-Points. Derzeit sind insgesamt 25.000 End-

geräte an das GÖNET angeschlossen. Ebenfalls bei der GWDG an-

gesiedelt ist das Göttinger Grid-Ressourcenzentrum „GoeGrid“,

das die Speicher- und Rechenressourcen der Göttinger Grid-Pro-

jekte bündelt.

Die GWDG verwaltet heute 34.000 Mailboxen, 500 virtuelle Web-

server und 350 weitere virtuelle Server. Neben dem Hosting der

Internet-Plattform Stud.IP der Universität, über die derzeit 23.000

Göttinger Studierende mit IT-Leistungen versorgt werden, unter-

hält die GWDG 18.000 Benutzerkonten. Basis vieler Dienstleis-

tungen sind 4.620 Rechenkerne (Cores) mit 16,2 TeraByte Haupt-

speicher und einer Gesamtleistung von 46 TeraFlop/s in mehre-

ren Hochleistungs-Rechenclustern. Die GWDG ist mit 5 Gbit/s an

das X-WiN angeschlossen.

Kai Hoelzner

de, präsentiert neben vielen weiteren Exponaten auch das Rech-

nernetz DELTA. Die Ausstellung versteht sich als Höhepunkt des

Berliner Wissenschaftsjahres. Eine Konvergenz mehrerer Wis-

senschaftsjubiläen bilden den Hintergrund der Ausstellung. Ber-

lin blickt 2010 auf zweihundert Jahre Humboldt-Universität und

dreihundert Jahre Charité zurück. Ebenfalls dreihundert Jahre ist

die Gründung der Akademie der Wissenschaften her.

Gemeinsam mit ehemaligen Kollegen von der TU Dresden und

dem heutigen DESY Zeuthen hat der DFN-Verein für die Ausstel-

lung Schaltkarten des Großrechners BESM6, Netztopologien und

Fotografien zum Einsatz des Rechners im ehemaligen Zentrum

für Rechentechnik in Zeuthen beigesteuert.

In weiteren Präsentationen wird neben dem Modell des ersten

Zuse-Rechners auch auf die Entwicklung der Rechnernetze ein-

gegangen. In einer Vitrine wird unter der Überschrift „Knoten

statt Zentren: Vernetztes Rechnen“ über die Beiträge der Berli-

ner Wissenschaftler zur Entwicklung der Rechnernetze in bei-

den Teilen der Stadt informiert.

36 | DFN Mitteilungen Ausgabe 79 | November 2010 | CAMPUS

Ehrung für deutschen Shibboleth-Propagandisten Ruppert

Für seinen Beitrag zur Entwicklung von Technologien für Biblio-

theken wird Hans-Adolf Ruppert, stellvertretender Direktor und

Leiter des IT-Dezernats der Universitätsbibliothek Freiburg, mit

dem „Library Hi Tech Award“ ausgezeichnet. Der Preis wird an

Persönlichkeiten verliehen, die einen wichtigen Beitrag zur Ent-

wicklung von Technologien für Bibliotheken geleistet haben.

Ruppert wurde wegen seiner seit Jahrzehnten erfolgreichen Ar-

beit in der Entwicklung von innovativen IT-Lösungen für das Bi-

bliothekswesen nominiert. Er ist Initiator und Gesamtleiter von

„ReDI – Regionale Datenbank-Information Baden-Württemberg“

(www.redi-bw.de) und eine der treibenden Kräfte beim Aufbau

der DFN-AAI. Das Redi-Portal eröffnet den Zugang zu rund 700

bibliographischen, Volltext- und Fakten-Datenbanken. Darüber

hinaus ist Ruppert einer der zentralen Protagonisten bei der Ein-

führung von Shibboleth in Deutschland. Shibboleth ist ein Au-

thentifizierungs- und Autorisierungsverfahren, das in der DFN-

AAI ortsunabhängig Zugriff auf lizenzierte Ressourcen, wie z. B.

Datenbanken oder elektronische Zeitschriften, auf verteilten

Dokumentenservern ermöglicht, ohne dass sich Nutzer mehr-

fach anmelden müssen.

Kai Hoelzner

Anlass der Präsentation ist, dass von Berlin aus immer wieder

wichtige Impulse für die Entstehung von Computernetzwerken

in Deutschland ausgingen. Während das DELTA-Netz seit Mit-

te der 1970er Jahre an der (Ost-)Berliner Akademie der Wissen-

schaften entwickelt wurde, startete im Westteil der Stadt 1974

das HMI-NET des Hahn-Meitner-Instituts im experimentellen Be-

trieb, dessen Nachfolger BERNET bereits vier Forschungseinrich-

tungen vernetzte.

Die Ausstellung ist noch bis zum 9. Januar 2011 geöffnet. Infor-

mationen unter: www.weltwissen-berlin.de

Hans-Martin Adler, Dr. Jürgen Rauschenbach

Abb. 1: Schaltkarte des Großrechners BESM 6 (um 1970). Anfang der 70er Jahre wurden in der DDR sowjetische Großrechner vom Typ BESM 6 installiert.

Der Transistorcomputer war mit einer Million Rechenoperationen pro Sekunde der schnellste Computer des Ostblocks.

© Deutsches Elektronen-Synchrotron DESY, Foto: Eberle & Eisfeld, Berlin.

37CAMPUS | DFN Mitteilungen Ausgabe 79 |

38 | DFN Mitteilungen Ausgabe 79 | November 2010 | SICHERHEIT

DNSSEC reloaded

Text: Kai Hoelzner (DFN-Verein), Holger Wirtz (DFN-Verein)

Foto: © sto.E - photocase

Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Rechnerna-

men in eine vom Computer verarbeitbare IP-Adresse umgewandelt. Es ist sozusagen

das Telefonbuch des Internets. Derzeit wird die Information, welcher Rechnername

in welche IP-Adresse aufzulösen ist, unverschlüsselt und unsigniert gespeichert und

übertragen. Deswegen können auf dem Transportweg beziehungsweise durch Cache-

Manipulation in den zur Auflösung verwendeten Nameservern Veränderungen vorge-

nommen und Nutzer auf manipulierte Seiten gelenkt werden.

39SICHERHEIT | DFN Mitteilungen Ausgabe 79 |

Foto: © sto.E - photocase

Zusammen mit dem Verband der deutschen

Internetwirtschaft e.V. (eco) und der DENIC

(Deutsches Network Information Center)

startete das Bundesamt für Sicherheit in

der Informationstechnik (BSI) im vergan-

genen Jahr eine Initiative, die dieses Pro-

blem lösen soll. Ziel ist es, die Sicherheit

im DNS durch Einführung von Signatu-

ren (DNSSEC) zu verbessern. Um operati-

ve und technische Erfahrungen mit DNS-

SEC zu sammeln, nimmt der DFN-Verein

an dem Testbed teil.

Wie funktioniert das DNS?

Das Internet, wie wir es heute kennen, ba-

siert auf dem DNS. Dieses kann man sich

als global verteiltes Telefonbuch vorstel-

len, das die weltweit eindeutigen Domain-

namen (z. B. www.dfn.de) einer IP-Adresse

(z. B. 194.95.237.15) zuordnet. Die Domain-

namen dienen dabei lediglich einer ver-

einfachten Schreibweise, intern werden

von den beteiligten Systemen IP-Adres-

sen verwendet.

Damit nicht alle Anfragen auf einem ein-

zigen Server landen, ist das DNS hierar-

chisch aufgebaut. Der Namensraum wird

in so genannte Zonen aufgeteilt. Für www.

dfn.de sind das nach der obersten Hierar-

chie (Root) die Server für Deutschland (.de)

und dann die Server des DFN (.dfn.de). Die

Zuständigkeiten der Zonen werden in der

Hierarchie delegiert.

Wenn ein Nutzer die Webseite www.dfn.de

aufrufen will, wird der Nameserver seines

Internetanbieters alle Stufen der obigen

Hierarchie nacheinander abfragen. Jede

Stufe, die die Antwort nach der Zieladres-

se nicht kennt, gibt einen Hinweis auf die

nächst tiefere Stufe. Der Server zuunterst

in der Hierarchie kann am Schluss die Fra-

ge nach der Adresse beantworten.

Gefährdung des DNS durch „Poisoning“

Die Protokolle des DNS stammen aus der

„Frühzeit“ des Internet, als Sicherheit noch

verwalter in das System eingepflegt hat.

DNSSEC ermöglicht dem bei einem Name-

server anfragenden Computer zu erkennen,

ob die Antwort nach einer Internet-Adres-

se im DNS tatsächlich von jenem Server

kommt, der als zuständig eingetragen ist.

Gleichzeitig wird gewährleistet, dass die-

se Antwort beim Transport über das Inter-

net nicht verändert wurde. Vereinfacht ge-

sagt: DNSSEC ist eine Art Versicherung, die

dem Internetnutzenden garantiert, dass

nur diejenige Webseite angezeigt wird, die

er aufrufen will. Ebenso wie das Cache-

Poisoning vom Nutzer nicht bemerkt wird,

bleiben auch die Gegenmaßnahmen dis-

kret im Hintergrund. Wem der Nameser-

ver über DHCP mitgeteilt wird, aber auch,

wer ihn manuell eingetragen hat, ist au-

tomatisch geschützt, sofern der Betreiber

des Nameservers sein System auf DNSSEC

umgestellt hat.

Allerdings bringt die Einbettung einer Pu-

blic-Key-Infrastruktur (PKI) in die Abfrage-

Verfahren der DNS nicht nur Lösungen mit

sich, sondern stellt die Betreiber von Na-

meservern vor einige neue Aufgaben. Ne-

ben technischen Anforderungen entstehen

wiederkehrende organisatorische Anforde-

rungen an die lokalen Betriebsabläufe. Ins-

besondere Schlüssel müssen regelmäßig

erneuert werden. Administratoren werden

dabei zwar durch Tools unterstützt, den-

noch ist die Schlüsselpflege schon aus

Gründen der Betriebssicherheit nicht au-

tomatisierbar. Für die Generierung und

Aufbewahrung der Schlüssel sollte eine

einheitliche Policy verfolgt werden, denn

wenn der private Schlüssel gleich neben

den zu signierenden Daten auf dem Na-

meserver liegt, hat ein Hacker keine Pro-

bleme, falsche Daten nach außen als au-

thentisch auszuliefern.

Das DNSSEC-Testbed

Die Einführung einer PKI für DNS-Anfragen

lässt sich nicht einfach über Nacht in ein

laufendes System integrieren. Zum einen

stellen die Security-Verfahren die Rechen-

nicht zu den primären Problemen im Netz

zählte. Die relative Schutzlosigkeit ermög-

licht Angriffsszenarien wie das so genann-

te Cache-Poisoning, womit das „Vergiften“

von DNS-Servern mit falschen Adress-In-

formationen bezeichnet wird.

Cache-Poisoning stellt keinen direkten An-

griff auf den einzelnen Nutzer dar, son-

dern korrumpiert eine ganze Infrastruk-

tur, der der Nutzer naturgemäß vertraut.

Ein Angriff wird daher in aller Regel für

den Nutzer unsichtbar bleiben. Nutzer wer-

den durch gefälschte Einträge im DNS z. B.

auf fingierte Webseiten einer Bank gelei-

tet. Arglos verwendete PIN- und TAN-Num-

mern können dabei von Kriminellen erbeu-

tet werden. Aber auch andere Anwendun-

gen wie Mail-, VoIP- oder Storage-Applika-

tionen können mittels Cache-Poisoning

korrumpiert werden.

Cache-Poisoning, also die Manipulationen

von DNS-Daten, kann von Angreifern auf

mehreren Wegen erreicht werden. Ent-

weder wird die ursprüngliche Anfrage be-

lauscht, um direkt darauf antworten zu

können. Alternativ können massenweise

Antworten generiert werden, um zufällig

eine passende DNS-Antwort auf eine ak-

tuelle DNS-Anfrage zu erzeugen. Der drit-

te Fall ist eine Mischung aus beiden: Bei

einem rekursiven Nameserver wird eine

Anfrage gestellt, die der Nameserver nicht

beantworten kann. Dieser wird selbst ak-

tiv und schickt Anfragen an die zuständi-

gen Nameserver. Der Angreifer kann diesen

Ablauf nutzen, um gefälschte „Antworten“

der Nameserver einzuschleusen.

Mit DNSSEC gegen DNS-Korruption

Die Kernidee der Sicherheitserweiterung

durch DNSSEC ist so einfach wie wirkungs-

voll. DNSSEC ist eine Protokollerweiterung,

die das DNS um Quellenauthentisierung

ergänzt. Hierbei lässt sich mittels Public-

Key-Technologie sicherstellen, dass eine

Antwort des DNS exakt den Informationen

entspricht, die der verantwortliche Zonen-

40 | DFN Mitteilungen Ausgabe 79 | November 2010 | SICHERHEIT

zentren vor neue Aufgaben, die untersucht

und bewältigt werden müssen. Zum an-

deren sind Fragen zwischen Registraren,

etwa zwischen dem DFN-Verein und der

DENIC zu klären. Möchte eine Hochschu-

le DNSSEC nutzen, muss ein standardisier-

ter Betriebsablauf zur Schlüsselverteilung

zwischen Anwender, DFN-Verein und DE-

NIC als Verwalter der .de-Zone eingehal-

ten werden.

Ein besonderer Vorteil von DNSSEC ist,

dass keine zentrale Schlüsselverwaltung

notwendig ist. Jede Einrichtung kann ih-

re eigenen Schlüssel erzeugen und muss

dabei nur sicherstellen, dass diese der

übergeordneten Instanz bekannt sind.

Der öffentliche Teil eines willkürlich von

einer Einrichtung generierten Schlüssels

müsste beim DFN-Verein hinterlegt wer-

den. Der DFN-Verein registriert dann die-

sen öffentlichen Schlüssel des Anwenders

bei dem DENIC. Die Gültigkeitsdauer ei-

nes Schlüssels richtet sich üblicherweise

nach der Schlüssellänge. Die für DNSSEC

generierten Schlüssel sollten einmal im

Jahr erneuert werden.

Nicht nur an die Betriebsabläufe, sondern

auch an die Hard- und Software des Inter-

net stellt DNSSEC neue Anforderungen. Na-

meserver gehören technisch gesehen zu

den zentralen und stabilen, aber auch „äl-

testen“ Bestandteilen des Internets. Als

etablierte Basistechnologie stellt die Ver-

waltung der Domainnamen nur geringe An-

forderungen an die Leistung der verwende-

ten Hardware. Durch die Einführung kryp-

tografischer Funktionen im DNSSEC stei-

gen diese Anforderungen an die Systeme.

Um wieviel die Anforderungen an die Ser-

ver steigen, stellt ein wichtiges Untersu-

chungsfeld des Testbeds dar.

Auch auf den einzelnen Nutzer können

Hardware-Probleme zukommen. Am Markt

gibt es wenig Information zu DNSSEC-ge-

eigneten Geräten. Viele DSL- oder Kabel-

Router, welche gleichzeitig als DNS-For-

warder, DHCP-Server und teilweise noch

als Switch oder Wireless-LAN-Router ver-

wendet werden, unterstützen DNSSEC

noch nicht oder nur bedingt.

Schlussendlich soll im Testbed vor allem

das Zusammenspiel einzelner Beteiligter

eingeübt werden.

Teilnahme am Testbed

Seit dem 2. März 2010 bietet DENIC für Se-

cond-Level-Domains unter .de die Möglich-

keit, am DNSSEC-Testbed teilzunehmen

und das zugehörige Schlüsselmaterial zu

hinterlegen. Wesentliche Voraussetzung

zur Teilnahme am Testbed ist der Einsatz

einer DNSSEC-fähigen Nameserver-Soft-

ware für die eigene Domain.

Der DFN-Verein hat deshalb gängige Ser-

versoftware (ISC-Bind-9.7.x) sowie Tools zur

Schlüsselgenerierung und Verwaltung (zkt-

tools-1.x) ausprobiert. Weiterhin wird die

Schnittstelle für die Registrierung von Do-

mains beim DENIC um DNSSEC-Funktionen

erweitert und getestet. Ebenso müssen die

einzelnen Abläufe der Lebenszeit einer Do-

main entsprechend geprüft werden: An-

meldung, Datenänderung, Schlüsselaus-

tausch, Serverwechsel, Ummeldung und

Löschung. Weiterhin registriert der DFN-

Verein für Nutzer, die selbst DNSSEC tes-

ten möchten, Domains, die auch im Test-

bed benutzt werden können bzw. kann

für vorhandene Domains Schlüsselmate-

rial beim DENIC hinterlegen.

Einrichtungen, die sich für das Thema DNS-

SEC interessieren oder eine Beteiligung am

Testbed planen, können sich unter der Mail-

adresse dnssec@dfn.de an den DFN-Verein

wenden. Gemeinsam können dann offene

Fragen diskutiert und die technischen Vo-

raussetzungen zur Teilnahme an Testbed

geschaffen werden. M

root

.de

nic.de dfn.de Antwortungültig

Achtung!UngültigeAntwort

Antwortgültig

DNS Server

Internet-anbieter

dfn.de

ww

w.d

fn.d

e?

ww

w.d

fn.d

e?

ww

w.d

fn.d

e?

ww

w.d

fn.d

e?

Mit DNSSEC erkennt der Nameserver Ihres Internetanbieterseine durch Cache-Poisoning veränderte Hierarchie.

Nutzer

Antwortgültig 2

3

4

15

Text: Dr. Marcus Pattloch (DFN-Verein)

Sicherheit aktuell

Netzwerkprüfer mit neuen Funktionen

Der Netzwerkprüfer im DFN-CERT Portal (https://www.cert.dfn.

de/nwp/) steht seit der 53. Betriebstagung mit neuen Funktio-

nen zur Verfügung. Mit dem Netzwerkprüfer kann eine Einrich-

tung die eigenen (und nur diese!) Netzbereiche von außen prü-

fen. Eine Liste erreichbarer Systeme und offener Ports wird dann

angezeigt. Neu sind die Möglichkeiten, Scans regelmäßig wie-

derholen zu lassen sowie Scan-Ergebnisse über die Webober-

fläche des Netzwerkprüfers miteinander zu vergleichen. So wer-

den nicht nur Veränderungen aufgezeigt, sondern es kann auch

geprüft werden, ob durchgeführte Änderungen z.B. an den Sys-

temen oder der Firewall zu den gewünschten Ergebnissen ge-

führt haben.

Leitfaden für Registrierungsstellen

Auf Wunsch vieler Einrichtungen gibt es jetzt einen Leitfaden

für Registrierungsstellen (RAs). In diesem Leitfaden werden die

Anforderungen der Policy-Dokumente (CP/CPS) der DFN-PKI an

die Tätigkeit einer RA in kompakter Form zusammengefasst. Ent-

halten ist auch eine Checkliste, um die Arbeit der RA noch besser

zu unterstützen. Der Leitfaden ist unter https://www.pki.dfn.de/

faqpki/faqpki-rabetrieb/ verfügbar.

Ergänzend wurden die Formulare der DFN-PKI zur Beantragung

von Server-, Nutzer- und Gruppenzertifikaten angepasst: Zertifi-

katnehmer finden jetzt direkt auf den Formularen Sicherheits-

hinweise zum Umgang mit ihren Zertifikaten, so dass die we-

sentlichen Anforderungen der Policy nochmal übersichtlich dar-

gestellt sind.

Weitere Hochschulen rollen Chipkarten aus

Zum Wintersemester 2010 starteten weitere Hochschulen den

Rollout von Chipkarten mit Zertifikaten der DFN-PKI für ihre Stu-

dierenden. Der Spitzenreiter produzierte dabei in drei Tagen mehr

als 4.000 Chipkarten mit je zwei Zertifikaten, insgesamt sind mitt-

lerweile knapp 100.000 Chipkarten mit Zertifikaten der DFN-PKI im

Umlauf. Die wichtigste Anwendung ist der Zugriff auf Selbstbedienungs-

portale, wobei aufgrund der Schwierigkeit der Versor gung der

Studierenden mit eigenen Chipkartenlesern bevorzugt Selbst-

bedienungsterminals in den Hochschulen eingesetzt werden.

Für die Anbindung der Kartenproduktion an die DFN-PKI existie-

ren mehrere Lösungen, die erfahrungsgemäß schnell und un-

kompliziert eingesetzt werden können. Daher hält sich der zu-

sätzliche Aufwand für die Aufbringung von Zertifikaten beim

Rollout von Chipkarten in engen Grenzen. Einen Bericht der TU

Berlin zur Ausgabe einer Chipkarte mit Zertifikaten ist unter

http://www.dfn.de/fileadmin/PKI/Chipkarte_TUB.pdf verfügbar.

Abrufzahlen für Sperrlisten

Die Sperrlisten (CRLs) der DFN-PKI werden von vielen Webbrow-

sern genutzt, um die Gültigkeit eines Zertifikats zu überprüfen.

Die Abrufzahlen der CRLs sind daher ein interessanter Indika-

tor für die Nutzung der DFN-PKI. Im September 2009 wurde die

CRL zum DFN-Verein PCA-Global-Zertifikat über 17 Millionen Mal

abgerufen. Ein Jahr später, im September 2010, waren es bereits

25 Millionen Abrufe. Noch deutlicher wird die Steigerung, wenn

man alle CRLs und CA-Zertifikate in der DFN-PKI betrachtet: Im

September 2009 waren es 39 Millionen Abrufe mit einem Daten-

volumen von 23 Gigabyte, ein Jahr später dann 65 Millionen Ab-

rufe mit 53 Gigabyte.

Forschungsauftrag zur Sicherung des mobilen Internets der Zukunft

Mobiltelefone, Smartphones und weitere Gerätearten von Nut-zern des mobilen Internets werden zunehmend zum Ziel für groß-flächige Angriffe aus dem Netz. Sie sind leistungsschwächer und häufig schneller verwundbar als Standard-PCs. Bald aber wird es so viele Mobilgeräte im Internet geben, dass sich meist gan-ze Gruppen in Funkreichweite zueinander befinden. Diese Be-obachtung wollen Forscher nun nutzen, um einen neuen Sicher-heitsansatz zu entwickeln. Benachbarte Geräte unterstützen sich gegenseitig und etablieren so ein kooperatives, gemeinsames Immunsystem. Die Arbeiten haben im September 2010 im Zuge des Forschungsprojekts SKIMS begonnen, an dem u.a. die Freie Universität Berlin, die HAW Hamburg sowie die DFN-CERT Servi-ces GmbH teilnehmen. Mehr Informationen unter http://www.realmv6.org/skims.html. M

41SICHERHEIT | DFN Mitteilungen Ausgabe 79 |

Kontakt

Wenn Sie Fragen oder Kommentare zum Thema „Sicher-

heit im DFN“ haben, schicken Sie bitte eine Mail an

sicherheit@dfn.de.

42 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT

43RECHT | DFN Mitteilungen Ausgabe 79 |

Recht im DFN Zwölf hartnäckige Irrtümer – die neuen „Klassiker“ juristischer

Fehleinschätzungen bei Homepages

von Christoph Golla

Aufbewahrung elektronischer Dokumente –

die Pflicht der Hochschulen

von Marina Rinken und Christine Altemark

Kurzmeldungen

44 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT

Gerade im Bereich Internet und Recht kommt es immer wieder zu Verunsicherungen, was

rechtlich erlaubt ist und wie der Aufbau einer Homepage rechtlich gesichert vollzogen werden

kann. In diesem Beitrag, der auf einem Artikel von Rechtsanwalt Dr. Noogie Kaufmann aus dem

DFN-Infobrief 03/2006 basiert, sollen zwölf immer wieder vorkommende rechtliche

Fehleinschätzungen betrachtet werden, die nicht nur dem Ansehen schaden, sondern auch für

den Anbieter teuer werden können.

Zwölf hartnäckige Irrtümer – die neuen „Klassiker“ juristischer Fehleinschätzungen bei Homepages

Text: RA Christoph Golla (Forschungsstelle Recht im DFN)

Foto

: © d

esign

er111 - ph

oto

case

45RECHT | DFN Mitteilungen Ausgabe 79 |

Zwölf hartnäckige Irrtümer – die neuen „Klassiker“ juristischer Fehleinschätzungen bei Homepages

Irrtum 1: Ohne Copyright-Vermerk keinUrheberrechtsschutz

Fotos, Stadtpläne, Texte und sonstiger Content zur Bereicherung

der eigenen Internetpräsenz liegen nur einen Klick weit entfernt.

Die einfache Option „Copy & Paste“ verführt manchen Webdesig-

ner geradezu, derlei fremdes Gut zu übernehmen. Nicht selten

hört man dann das Argument, wegen des fehlenden Vermerks

„Copyright“ oder wegen eines fehlenden ©- oder ®-Zeichen kön-

nen die Werke einfach übernommen werden. Dem liegt häufig

der Gedanke zugrunde, „was ich frei im Internet abrufen kann,

das muss auch frei von mir verwendbar sein“. Dies ist jedoch

nicht der Fall. Anders als etwa in einigen amerikanischen Staa-

ten, in denen eine Eintragung von Werken vorgenommen wer-

den muss, entsteht in Deutschland automatisch Schutz nach

dem Urheberrechtsgesetz (UrhG) durch die reine Erstellung des

Werkes. Demzufolge ist eine Übernahme in der Regel ohne Zu-

stimmung des Homepage-Inhabers unzulässig. Voraussetzung

für den Urheberrechtsschutz ist einzig und allein, dass der über-

nommene Content nicht völlig banal ist und eine gewisse Schaf-

fenshöhe hat. Doch Vorsicht: Die Grenze zur Banalität ist äußerst

niedrig. Deshalb ist grundsätzlich vom Schutz nach dem UrhG

auszugehen. Es muss immer bedacht werden, dass bei der Ver-

öffentlichung eines fremden Werkes sofort Unterlassungs- und

Schadensersatzansprüche entstehen.

Irrtum 2: Eine Creative Commons Lizenz ermög-licht mir die Nutzung der Werke ohne Grenzen Die Creative Commons Lizenz bietet eine gute Möglichkeit, Wer-ke im Internet anzubieten und klar zu machen, zu welchen Zwe-cken diese genutzt werden dürfen. Eine solche Lizenz berech-tigt jedoch nicht generell zu jedweder Nutzung. Es muss gerade bei dieser Lizenz genau beachtet werden, welche Nutzung der jeweilige Urheber freigibt. Diese kann zum Beispiel auf den pri-vaten Bereich begrenzt sein und so eine gewerbliche Nutzung ausschließen. Um die genauen rechtlich zulässigen Nutzungen zu erfahren, sollten die Symbole der Creative Commons Lizenz beachtet werden, die sich meistens unter den Werken befinden. Diese geben Auskunft über die zulässige Nutzung. Weitere In-formationen dazu finden Sie unter: http://de.creativecommons.org/was-ist-cc/.

Irrtum 3: Externe Hyperlinks können bedenkenlos verwendet werden

Das Web lebt von Hyperlinks. Ohne Links keine weitergehende

Information und ohne weitergehende Information kein funkti-

onierendes Internet. Rechtlich sollte jedoch beachtet werden,

dass es das sogenannte „zu Eigen machen“ von fremden Inhal-

ten gibt. Dieses liegt immer vor, wenn eine fremde Information

bewusst in das eigene Angebot aufgenommen wurde. Ist dies der

Fall kann es unter Umständen dazu kommen, dass derjenige, der

Hyperlinks setzt, für den Inhalt der von ihm verwiesenen Seiten

zur Haftung gezogen wird. Ein Link auf eine externe Seite sollte

somit nicht „als ihr eigenes Angebot“ in der Webseite dargestellt

werden. Ein „zu Eigen machen“ wird bspw. angenommen, wenn

die neue Seite innerhalb der bestehenden Seite geöffnet wird.

Auch sollte vor dem Setzen eines Links stets überprüft werden,

was sich hinter diesem verbirgt. Sind dort rechtswidrige Inhal-

te hinterlegt, kann auch dies zur Haftung führen. Ob der Link re-

gelmäßig überprüft werden muss, wenn er einmal gesetzt wur-

de, ist rechtlich noch umstritten. Es bietet sich jedoch an, dann

und wann eine Prüfung vorzunehmen.

Irrtum 4: Der Disclaimer macht von allem frei

„Mit der Entscheidung des Landgerichts Hamburg von 1998 ma-

chen wir darauf aufmerksam, dass wir für die Inhalte der von

uns verlinkten Seiten nicht haften“. So oder so ähnlich findet

sich dieser Satz auf vielen Homepages. Dieser vielfach als „Dis-

claimer“ bezeichnete Hinweis ist juristisch jedoch wirkungs-

los. Der Ausschluss der Haftung qua eines Hinweises ist juris-

tisch schlichtweg nicht möglich. Im Übrigen hat das immer

wieder zitierte hanseatische Landgericht im damals entschie-

den Fall überhaupt gar keinen Haftungsausschluss bejaht. Es

hat vielmehr darüber „nachgedacht“, dass ein Ausschluss nach

den Grundsätzen des Presserechts vielleicht auf „Marktplätzen

von Meinungen“ denkbar sei. Dazu gehören aber die wenigs-

ten Homepages. In der Verwendung eines Disclaimers und der

gleichzeitigen Weitergabe von Links liegt auch ein gewisser Ge-

gensatz, da sich der Seitenbetreiber einerseits von seinen Inhal-

ten distanziert, andererseits auf diese verlinkt.

Irrtum 5: Nur wer Waren und Dienstleistungen anbietet, braucht auch ein Impressum

Aufgrund zahlreicher Massenabmahnungen ist den meisten Web-

mastern bekannt, dass Homepages ein Impressum benötigen.

Diese Impressumspflicht ergibt sich aus zwei verschiedenen Pa-

ragraphen in unterschiedlichen Gesetzen. Zunächst werden die

nötigen Angaben auf einer Homepage in § 5 Telemediengesetz

(TMG) geregelt. Zusätzliche Vorgaben enthält § 55 Rundfunkstaats-

vertrag (RStV). Wichtig ist festzuhalten, dass die Bereithaltung ei-

nes Impressums nicht denjenigen vorbehalten ist, die über ihre

Homepage Waren oder Dienstleistungen anbieten. Ausgenom-

men von einer Impressumspflicht sind nur solche Seiten, die aus-

schließlich persönlichen oder familiären Zwecken dienen. Ist dies

nicht der Fall muss gemäß § 55 RStV zumindest Name und An-

schrift des Anbieters sowie bei juristischen Personen Name und

Anschrift des Vertretungsberechtigten auf der Homepage ables-

bar sein. Weitere Vorgaben werden im Rundfunkstaatsvertrag

im Hinblick auf Angebote mit journalistisch-redaktionell gestal-

46 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT

teten Inhalten gemacht. Solche Inhalte können bspw. Webma-

gazine oder Blogs sein. Für Anbieter von Waren und Dienstleis-

tungen sind die Vorgaben aus § 5 TMG zu beachten. Neben dem

Inhalt des Impressums ist gleichzeitig auch die Platzierung von

Bedeutung. Das Impressum sollte sich immer an einem gut auf-

findbaren Platz auf der Homepage befinden und durch wenige

Klicks erreichbar sein. Welche Angaben im Einzelfall zu machen

sind, erläutert der Webimpressum-Assistent unter http://www.

net-and-law.de/de/netlaw/webimpressum/index.php.

Irrtum 6: Das Reservieren zahlreicher Domains ist immer Domain-Grabbing

Die reine Registrierung von so genannten Gattungsdomains, zum

Beispiel beschreibende oder gut einprägsame Begriffe, ist kein

sittenwidriges Domain-Grabbing. Die Argumentation, dass hier

die raren Internet-Adressen ausgebeutet werden, wurde vom

BGH bereits 2004 widerlegt. Bei der Vergabe von Webadressen

gilt „Wer zuerst kommt, mahlt zuerst“. Nur wenn Merkmale hin-

zukommen, die unlauter sind, da sie zum Beispiel Marken- oder

Namensrechte verletzen, handelt es sich um sogenanntes Do-

main-Grabbing. Oft liegt der Fall vor, dass eine Domain mit ei-

nem Namen von einer beliebigen Firma registriert worden ist,

die die Domain zu Geld machen will. Hat diese Firma jedoch kei-

nen Bezug zu dem Namen, kann der tatsächliche Namensinha-

ber Ansprüche geltend machen. So wurde bspw. das Verwenden

eines Domain-Namens, der einer typischen Tippfehler-Varian-

te des gebräuchlichen Domain-Namens entsprach, als wettbe-

werbswi driges Ausspannen von Kunden eingeordnet. Insgesamt

können sich also Ansprüche gegen den Domaininhaber aus dem

Gesetz gegen den unlauteren Wettbewerb (UWG) und aus dem

Namensrecht des Domaininhabers, welches im Bürgerlichen Ge-

setzbuch enthalten ist, ergeben.

Irrtum 7: Domains können nicht gepfändet werden

Domainnamen stellen Vermögenswert dar. Damit unterliegen sie auch der Zwangsvollstreckung. Gepfändet wird dann jedoch nicht der Domain-Name, sondern alle zwischen dem Domainin-haber und der Registrierungsbehörde geschlossenen Verträge. Diese Verträge stellen nämlich das Recht des Domaininhabers dar, die Domain zu nutzen. Die Domain kann dann im Zwangs-vollstreckungsverfahren bspw. durch eine Versteigerung ver-wertet werden.

Irrtum 8: Newsletter dürfen auch ohne Zustimmung verschickt werden

Informative Rund-Mails gibt es zu jedem erdenklichen Thema.

Trotz des Info-Charakters ist aber auch das unaufgeforderte

Zusenden von Newslettern bei fehlender Geschäftsbeziehung

grundsätzlich unzulässig und stellt einen Verstoß gegen § 7 Ab-

satz 2 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb) dar.

Gerade wenn vorher noch kein Kontakt zwischen Sender und

Empfänger besteht, werden Rundmails jeglicher Art mit uner-

wünschter Werbepost gleichgesetzt. Auch die Möglichkeit sich

nach Erhalt von der E-Mail Verteilerliste entfernen zu lassen, än-

dert hieran nichts. Newsletter dürfen demnach nur mit Einwil-

ligung des Empfängers verschickt werden. Eine gute und recht-

lich abgesicherte Methode ist das so genannte Double-Opt-In

Verfahren, also ein doppeltes Einwilligungsverfahren. Hier trägt

der interessierte Empfänger zunächst seine E-Mail Adresse auf

der Homepage des Versenders ein und erhält dann eine Bestä-

tigung der Anmeldung per E-Mail. Um die Anmeldung komplett

abzuschließen, muss er dann zusätzlich auf einen Aktivierungs-

link in der E-Mail klicken oder ein ihm zugesendetes Passwort

auf der Homepage des Anbieters eingeben. Des Weiteren soll-

te jeder Newsletterversender auch eine schnelle und einfache

Möglichkeit für den Empfänger anbieten, sich aus der Empfän-

gerliste entfernen zu lassen.

Irrtum 9: Wer ein Forum oder Gästebuch im Internet betreibt, ist nur Anbieter dieses Forums und muss sich mit den Inhalten nicht beschäftigen

Einträge in einem Forum geben meist nicht die Meinung des Fo-

renbetreibers wieder. Dennoch kann dieser zur Haftung gezogen

werden, wenn durch dortige Einträge eine Rechtsverletzung be-

gangen wird. Der Betreiber wird dann im Rahmen der so genann-

ten „Störerhaftung“ in die Haftung einbezogen. Dem Betreiber

werden so allgemeine Prüfungspflichten auferlegt. Dies bedeu-

tet, dass er bei einem konkreten Hinweis auf einen rechtsver-

letzenden Eintrag verpflichtet ist, diesen zu entfernen und da-

für zu sorgen hat, dass diese Äußerung nicht wiederholt wird.

Eine Überwachungspflicht, in der Form, dass der Betreiber im-

mer jeden neuen Eintrag zuerst überprüfen muss, wird jedoch

nicht gefordert. In welchem Zeitrahmen ein Forenbetreiber auf

rechtsverletzende Eintragungen reagieren muss, ist gesetzlich

nicht geregelt. Lediglich das Amtsgericht Wiesen/Luhe (Urteil

vom 06.06.2005, AZ 23 C 155/05) hat sich dazu geäußert und eine

Reaktion des Betreibers binnen 24 Stunden gefordert.

Irrtum 10: Suchmaschinen dürfen meine Bilder nur aufnehmen, wenn ich ausdrücklich zustimme

Stellt ein Webseitenbetreiber Bilder ins Internet, um für den Ver-

kauf der Bilder zu werben, kann es natürlich in seinem Interesse

sein, dass Suchmaschinen auf seine Seite verlinken. Jedoch wol-

47RECHT | DFN Mitteilungen Ausgabe 79 |

len viele Anbieter nicht, dass ihre Werke als kleine Vorschaubil-

der in den Suchergebnissen der Suchmaschinen erscheinen. Der

BGH hat im April 2010 entschieden, dass durch die ungeschütz-

te Veröffentlichung der Bilder im Internet eine Einwilligung vor-

liegt, die eine Rechtsverletzung ausschließt. Eine Einwilligung

der Klägerin nahm der BGH deswegen an, weil erstens eine Such-

maschinenoptimierung auf ihrer Webseite betrieben wurde und

zweitens weil es Google nicht durch eine bestimmte Art der Web-

seitenprogrammierung erschwert wurde, die Seite zu indexie-

ren, obwohl dies technisch leicht möglich war. Zusammenfas-

send lässt sich somit feststellen, dass derjenige, der seine Seite

nicht vor einer Suchmaschine verschließt, damit rechnen muss,

dass die Bilder in der Suchmaschine verwertet werden.

Irrtum 11: Alle Daten, die ein Nutzer freiwillig auf einer Homepage eingibt, dürfen gespeichert und weitergenutzt werden

Der Anbieter einer Homepage muss vor jedem Nutzungsvorgang

bei dem personenbezogene Daten erhoben werden, den Nutzer

über die Art, den Umfang und Zweck der Nutzung der Daten auf-

klären. Dies ergibt sich aus § 13 TMG. Personenbezogene Daten

sind solche Daten, durch die unmittelbar oder mittelbar Rück-

schlüsse auf eine Person gezogen werden können. Eine Informa-

tionspflicht besteht auch, wenn noch keine personenbezoge-

nen Daten erhoben werden, aber ein automatisiertes Verfahren

durchgeführt wird, das eine spätere Identifizierung des Nutzers

ermöglicht und dadurch eine spätere Erhebung oder Verwendung

personenbezogener Daten vorbereitet. Der Nutzer muss dann

zu der jeweiligen Nutzung einwilligen. Geschieht diese Einwil-

ligung nur auf elektronischem Wege, muss der Nutzer die Vor-

gaben aus § 13 Abs. 2 TMG beachten. Der Nutzer muss seine Ein-

willigung danach bewusst und eindeutig erklären und es muss

ihm ermöglicht werden, diese Einwilligung jederzeit zu wider-

rufen. Der Betreiber muss des Weiteren dafür sorgen, dass der

Nutzer sich jederzeit von dem Dienst abmelden kann und seine

Daten daraufhin gelöscht werden.

Irrtum 12: Arbeitgeber dürfen Mitarbeiterdaten und Bilder im Web veröffentlichenDas allgemeine Persönlichkeitsrecht aus dem Grundgesetz (Art.

2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) gilt auch im Arbeits-

recht und ist demgemäß vom Vorgesetzten bei der Veröffentli-

chung von Mitarbeiterdaten und Bildern auf der Unternehmens-

homepage zu beachten. Bei der Veröffentlichung von Bildern im

Internet, bspw. auf der Unternehmenshomepage, ist stets zu be-

achten, dass eine vorherige Einwilligung von jeder auf dem Bild

abgebildeten Person einzuholen ist. Dies gilt auch für auf einer

Feier des Unternehmens erstellte Bilder. Ausnahmen liegen hier

nur vor, wenn Bilder von Versammlungen oder Demonstrationen

erstellt werden und sich die jeweilige Person in einer Menge von

Menschen befindet. Für die Veröffentlichung anderer personenbe-

zogener Daten ist in der Regel gleichfalls das Einverständnis des

Beschäftigten notwendig. Nur bei bestimmten Arbeitnehmern,

die das Unternehmen nach außen repräsentieren, wie beispiels-

weise der Geschäftsführer oder der Pressesprecher, bedarf es für

bestimmte persönliche Angaben keiner Einwilligung. M

Foto: © madochab - photocase

48 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT

Aufbewahrung elektronischer Dokumente – die Pflichten der Hochschulen

Im Zeitalter der Digitalisierung angekom-

men, fällt auch an Universitäten eine Viel-

zahl elektronischer Dokumente an. Die

Spanne reicht von behördlichen E-Mails

und am PC geschriebenen Prüfungen (sog.

E-Prüfungen) bis hin zum Inhalt von Web-

masken, die beispielsweise bei der elektro-

nischen Bewerbung um einen Hochschul-

platz, bei der Immatrikulation oder Prü-

fungsanmeldung ausgefüllt werden. Da-

mit unterscheiden sich die Hochschulen

nicht von anderen öffentlichen Stellen, die

zu ihrer Aufgabenerfüllung elektronische

Dokumente speichern und aufbewahren.

Doch es stellt sich die Frage, inwieweit die

Universitäten zur Aufbewahrung dieser di-

gitalen Dokumente verpflichtet sind.

Pflichten zur Aufbewahrung elektronischer

Dokumente können sich aus unterschied-

lichen Gesetzen ergeben. Im Rahmen des

Bologna-Prozesses und der damit einher-

gehenden Umstellung auf das Bachelor-/

Master-System steigt die Zahl der abzuneh-

menden Prüfungen stark an, so dass ein

Trend zur Durchführung von sog. „E-Prüfun-

gen“ besteht. Hierbei stellt sich die Frage,

Text: Marina Rinken (Forschungsstelle Recht im DFN), Christine Altemark (Forschungsstelle Recht im DFN)

Foto

: © Sco

tt Wab

y - foto

lia

49RECHT | DFN Mitteilungen Ausgabe 79 |

ob diese genauso wie handschriftliche Prü-

fungsunterlagen aufbewahrt werden müs-

sen. Die im Hochschulbetrieb anfallenden

E-Mails können Informationen jeglicher

Art enthalten. Sie können unter anderem

als Geschäftsbriefe gelten, wenn sie bei-

spielsweise der Rechnungsstellung dienen.

E-Mails können aber auch für Prüfungen

relevante Unterlagen enthalten oder als

verwaltungstechnisch relevante Doku-

mente aufzubewahren sein. Auch Web-

masken werden in vielfältiger Weise ge-

braucht, beispielsweise bei Online-For-

mularen zu Prüfungsanmeldungen oder

Adressänderungen. Hinsichtlich der Ver-

pflichtung zur Aufbewahrung dieser und

ähnlicher elektronischer Dokumente fin-

den sich weder Vorschriften im Telemedien-

gesetz (TMG), noch im Telekommunikati-

onsgesetz (TKG) oder im Datenschutzge-

setz NRW1 (DSG NW). Die Universitäten sind

jedoch in aller Regel nach der allgemeinen

Dokumentationspflicht von Behörden zur

Aufbewahrung elektronischer Dokumente

verpflichtet. Aufbewahrungspflichten wer-

den außerdem oftmals gesondert in Hoch-

schulsatzungen geregelt, die jedoch von

Hochschule zu Hochschule variieren. Bei

E-Prüfungsunterlagen orientiert sich die

Aufbewahrung zudem an den jeweiligen

Prüfungsordnungen der Fachbereiche. Im

Hinblick auf E-Mails müssen unter Umstän-

den auch handels- und steuerrechtliche

Vorschriften beachtet werden. Aus diesen

ergeben sich aber in der Regel im Hinblick

auf Universitäten keine Aufbewahrungs-

pflichten. Im Anschluss an die Aufbewah-

rung elektronischer Dokumente müssen

diese dem jeweiligen Hochschularchiv zur

Archivierung angeboten werden. Das Ar-

chiv entscheidet dann, ob die elektroni-

schen Dokumente archiviert werden.

Keine Pflicht zur Aufbewahrung nach TMG, TKG und DSG NW

Im TMG, TKG und DSG NW findet sich ei-

ne Vielzahl von Speicherrechten für per-

sonenbezogene Daten. Die genannten

Gesetze enthalten jedoch keine Regelun-

gen, die die Universitäten zur Aufbewah-

rung von elektronischen Dokumenten ver-

pflichten. Die einzig in Frage kommende

Speicherpflicht ist im TKG enthalten und

ergäbe sich aus § 111 Abs. 1 TKG für Be-

standsdaten im Rahmen des Auskunftser-

suchens von Sicherheitsbehörden nach den

§§ 112, 113 TKG. Bei E-Mails sowie dem In-

halt von Webmasken handelt es sich jedoch

nicht um Bestandsdaten, die im Sinne von

§ 3 Nr. 3 TKG für die Begründung, inhaltli-

che Ausgestaltung, Änderung oder Beendi-

gung eines Vertragsverhältnisses über Tele-

kommunikationsdienste erhoben werden,

so dass die entsprechenden Regelungen

keine Anwendung finden. Im Hinblick auf

E-Prüfungsunterlagen sind die Normen aus

TMG und TKG erst gar nicht anwendbar,

denn hinter der Durchführung von E-Prü-

fungen steht kein „Dienst“ im Sinne des

TMG oder TKG, sondern die Erbringung

einer Prüfungsleistung. Das DSG NW ent-

hält ebenfalls keine Regelungen, welche

die Hochschulen zur Aufbewahrung von

elektronischen Dokumenten verpflichten.

Es ergeben sich also weder aus TMG und

TKG, noch aus dem DSG NRW Pflichten, die

den Hochschulen die Speicherung von elek-

tronischen Dokumenten vorschreiben.

Pflicht zur Aufbewahrung von elektronischen Dokumenten nach der allgemeinen Doku-mentationspflicht von Behörden

Pflichten zur Aufbewahrung von elektro-

nischen Dokumenten ergeben sich aller-

dings aus der allgemeinen Dokumentati-

onspflicht von Behörden. Auch Universitä-

ten sind Stellen, die Aufgaben der öffentli-

chen Verwaltung wahrnehmen (§ 1 Abs. 4

Verwaltungsverfahrensgesetze (VwVfG))

und gelten deshalb als Behörden.2 Die all-

gemeine Dokumentationspflicht dient ver-

schiedenen Zwecken. Zunächst soll sie ei-

ne Kontrolle der ordnungsgemäßen Ver-

waltung durch übergeordnete Stellen er-

möglichen. Darüber hinaus bezweckt sie,

dass Verfahrensbeteiligten die Möglich-

keit gegeben wird, die Rechtmäßigkeit des

Vorgehens der jeweiligen Behörde beur-

teilen zu können. Zudem sollen innerhalb

der Verwaltung Vorgänge unabhängig von

der Kenntnis eines einzelnen Mitarbeiters

gestaltet werden können.

Eine ausdrückliche gesetzliche Regelung zu

diesen Grundsätzen existiert jedoch nicht.

Rechtlich wird sie auf das Rechtsstaats-

prinzip gestützt und resultiert aus dem

Grundsatz des fairen, objektiven und wahr-

heitsgetreuen Verwaltungsverfahrens. Zu

ihrer inhaltlichen Ausgestaltung kann man

die Wertungen anderer Vorschriften he-

ranziehen, wie die Pflichten hinsichtlich

der Aufbewahrung elektronischer Doku-

mente aus der Gemeinsamen Geschäfts-

ordnung der Bundesministerien (GGO) und

der Registraturrichtlinie für das Bearbei-

ten und Verwalten von Schriftgut in den

Bundesministerien (RegR).

Darüber hinaus ist die ordnungsgemä-

ße Dokumentation durch eine Behörde

grundlegende Voraussetzung des Rechts

auf Akteneinsicht aus § 29 VwVfG NRW3

und des Rechts auf Zugang zu Akten nach

§ 1 Informationsfreiheitsgesetz (IFG NRW)4.

Nach § 29 VwVfG NRW hat die Universität

den Beteiligten Einsicht in die das Verfah-

ren betreffenden Akten zu gewähren. Al-

lerdings nur, wenn dies zur Verteidigung

oder Geltendmachung der rechtlichen

Interessen des an dem Vorgang Beteilig-

ten erforderlich ist. Zudem ist § 29 VwVfG

NRW nur anwendbar, wenn die Universität

im Rahmen eines Verwaltungsverfahrens

(§ 9 VwVfG NRW) agiert. Hierfür muss die

Tätigkeit der Universität auf den Erlass von

Verwaltungsakten gerichtet sein. Verwal-

tungsakte liegen zum Beispiel bei einer

Immatrikulation und bei der Zulassung zu

Abschlussprüfungen vor. Einzelne Teilprü-

fungen stellen nur dann Verwaltungsakte

dar, wenn sie sich auf die Zulassung zur

Abschlussprüfung auswirken.

Insbesondere bei Abschlussprüfungen ist

das Akteneinsichtsrecht der Prüflinge von

großer Bedeutung. Nach § 3a VwVfG NRW

ist eine elektronische Kommunikation mit

der Universität als Behörde innerhalb die-

50 | DFN Mitteilungen Ausgabe 79 | November 2010 | RECHT

1 Die Regelungen der Datenschutzgesetze in den einzelnen Ländern sind aneinander angepasst, so dass die Ausführungen auch für die übrigen

Datenschutzgesetze gelten.

2 Hier wird exemplarisch auf das VwVfG des Landes NRW eingegangen. Die Bestimmungen der einzelnen Länder stimmen aber regelmäßig überein.

3 Entsprechende Regelungen - mit derselben Nummerierung - existieren auch in den Gesetzen der übrigen Bundesländer.

4 Entsprechende Regelungen existieren auch in den anderen Bundesländern.

ser Verwaltungsverfahren zulässig. Wird

diese Möglichkeit von einer Hochschule

genutzt, ist sie im Hinblick auf elektroni-

sche Dokumente, die im Rahmen dieser

Kommunikation anfallen, zur Einhaltung

der Grundsätze einer ordnungsgemäßen

Aktenführung verpflichtet. Fallen im Kon-

text eines solchen Verwaltungsverfahren

E-Mails an oder werden Webmasken ge-

nutzt oder E-Prüfungen geschrieben, sind

sie beziehungsweise ihre Inhalte aufzube-

wahren. Auch § 1 des Informationsfreiheits-

gesetzes NRW (IFG NRW) gewährt Dritten

Auskunftsrechte. Das IFG NRW ist nach des-

sen § 2 Abs. 3 jedoch nur für Hochschulen

anwendbar, soweit sie nicht im Bereich von

Forschung, Lehre, Leistungsbeurteilungen

und Prüfungen tätig werden.

Generell besteht bei der Aufbewahrung

elektronischer Dokumente eine Pflicht der

Behörden zur Aktenförmigkeit und Doku-

mentation. Dabei sind Vollständigkeit, Ein-

heitlichkeit und wahrheitsgetreue Führung

von Akten besonders wichtig. Die allgemei-

ne Dokumentationspflicht beinhaltet die

Pflicht der Behörden, also auch der Univer-

sitäten, ordnungsgemäße Akten zu führen

und alle Vorgänge, welche für das Verwal-

tungsverfahren während seiner Durchfüh-

rung und später für seine Nachvollziehbar-

keit von Bedeutung sind, in Niederschrif-

ten oder Aktenvermerken festzuhalten,

Schriftwechsel aufzubewahren und den

gesamten Vorgang „aktenkundig“ zu ma-

chen. Elektronische Dokumente sollten da-

nach den jeweiligen Vorgängen und Akten

zugeordnet werden und es muss durch or-

ganisatorische Maßnahmen gewährleistet

werden, dass die Dokumente nicht aus der

Akte gelöscht oder entfernt werden. Die je-

weilige Akte sollte also vollständig gehal-

ten werden (vgl. §§ 4, 18 RegR). Die elektro-

nischen Dokumente können dabei in her-

kömmlicher Weise aufbewahrt werden, in-

dem sie ausgedruckt und dann in eine Akte

eingefügt werden. Es ist aber auch mög-

lich elektronisch zu aufzubewahren (vgl.

§ 18 Abs. 3 RegR). Elektronisches Schriftgut

sollte laufend gepflegt werden und muss

rechtzeitig und ohne inhaltliche Änderun-

gen auf ein Format und einen Datenträ-

ger übertragen werden, welche dem aktu-

ellen Stand der Technik entsprechen. Do-

kumente sollten ihrer Relevanz entspre-

chend aufbewahrt werden.

Die bei Universitäten anfallenden elektro-

nischen Dokumente müssen somit nach

der allgemeinen Dokumentationspflicht

analog zu Papierdokumenten aufbewahrt

werden, wenn die Universität gegenüber

Dritten als Behörde auftritt. Das ist bei-

spielsweise dann der Fall, wenn es um die

Immatrikulation oder die Zulassung zu Ab-

schlussprüfungen geht.

Regelung der Pflicht zur Aufbe-wahrung elektronischer Doku-mente in Hochschulsatzungen

Die Aufbewahrungspflichten der Hoch-

schulen im Hinblick auf elektronische

Dokumente können in Hochschulsatzun-

gen näher ausgestaltet werden. Aufgrund

von § 2 Abs. 4 Hochschulgesetz (HG) wer-

den die Hochschulen zum Erlass von Ord-

nungen zur Regelung ihrer Angelegenhei-

ten ermächtigt. Bei einer Regelung der Auf-

bewahrung von elektronischen Dokumen-

ten bietet es sich an, Aufbewahrungsfristen

für Akten festzulegen. So haben einige Uni-

versitäten, beispielsweise die Bergische

Universität Wuppertal, in ihren „Bestim-

mungen zur Aufbewahrung, Aussonderung

und Archivierung von Akten und anderen

Unterlagen“ je nach Art des Schriftstücks

Aufbewahrungsfristen von bis zu 30 Jahren

vorgesehen. Diese Bestimmungen sollen

ebenso für maschinenlesbar gespeicherte

Informationen und Dokumente gelten.

E-Mails mit bedeutsamem Inhalt sollten

dabei ausgedruckt und – wie Telefonno-

tizen – zu den Akten genommen und ent-

sprechend der Fristen aufbewahrt werden.

Dabei richten sich die Fristen jeweils nach

dem Inhalt der E-Mail. Je bedeutender die-

ser ist, desto länger ist die E-Mail aufzube-

wahren. Auch bei Webmasken werden Spei-

Foto

: © R

ainer G

roth

ues - fo

tolia

51RECHT | DFN Mitteilungen Ausgabe 79 |

cherpflichten regelmäßig in Hochschulsat-

zungen normiert. Dort werden üblicherwei-

se auch die Speicherfristen für bestimmte

Daten wie Bewerberdaten, Immatrikulati-

onsdaten etc. geregelt. Ist dies der Fall, be-

steht auch eine Speicherpflicht für diesen

Zeitraum. Ähnliche Regelungen sind auch

an anderen Hochschulen möglich und üb-

lich. Die Regelungen sind jedoch von Hoch-

schule zu Hochschule verschieden.

Aufbewahrungspflichten für E-Mails aus handels- und steu-errechtlichen Vorschriften Insbesondere E-Mails können in bestimm-

ten Fällen als Geschäftsbriefe eingeordnet

werden, zum Beispiel wenn sie der Rech-

nungslegung dienen. Daher können bei

der Aufbewahrung von E-Mails zusätzlich

handels- und steuerrechtliche Vorschrif-

ten zum Tragen kommen. Aufbewahrungs-

pflichten sind in den handels- und steuer-

rechtlichen Vorschriften § 257 des Handels-

gesetzbuchs (HGB) und in § 147 der Abga-

benordnung (AO) normiert. Danach sind

– vereinfacht ausgedrückt – alle Daten auf-

bewahrungspflichtig, die für eine steuer-

liche Überprüfung und die Ordnungsge-

mäßheit der Buchhaltung bedeutsam sind,

worunter auch geschäftliche E-Mails fal-

len können. Im Regelfall ergeben sich für

Hochschulen jedoch keine Pflichten zur

Aufbewahrung von E-Mails aus handels-

und steuerrechtlichen Vorschriften. Die

Aufbewahrungspflichten, die sich aus den

handels- oder steuerrechtlichen Vorschrif-

ten ergeben, gelten hauptsächlich für Un-

ternehmen, die geschäftliche Dokumente,

in der Regel für einen Zeitraum von sechs

bzw. zehn Jahren, aufbewahren müssen.

Hochschulen gelten grundsätzlich nicht

als Kaufmann im Sinne des HGB, so dass

die handels- und steuerrechtlichen Nor-

men nur in Ausnahmefällen zur Anwen-

dung gelangen. Zusammenfassend kann

also festgehalten werden, dass Hochschu-

len nach handels- und steuerrechtlichen

Vorschriften grundsätzlich keine Aufbe-

wahrungspflichten treffen.

Regelung der Pflicht zur Aufbe-wahrung elektronischer Doku-mente in Prüfungsordnungen

Im Bereich von E-Prüfungen orientiert sich die Aufbewahrung von elektroni-schen Dokumenten auch an den jeweili-gen Prüfungsordnungen der Fachbereiche. Da § 64 Abs. 2 Nr. 10 HG ein Recht auf Ein-sichtnahme für den Prüfling vorsieht, be-steht zumindest eine Speicherungspflicht bis zum Ende der Einsichtnahmefrist, die ebenfalls in der jeweiligen Prüfungsord-nung in angemessener Länge festzuset-zen ist. Oftmals regeln die Ordnungen der Universitäten auch, dass die für analoge Dokumente geltenden Bestimmungen auf elektronische Dokumente entsprechend anzuwenden sind. Auch wenn keine solche Regelung besteht, sollten die Bestimmun-gen auch auf elektronische Dokumente an-gewandt werden, da keine Unterschiede zwischen handschriftlichen und elektroni-schen Prüfungsunterlagen bestehen.

Archivierung elektronischer Dokumente

Nachdem die jeweiligen elektronischen

Dokumente von einer Hochschule im

Rahmen eines noch nicht abgeschlosse-

nen Vorgangs und/oder nach dessen Ab-

schluss aufbewahrt wurden, stellt sich

die Frage der Archivierung dieser Doku-

mente in den entsprechenden Archiven.

Für die Archivierung von Dokumenten

sind die Hochschularchive zuständig.

Wichtig für die jeweiligen Einrichtungen

der Hochschule ist allerdings, dass diese

gem. § 4 Abs. 1 ArchivG NRW eine Anbie-

tungspflicht trifft. Von dieser sind auch

elektronische Dokumente umfasst. Gem.

§ 4 Abs. 1 ArchivG NRW müssen alle Unter-

lagen angeboten werden, welche von der

jeweiligen Einrichtung nicht mehr zur Er-

füllung ihrer Aufgaben benötigt werden.

Die Anbietung erfolgt dementsprechend

grundsätzlich nach Ablauf von Aufbewah-

rungsfristen oder aber spätestens nach 30

Jahren, es sei denn, es liegen längere Auf-

bewahrungsfristen vor. Welche der so „an-

gebotenen“ Dokumente dann letztlich von

dem zuständigen Archiv archiviert wer-

den, also als „archivwürdig“ im Sinne von

§ 2 Abs. 6 ArchivG NRW eingeordnet wer-

den, entscheidet dann das Archiv bzw. die

Archivare.

Zusammenfassung

Die Vorschriften aus dem TMG, dem TKG

und dem DSG NW enthalten keine Aufbe-

wahrungspflichten für elektronische Do-

kumente, sondern reglementieren, wann

eine Aufbewahrung datenschutzrechtlich

zulässig ist. Allerdings ergeben sich Auf-

bewahrungspflichten für die Hochschu-

len aus der allgemeinen Dokumentations-

pflicht von Behörden. Diese Pflicht greift

immer dann, wenn die Hochschulen Drit-

ten gegenüber als Behörde auftreten. Das

ist insbesondere bei der Immatrikulation

und bei Abschlussprüfungen der Fall. Zu-

meist regeln die Hochschulen die Aufbe-

wahrung von Dokumenten in ihren Satzun-

gen. Im Zusammenhang mit E-Prüfungen

orientiert sich die Aufbewahrung zudem

auch an den Prüfungsordnungen der jewei-

ligen Fachbereiche. Dabei sollte sich die

Aufbewahrung von elektronischen Doku-

menten nicht von der Aufbewahrung sons-

tiger Papierdokumente unterscheiden. Im

Anschluss an die dargestellten Aufbewah-

rungspflichten trifft die Hochschulen eine

Anbietungspflicht gegenüber den Hoch-

schularchiven. Diese bezieht sich auf sämt-

liche Dokumente, die von einer Hochschu-

le nicht mehr zur Erfüllung ihrer Aufgaben

benötigt werden. M

weiterführende Hinweise

Roßnagel/Fischer-Dieskau/Jandt/

Knopp, Langfristige Aufbewahrung

elektronischer Dokumente, 2007,

Waldhausen/Weißauer/Susenber-

ger, Praxis der Kommunalverwal-

tung, A 15 NW

Recht im DFN – Kurzmeldungen

| DFN Mitteilungen Ausgabe 78 | November 2010 | RECHT52

Googles Bildersuche rechtlich unbedenklich

In einem der bedeutendsten Urteile der letzten Jahre zum Thema

Urheberrecht hat der Bundesgerichtshof (BGH) die Wiedergabe

urheberrechtlich geschützter Werke in Vorschaubildern bei der

Google-Bildsuche für urheberrechtlich zulässig erklärt. Anders

hatten dies noch das Landgericht (LG) Hamburg und das Ober-

landesgericht (OLG) Jena gesehen. Der BGH hat sich in einer Revi-

sionsentscheidung (Urteil v. 29.04.2010, Az. I ZR 69/08) gegen das

Hamburger Urteil gestellt. Zwar handele es sich bei der Auflis-

tung von Abbildungen urheberrechtlich geschützter Werke als

Thumbnails in der Trefferliste einer Suchmaschine um eine öf-

fentliche Zugänglichmachung der Werke nach § 19a UrhG. Diese

sei aber anders als nach den vorausgegangenen Urteilen nicht

rechtswidrig, weil der Urheber eingewilligt habe. Insoweit gab

der BGH dem Einwand von Google Recht, der Webseitenbetrei-

ber könne durch eine bestimmte Kennzeichnung oder Program-

mierung der Internetseite bestimmen, ob das jeweilige Bild als

solches registriert werde. Damit könne er selbst darüber ent-

scheiden, ob ein Thumbnail hergestellt werde oder nicht. Neh-

me der Urheber diese technischen Möglichkeiten nicht wahr, ma-

che er die Bilder für den Zugriff durch Suchmaschinen zugäng-

lich und gebe damit seine Einwilligung, dass er mit der Anzeige

des Werkes im Rahmen der Bildersuche einverstanden sei. Die

Zukunft der herkömmlichen Google-Bildersuche ist damit nun

auch höchstrichterlich abgesichert. Bilder der Hochschulmitar-

beiter und Studenten als Urheber auf Hochschulseiten können

also weiterhin im Internet über die Google-Bildersuche direkt ge-

funden werden. Sollte dies nicht gewünscht sein, müssen techni-

sche Vorkehrungen in der Programmierung des Internetauftritts

der jeweiligen Hochschule getroffen werden. Beispielsweise kann

von der Möglichkeit Gebrauch gemacht werden, entsprechen-

de Anweisungen an die Suchmaschinen-Robots in der robots.

txt-Datei zu erteilen. Wurden die Bilder hingegen von unbefug-

ten Dritten ins Internet gestellt, haftet Google nur bei Kennt-

nis der Rechtswidrigkeit der gespeicherten Information. In die-

sem Fall kann der Urheber Google davon in Kenntnis setzen, so

dass die entsprechenden Inhalte in der Bildersuche dann ent-

fernt werden müssen.

Marina Rinken

Parkverbot für Domains? – Haftung des „Domain-Parking”-Providers für Markenverletzungen

seiner Kunden

Unter Domain-Parking versteht man ein Geschäftsmodell, nach

dem Werbelinks (etwa durch Textanzeigen von Google und Yahoo)

geschaltet werden, bei deren Abruf so genannte „Pay-per-Click”-

Vergütungen fällig werden. Damit möglichst viele Nutzer die an-

gezeigten Werbelinks anklicken, werden in der Regel solche Links

abrufbar gehalten, die einen inhaltlichen Bezug zu dem mit dem

Domainnamen in Verbindung gebrachten Angebot aufweisen.

Das Geschäftsmodell „Domain-Parking“ ist aus rechtlicher Sicht

problematisch, wenn der Domainname Ähnlichkeit zu einer Mar-

ke aufweist und unter der Domain solche Waren und Dienstleis-

tungen beworben werden, für die auch die Marke Schutz genießt.

Universitäten, die Opfer eines Domain-Grabbers werden, der Do-

mains beim Parking-Provider reserviert, die sich an die Hoch-

schul-Domain anlehnen, sollten sich zur Geltendmachung ihrer

Ansprüche direkt an ihn halten. Ein gerichtliches Vorgehen gegen

die Parking-Provider ist wenig Erfolg versprechend. Dagegen ist

die Geltendmachung von Ansprüchen gegen den Domaininhaber

viel aussichtsreicher. Selbst wenn der Domaininhaber erklärt, er

nutze die Domain weder privat noch geschäftlich, gehen die Ge-

richte regelmäßig von einer geschäftlichen Nutzung aus. Denn

der Domaininhaber vermietet bzw. verpachtet die Domain wei-

ter an den Parking-Anbieter, der dann daraus Kapital schlägt.

Die Verantwortung des Domain-Inhabers endet nicht mit dem

Parken. Dadurch dass der Domaininhaber durch die Wahl des

Keywords direkt steuert, welche Werbeeinblendungen gezeigt

werden, ist er unmittelbar verantwortlich für etwaige Marken-

rechtsverletzungen.

Eva-Maria Herring

Entscheidung des Bundesgerichtshofs zu der

Verwendung fremder Fotos im Internet

Im November 2009 hat der für das Urheberrecht zuständige

I. Zivilsenat des Bundesgerichtshofs (BGH) über die Verwendung

fremder Fotos für eine Rezeptsammlung im Internet entschieden.

Der Betreiber kann nach Ansicht des BGH dafür haften, wenn In-

ternetnutzer widerrechtlich Fotos von Kochrezepten auf seine

Website hochladen. Das Urteil beschäftigt sich mit den für die

Haftung von Internet-Service-Providern (ISP) grundlegenden Fra-

gen. Der DFN-Infobrief Recht vom Mai 2010 gibt Auskunft über

die haftungsrechtlichen Hintergründe und erörtert neben der

Entscheidung des BGH auch die vorinstanzlichen Urteile.

Christine Altemark

Sie können sich von uns über das Erscheinen neuer DFN-In-

fobriefe Recht per E-Mail informieren lassen. Bei Interesse

schicken Sie bitte eine E-Mail an: infobrief-recht@dfn.de

Sämtliche von der Forschungsstelle Recht im DFN be-

handelte Themen finden sich auch auf dem Web-Portal

des DFN-Vereins unter: http://www.dfn.de/de/beratung/

rechtimdfn/

DFN-Infobrief Recht

Foto: © Fineas - fotolia

53RECHT | DFN Mitteilungen Ausgabe 79 |

54 | DFN Mitteilungen Ausgabe 79 | November 2010 | DFN-VEREIN

Am 8. September 2010 verstarb der frühe-

re kaufmännische Geschäftsführer des

DFN-Vereins, Dr. Klaus-Eckart Maass, an

den Folgen einer längeren Krankheit. Als

„Mann der ersten Stunde“ hat er mit sei-

ner Arbeit im DFN-Verein Bedeutendes ge-

leistet, er hat den DFN-Verein geprägt und

die Weichen für eine erfolgreiche Zukunft

gestellt.

Klaus-Eckart Maass nahm seine Tätigkeit

kurz nach Gründung des Vereins im Jahr

1985 auf. Ausgebildet als Geologe konnte

er damals bereits auf Tätigkeiten als Pro-

jektleiter eines größeren geologischen Pro-

jektes und im Wissenschaftsmanagement

als Assistent des wissenschaftlichen Ge-

schäftsführers am Hahn-Meitner-Institut

zurückblicken. Im DFN-Verein befasste er

sich zunächst mit dem Aufbau einer von

den Strukturen des Hahn-Meitner-Insti-

tuts unabhängigen Administration. Sein

Leitgedanke in den DFN hinein war, dass

Administration einen dienenden Zweck

haben muss, ohne dabei die z. B. für den

Geldgeber notwendige Vertrauensbasis zu

beschädigen. So gelang es unter seiner Lei-

tung, in einer vertrauensvollen Zusammen-

arbeit mit Zuwendungsgebern eine Verwal-

tung aufzubauen, die es ermöglichte, ein

anspruchsvolles Entwicklungsprogramm

und den Aufbau des Wissenschaftsnetzes

zu finanzieren und späterhin den Schritt

von der Fehlbedarfsfinanzierung des BMBF

in eine von Zuwendungen unabhängige Fi-

nanzierung des Wissenschaftsnetzes zu

wagen. Mit diesem wichtigen Schritt wur-

de im Jahr 2004 die notwendige finanzi-

elle Flexibilität des DFN-Vereins erreicht,

von der noch heute alle Mitglieder profi-

tieren.

Zwei Themenkreise haben Klaus-Eckart

Maass während seiner fast 20jährigen Tä-

tigkeit im DFN-Verein besonders beglei-

tet. Zum einen erkannte er schon bald

die Bedeutung der Gemeinnützigkeit für

den DFN-Verein. Noch kurz vor dem Eintritt

in den Ruhestand gelang es ihm, dass die

entsprechenden jahrelangen Verhandlun-

gen mit dem Finanzamt letztlich von Er-

folg gekrönt wurden. Dieser Erfolg wirkt

über sein Ausscheiden aus dem DFN fort.

Zum anderen stellte Klaus-Eckart Maass

sehr früh fest, dass mit dem sich immer

weiter verbreitenden Internet rechtliche

Fragen auch im Wissenschaftsnetz eine zu-

nehmende Bedeutung bekommen würden

und dass sich dem DFN-Verein auch hier

eine Aufgabe stellte. Diese an sich nicht

im klassisch kaufmännischen Bereich an-

gesiedelte Fragestellung entpuppte sich

als „Treffer ins Schwarze“. Mit der Einrich-

tung der Forschungsstelle Recht im DFN

als Projekt an der Universität Münster wur-

de 1998 eine Stelle geschaffen, deren Erfol-

ge sehr schnell erkennbar wurden. Klaus-

Eckart Maass hat besonders in der Grün-

dungsphase der Forschungsstelle Recht

Nachruf auf Klaus-Eckart Maass, einen

Wegbereiter des DFN

erheblichen Aufwand in die Realisierung

der Idee gesteckt und bis heute deckt sie

einen großen Bedarf der Mitglieder des

DFN-Vereins.

Neben vielen Aspekten des Wirkens ist es

aber der Mensch Klaus-Eckart Maass, der

in Erinnerung bleibt. Klaus-Eckart Maass

hat immer großen Wert auf harmonische

Zusammenarbeit gelegt, sowohl in den

Vereinsgremien als auch in der DFN-Ge-

schäftsstelle. Dies umzusetzen gelang

ihm in besonderer Weise. In seiner offe-

nen und herzlichen Art suchte er immer

das Gespräch.

Hierbei ging es ihm nicht um die Verwi-

schung von Positionen und Meinungen –

er war ein durchaus harter Diskutierer –

sondern immer um eine sachbezogene Dar-

stellung. Er war so Vorbild und wird allen

auch als Kollege mit einem offenen Ohr für

alle Sorgen in Erinnerung bleiben.

R. Kraft, K. Ullmann im Oktober 2010

Foto: Dr. Klaus-Eckart Maass im Gespräch mit Bundesforschungsministerin Edelgard Bulmahn während

der CeBIT 2002.

55DFN-VEREIN | DFN Mitteilungen Ausgabe 79 |

Laut Satzung fördert der DFN-Verein die

Schaffung der Voraussetzungen für die

Errichtung, den Betrieb und die Nutzung

eines rechnergestützten Informations- und

Kommunikationssystems für die öffentlich

geförderte und gemeinnützige Forschung

in der Bundesrepublik Deutschland. Der

Satzungszweck wird verwirklicht insbe-

sondere durch Vergabe von Forschungs-

aufträgen und Organisation von Dienst-

leistungen zur Nutzung des Deutschen

Forschungsnetzes.

Als Mitglieder werden juristische Per-

sonen aufgenommen, von denen ein we-

sentlicher Beitrag zum Vereinszweck zu er-

warten ist oder die dem Bereich der insti-

tutionell oder sonst aus öffentlichen Mit-

teln geförderten Forschung zuzurechnen

sind. Sitz des Vereins ist Berlin.

Die Organe des DFN-Vereins sind:

die Mitgliederversammlung•

der Verwaltungsrat•

der Vorstand•

Die Mitgliederversammlung ist u. a. zustän-

dig für die Wahl der Mitglieder des Verwal-

Übersicht über die Mitgliedseinrichtungen

und Organe des DFN-Vereins (Stand: 11/2010)

tungsrates, für die Genehmigung des Jah-

reswirtschaftsplanes, für die Entlastung

des Vorstandes und für die Festlegung der

Mitgliedsbeiträge. Derzeitiger Vorsitzen-

der der Mitgliederversammlung ist Prof.

Dr. Gerhard Peter, HS Heilbronn.

Verwaltungsrat

Der Verwaltungsrat beschließt alle wesent-

lichen Aktivitäten des Vereins, insbeson-

dere die technisch-wissenschaftlichen Ar-

beiten, und berät den Jahreswirtschafts-

plan. Für die 9. Wahlperiode sind Mitglie-

der des Verwaltungsrates:

Prof. Dr. Achim Bachem (FZ Jülich)•

Prof. Christian Bischof (RWTH Aachen)•

Prof. Dr. Claudia Eckert (FhI-SIT) •

Prof. Geerd-Rüdiger Hoffmann (DWD)•

Prof. Dr. Wilfried Juling (KIT)•

Dr. Klaus-Peter Kossakowski (PRESECU-•

RE Consulting)

Prof. Dr. Wolfgang E. Nagel (TU Dres-•

den)

Prof. Dr. Bernhard Neumair (KIT)•

Dr. Frank Nolden (Univ. Leipzig)•

Dr. Christa Radloff (Univ. Rostock)•

Manfred Seedig (Univ. Kassel)•

Dr. Wolfgang Slaby (Univ. Eichstätt)•

Prof. Dr. Horst Stenzel (FH Köln)•

Der Verwaltungsrat hat als ständige

Gäste:

einen Vertreter der KMK: gegenwärtig •

Herrn Grothe, SMWK Sachsen

einen Vertreter der HRK: gegenwär-•

tig Prof. Dr. Metzner, Präsident der FH

Köln

einen Vertreter der Hochschulkanzler: •

gegenwärtig Herrn Schöck, Kanzler der

Universität Erlangen-Nürnberg

den Vorsitzenden des ZKI: gegenwärtig •

Prof. Dr. Lang, Universität zu Köln

den Vorsitzenden der Mitgliederver-•

sammlung: gegenwärtig Prof. Dr. Peter,

HS Heilbronn

Vorstand

Der Vorstand des DFN-Vereins im Sinne des

Gesetzes wird aus dem Vorsitzenden und

den beiden stellvertretenden Vorsitzen-

den des Verwaltungsrates gebildet. Der-

zeit sind dies Prof. Dr. Wilfried Juling, Vor-

sitz, sowie Prof. Dr. Bernhard Neumair und

Dr. Frank Nolden.

Der Vorstand wird beraten von einem Tech-

nologie-Ausschuss (TA), einem Betriebsaus-

schuss (BA), und einem Ausschuss für Recht

und Sicherheit (ARuS), der zugleich auch

als Jugendschutzbeauftragter für das DFN

fungiert.

Der Vorstand bedient sich zur Erledigung

laufender Aufgaben einer Geschäftsstel-

le mit Standorten in Berlin und Stuttgart.

Sie wird von einer Geschäftsführung ge-

leitet. Als Geschäftsführer wurden vom

Vorstand Jochem Pattloch und Klaus Ull-

mann bestellt.

56 | DFN Mitteilungen Ausgabe 79 | November 2010 | DFN-VEREIN

Aachen Fachhochschule Aachen

Rheinisch-Westfälische Technische Hochschule Aachen (RWTH)

Aalen Hochschule Aalen

Albstadt Hochschule Albstadt-Sigmaringen

Amberg Hochschule Amberg-Weiden für angewandte Wissenschaften

Aschaffenburg Hochschule Aschaffenburg

Augsburg Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg

Universität Augsburg

Bamberg Otto-Friedrich-Universität Bamberg

Bayreuth Universität Bayreuth

Berlin Alice Salomon Hochschule Berlin

BBB Management GmbH

Beuth Hochschule für Technik Berlin – University of Applied Sciences

Bundesanstalt für Materialforschung und -prüfung

Bundesinstitut für Risikobewertung

Deutsche Telekom AG Laboratories

Deutsches Herzzentrum Berlin

Deutsches Institut für Normung e. V. (DIN)

Deutsches Institut für Wirtschaftsforschung (DIW)

Hochschule für Wirtschaft und Recht

Fachinformationszentrum Chemie GmbH (FIZ Chemie)

Forschungsverbund Berlin e. V.

Freie Universität Berlin (FUB)

Helmholtz-Zentrum Berlin für Materialien und Energie GmbH

Hochschule für Technik und Wirtschaft (HTW)

Humboldt-Universität zu Berlin (HUB)

IT-Dienstleistungszentrum

Konrad-Zuse-Zentrum für Informationstechnik (ZIB)

Robert Koch-Institut

Stanford University in Berlin

Stiftung Deutsches Historisches Museum

Stiftung Preußischer Kulturbesitz

Technische Universität Berlin (TUB)

T-Systems International GmbH

Umweltbundesamt

Universität der Künste Berlin

Wissenschaftskolleg zu Berlin

Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)

Biberach Hochschule Biberach

Bielefeld Fachhochschule Bielefeld

Universität Bielefeld

Bingen Fachhochschule Bingen

Böblingen Staatliche Akademie für Datenverarbeitung

Bochum ELFI Gesellschaft für Forschungsdienstleistungen mbH

Evangelische Fachhochschule Rheinland-Westfalen-Lippe

Hochschule Bochum

Ruhr-Universität Bochum

Technische Fachhochschule Georg Agricola für Rohstoff,

Energie und Umwelt zu Bochum

Bonn Bundesministerium des Innern

Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit

Deutsche Forschungsgemeinschaft (DFG)

Deutscher Akademischer Austauschdienst e. V. (DAAD)

Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)

GESIS – Leibniz-Institut für Sozialwissenschaften

Rheinische Friedrich-Wilhelms-Universität Bonn

Zentrum für Informationsverarbeitung und Informationstechnik

Borstel FZB, Leibniz-Zentrum für Medizin und Biowissenschaften

Brandenburg Fachhochschule Brandenburg

Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen

GmbH

Helmholtz-Zentrum für Infektionsforschung GmbH

Hochschule für Bildende Künste Braunschweig

Johann-Heinrich von Thünen-Institut, Bundesforschungs-

institut für Ländliche Räume, Wald und Fischerei

Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen

Physikalisch-Technische Bundesanstalt (PTB)

Technische Universität Carolo-Wilhelmina zu Braunschweig

Bremen Hochschule Bremen

Hochschule für Künste Bremen

Jacobs University Bremen gGmbH

Universität Bremen

Bremerhaven Hochschule Bremerhaven

Stadtbildstelle Bremerhaven

Stiftung Alfred-Wegener-Institut für Polar- u. Meeresforschung (AWI)

Chemnitz Technische Universität Chemnitz

Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)

Technische Universität Clausthal-Zellerfeld

Coburg Hochschule für angewandte Wissenschaften, Fachhochschule Coburg

Cottbus Brandenburgische Technische Universität Cottbus

Darmstadt European Space Agency (ESA)

GSI Helmholtzzentrum für Schwerionenforschung GmbH

Hochschule Darmstadt

Merck KGaA

Technische Universität Darmstadt

T-Systems International GmbH

Deggendorf Hochschule für angewandte Wissenschaften,

Fachhochschule Deggendorf

Detmold Lippische Landesbibliothek

Dortmund Fachhochschule Dortmund

Technische Universität Dortmund

Dresden Forschungszentrum Dresden-Rossendorf e. V.

Hannah-Arendt-Institut für Totalitarismusforschung e. V.

Hochschule für Bildende Künste Dresden

Hochschule für Technik und Wirtschaft

Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.

Leibniz-Institut für Polymerforschung Dresden e. V.

Sächsische Landesbibliothek

Technische Universität Dresden

Düsseldorf Fachhochschule Düsseldorf

Heinrich-Heine-Universität Düsseldorf

Information und Technik Nordrhein-Westfalen (IT.NRW)

Eichstätt Katholische Universität Eichstätt-Ingolstadt

Emden Johannes A Lasco Bibliothek - Große Kirche Emden

Fachhochschule Emden/Leer

Erfurt Fachhochschule Erfurt

Universität Erfurt

Erlangen Friedrich-Alexander-Universität Erlangen-Nürnberg

Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V.

Universität Duisburg-Essen

Esslingen Hochschule Esslingen

Flensburg Fachhochschule Flensburg

Universität Flensburg

57DFN-VEREIN | DFN Mitteilungen Ausgabe 79 |

Frankfurt/M. Bundesamt für Kartographie und Geodäsie

Deutsche Nationalbibliothek

Deutsches Institut für Internationale Pädagogische Forschung

Fachhochschule Frankfurt am Main

Fachinformationszentrum Technik e. V. (FIZ Technik)

Johann Wolfgang Goethe-Universität Frankfurt am Main

Juniper Networks GmbH

KPN EuroRings B.V.

Philosophisch-Theologische Hochschule St. Georgen e.V.

Frankfurt/O. IHP GmbH - Institut für innovative Mikroelektronik

Stiftung Europa-Universität Viadrina

Freiberg Technische Universität Bergakademie Freiberg

Freiburg Albert-Ludwigs-Universität Freiburg

Fulda Hochschule Fulda

Furtwangen Hochschule Furtwangen - Informatik, Technik, Wirtschaft, Medien

Garching European Southern Observatory (ESO)

Gesellschaft für Anlagen- und Reaktorsicherheit mbH

Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften

Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)

Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenfor-

schung GmbH

Gelsenkirchen Fachhochschule Gelsenkirchen

Gießen Fachhochschule Gießen-Friedberg

Justus-Liebig-Universität Gießen

Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)

Verbundzentrale des Gemeinsamen Bibliotheksverbundes

Greifswald Ernst-Moritz-Arndt-Universität Greifswald

Hagen Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft

FernUniversität in Hagen

Halle/Saale Institut für Wirtschaftsforschung Halle

Martin-Luther-Universität Halle-Wittenberg

Hamburg Bundesamt für Seeschifffahrt und Hydrographie

Deutsches Elektronen-Synchrotron (DESY)

Deutsches Klimarechenzentrum GmbH (DKRZ)

Helmut-Schmidt-Universität, Universität der Bundeswehr

Hochschule für Angewandte Wissenschaften Hamburg

Hochschule für Bildende Künste Hamburg

Hochschule für Musik und Theater Hamburg

Technische Universität Hamburg-Harburg

Universität Hamburg

Hamm SRH Hochschule für Logistik und Wirtschaft Hamm

Hannover Bundesanstalt für Geowissenschaften und Rohstoffe

Fachhochschule Hannover

Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische

Landesbibliothek

Gottfried Wilhelm Leibniz Universität Hannover

HIS Hochschul-Informations-System GmbH

Hochschule für Musik, Theater und Medien

Landesamt für Bergbau, Energie und Geologie

Medizinische Hochschule Hannover

Technische Informationsbibliothek und Universitätsbibliothek

Tierärztliche Hochschule

Heide Fachhochschule Westküste, Hochschule für Wirtschaft und Technik

Heidelberg Deutsches Krebsforschungszentrum (DKFZ)

European Molecular Biology Laboratory (EMBL)

Network Laboratories NEC Europe Ltd.

Ruprecht-Karls-Universität Heidelberg

Heilbronn Hochschule für Technik, Wirtschaft und Informatik Heilbronn

Hildesheim Hochschule für angewandte Wissenschaft und Kunst

Fachhochschule Hildesheim/Holzminden/Göttingen

Universität Hildesheim

Hof Stiftung Hof

Hochschule Hof – University of Applied Sciences (FH)

Ilmenau Technische Universität Ilmenau

Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen

Hochschule für angewandte Wissenschaften FH Ingolstadt

Jena Fachhochschule Jena

Friedrich-Schiller-Universität Jena

Institut für Photonische Technologien e. V.

Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)

Jülich Forschungszentrum Jülich GmbH

Kaiserslautern Fachhochschule Kaiserslautern

Technische Universität Kaiserslautern

Karlsruhe Bundesanstalt für Wasserbau

Fachinformationszentrum Karlsruhe (FIZ)

Karlsruher Institut für Technologie - Universität des Landes Baden-

Württemberg und nationales Forschungszentrum in der Helmholtz-

Gemeinschaft (KIT)

FZI Forschungszentrum Informatik

Hochschule Karlsruhe - Technik und Wirtschaft

Zentrum für Kunst und Medientechnologie

Kassel Universität Kassel

Kempten Hochschule für angewandte Wissenschaften, Fachhochschule Kempten

Kiel Christian-Albrechts-Universität zu Kiel

Fachhochschule Kiel

Institut für Weltwirtschaft an der Universität Kiel

Leibniz-Institut für Meereswissenschaften

Koblenz Fachhochschule Koblenz

Köln Deutsche Sporthochschule Köln

Fachhochschule Köln

Hochschulbibliothekszentrum des Landes NRW

Kunsthochschule für Medien Köln

Rheinische Fachhochschule Köln gGmbH

Universität zu Köln

Konstanz Universität Konstanz

Köthen Hochschule Anhalt (FH)

Krefeld Hochschule Niederrhein

Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.

Landshut Hochschule Landshut, Fachhochschule

Leipzig Deutsche Telekom, Hochschule für Telekommunikation Leipzig

Helmholtz-Zentrum für Umweltforschung – UFZ GmbH

Hochschule für Grafik und Buchkunst Leipzig

Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“

Hochschule für Technik, Wirtschaft und Kultur Leipzig

Leibniz-Institut für Troposphärenforschung e. V.

Mitteldeutscher Rundfunk

Universität Leipzig

Lemgo Hochschule Ostwestfalen-Lippe

Lübeck Fachhochschule Lübeck

Universität zu Lübeck

Ludwigshafen Fachhochschule Ludwigshafen am Rhein

Lüneburg Leuphana Universität Lüneburg

Magdeburg Hochschule Magdeburg-Stendal (FH)

Leibniz-Institut für Neurobiologie Magdeburg

Otto-von-Guericke-Universität Magdeburg

58 | DFN Mitteilungen Ausgabe 79 | November 2010 | DFN-VEREIN

Mainz Fachhochschule Mainz

Johannes Gutenberg-Universität Mainz

Universität Koblenz-Landau

Mannheim Hochschule Mannheim

TÜV SÜD Energietechnik GmbH Baden-Württemberg

Universität Mannheim

Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW)

Marbach a. N. Deutsches Literaturarchiv

Marburg Philipps-Universität Marburg

Merseburg Hochschule Merseburg (FH)

Mittweida Hochschule Mittweida

Mosbach Berufsakademie Mosbach, Staatliche Studienakademie

Mühlheim an

der Ruhr

Hochschule Ruhr West

Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V.

München Bayerische Staatsbibliothek

Hochschule München (FH)

Fraunhofer-Gesellschaft e. V.

Helmholtz Zentrum München Deutsches Forschungszentrum für

Gesundheit und Umwelt GmbH

IFO Institut für Wirtschaftsforschung e. V.

Ludwig-Maximilians-Universität München

Max-Planck-Gesellschaft

Technische Universität München

Universität der Bundeswehr München

Münster Fachhochschule Münster

Westfälische Wilhelms-Universität Münster

Neubranden-

burg

Hochschule Neubrandenburg

Neu-Ulm Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm

Nordhausen Fachhochschule Nordhausen

Nürnberg Georg-Simon-Ohm-Hochschule für angewandte Wissenschaften,

Fachhochschule Nürnberg

Kommunikationsnetz Franken e. V.

Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen

Nuthetal Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke

Oberursel Dimension Data Germany AG & Co. KG

Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH

Offenbach/M. Deutscher Wetterdienst (DWD)

Offenburg Hochschule Offenburg, Fachhochschule

Oldenburg Carl von Ossietzky Universität Oldenburg

Landesbibliothek Oldenburg

Osnabrück Fachhochschule Osnabrück

Universität Osnabrück

Paderborn Fachhochschule der Wirtschaft Paderborn

Heinz Nixdorf MuseumsForum GmbH

Universität Paderborn

Passau Universität Passau

Peine Deutsche Gesellschaft zum Bau und Betrieb von Endlagern

für Abfallstoffe mbH

Potsdam Fachhochschule Potsdam

Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ

Hochschule für Film und Fernsehen „Konrad Wolf“

Potsdam-Institut für Klimafolgenforschung e. V. (PIK)

Universität Potsdam

Ratingen Hewlett-Packard GmbH

Regensburg Hochschule für angewandte Wissenschaften - Fachhochschule

Regensburg

Universität Regensburg

Rosenheim Hochschule für angewandte Wissenschaften - Fachhochschule

Rosenheim

Rostock Leibniz-Institut für Ostseeforschung Warnemünde

Universität Rostock

Saarbrücken Universität des Saarlandes

Salzgitter Bundesamt für Strahlenschutz

Sankt Augustin Fachhochschule Bonn Rhein-Sieg

Schmalkalden Fachhochschule Schmalkalden

Schwäbisch

Gmünd

Pädagogische Hochschule Schwäbisch Gmünd

Schwerin Landesbibliothek Mecklenburg-Vorpommern

Senftenberg Hochschule Lausitz (FH)

Siegen Universität Siegen

Speyer Deutsche Hochschule für Verwaltungswissenschaften

Straelen GasLINE Telekommunikationsnetzgesellschaft deutscher

Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft

Stralsund Fachhochschule Stralsund

Stuttgart Cisco Systems GmbH

Duale Hochschule Baden-Württemberg

Hochschule der Medien Stuttgart

Hochschule für Technik Stuttgart

NextiraOne Deutschland GmbH

Universität Hohenheim

Universität Stuttgart

Tautenburg Thüringer Landessternwarte Tautenburg

Trier Fachhochschule Trier

Universität Trier

Tübingen Friedrich-Loeffler-Institut, Bundesforschungsinstitut

für Tiergesundheit

Eberhard Karls Universität Tübingen

Ulm Hochschule Ulm

Universität Ulm

Vechta Hochschule Vechta

Private Fachhochschule für Wirtschaft und Technik

Wachtberg Forschungsgesellschaft für Angewandte Naturwissenschaften e. V.

Wadern Schloss Dagstuhl - Leibniz-Zentrum für Informatik GmbH (LZI)

Weidenbach Fachhochschule Weihenstephan

Weimar Bauhaus-Universität Weimar

Weingarten Hochschule Ravensburg-Weingarten

Pädagogische Hochschule Weingarten

Wernigerode Hochschule Harz (FH)

Weßling T-Systems Solutions for Research GmbH

Wiesbaden Hochschule RheinMain

Statistisches Bundesamt

Wildau Technische Hochschule Wildau (TH)

Wilhelmshaven Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth

Wismar Hochschule Wismar

Witten Universität Witten/Herdecke GmbH

Wolfenbüttel Ostfalia Hochschule für angewandte Wissenschaften

Herzog August Bibliothek

Worms Fachhochschule Worms

Wuppertal Bergische Universität Wuppertal

Würzburg Hochschule für angewandte Wissenschaften -Fachhochschule

Würzburg-Schweinfurt

Julius-Maximilians-Universität Würzburg

Zittau Hochschule Zittau/Görlitz

Internationales Hochschulinstitut

Zwickau Westsächsische Hochschule Zwickau

59DFN Mitteilungen Ausgabe 79 |