mitteilungen VideoConference 2.0 Die nächste Generation DFNConf Der Pilotbetrieb beginnt Breites Angebot von Infrastructure-as-a-Service verfügbar

Transkript

1 Deutsches Forschungsnetz DFN Mitteilungen Ausgabe 92 November mitteilungen VideoConference 2.0 Die nächste Generation DFNConf Der Pilotbetrieb beginnt Breites Angebot von Infrastructure-as-a-Service verfügbar Neues DFN-CERT Portal Ihre IT-Sicherheit im Überblick

2 Impressum Herausgeber: Verein zur Förderung eines Deutschen Forschungsnetzes e. V. DFN-Verein Alexanderplatz 1, Berlin Tel.: Fax: Mail: Web: ISSN Redaktion: Nina Bark Gestaltung: Labor3 Druck: Druckerei Rüss, Potsdam DFN-Verein 11/2017 Fotonachweis: Titel maginima / istockphoto Seite 6/7 skeeze / pixabay Seite 34/35 siraanamwong / fotolia

3 DFN Mitteilungen Ausgabe Jahre Videoconferencing Dipl. Phys. Dr. rer. nat. Ulrich Schwenn (in Rente seit August 2011) Wer versteht denn was von Video und Bildern? fragte Prof. Klaus Pinkau, wissenschaftlicher Direktor am MPI für Plasmaphysik (IPP) im Jahr 1997 bei einer Programmbesprechung des Rechenzentrums Garching (RZG), in der es um Videokonferenzen zwischen dem Stammgelände in Garching und dem im Bau befindlichen Teilinstitut in Greifswald ging. Kann so schwierig nicht sein, dachte ich und sagte zu. Ich hatte gerade nach fast 20 Jahren als Theoretiker und Numeriker die Grafik- und Multimediagruppe am RZG übernommen. Schon bald darauf liefen die ersten Tests zwischen Garching und Greifswald und wir trauten uns an die Übertragung des ersten gemeinsamen Kolloquiums. Klaus Desinger, zuständig für Networking und die Verbindung zum DFN-Verein, hatte mir die gerade frisch etablierten MBone-Aktivitäten vorgeführt und mich schnell von der Realisierbarkeit von vic, vat, sdr usw. überzeugt. Die Premiere war dann nicht schlecht, aber nach einigen Sitzungen mit ständigen Verbindungsabbrüchen, Rückkoppelungen, asynchronem Ton und unlesbaren Präsentationen und vor allem der daraufhin rückläufigen Beteiligung an den Kolloquien sprach Prof. Pinkau ein Machtwort: Schluss mit der Bastelei, eine kommerzielle Lösung muss her. Und diese kam auch rechtzeitig zur Institutseröffnung im Juli 2000 und alles ging wie bestellt, die Konferenz-Spezifikationen für die Hörsäle übernahm ich, den Rest erledigte ein professioneller Medienplaner. Um dann 2003 in die neue Welt der ITU Standards einzutauchen, handelten wir, Hans Pfeiffenberger für die HGF und ich für die MPG, mit Gisela Maiß und Klaus Ullmann vom DFN-Verein die Bedingungen für den zukünftigen H.323 basierten DFNVC-Dienst (DFNVideoConference) im G-WiN aus. Es gab MCUs (multipoint control units) und ISDN- IP Gateways der Firma Radvision, diverse Gatekeeper (Hard- und Software) und alles wurde zur besseren Ausfallsicherheit auf die beiden Standorte Stuttgart und Berlin verteilt. Die DFNVC Betriebsgruppe in Stuttgart (Jürgen Hornung und Ralf Trefz) war und ist bis heute der Fels in der Brandung um den Betrieb vom DFNVC-Dienst. Die Nutzung des Dienstes stieg schnell stark an. Dementsprechend wurde der MCU-Park immer rechtzeitig und redundant ausgebaut wurden die Radvisions gegen Codian MCUs ausgetauscht und von da an gab es Videoübertragung in HD Qualität (720p und 1080p), H.239 für die Übertragung von Präsentationen, die Möglichkeit der Aufzeichnung von Konferenzen und vieles mehr. Seit 2006 wird auch der (Non-standard) Webconferencing-Dienst Adobe Connect angeboten. Auch dessen Nutzung steigt ständig. Die Standardfahne hoch zu halten, war und ist auch das Ziel der DINI Arbeitsgruppe VIKTAS, die den DFNVC-Dienst seit vielen Jahre intensiv genutzt hat. Für die Mitglieder der ersten Tage seien stellvertretend genannt: Heinz Wenzel, Bernhard Barz, Jörn Stock und Ulli Schwenn. Die Leitung hat derzeit Reinhard Eisberg vom DESY. Das Kompetenzzentrum für Videokonferenzdienste VCC an der TU Dresden, ein Projekt des DFN-Vereins, für mich verbunden mit Frank Schulze und Undine Grohmann, führt Tests, Schulungen und Workshops zum Thema durch. Christian Meyer übernahm 2016 die Führung des DFNVC von Gisela Maiß. Gisela sei an dieser Stelle herzlichst gedankt für Ihren Einsatz seit Beginn der Videokonferenz-Ära. Viel Erfolg Christian!

4 4 DFN Mitteilungen Ausgabe 92 November Unsere Autoren dieser Ausgabe im Überblick 1 Dr. Jakob Tendel, DFN-Verein (tendel@dfn.de); 2 Michael Röder, DFN-Verein (roeder@dfn.de); 3 Christian Meyer, DFN-Verein (cmeyer@dfn.de); 4 Dr. Stefan Piger, DFN-Verein (piger@dfn.de); 5 Wolfgang Pempe, DFN-Verein (pempe@dfn.de); 6 Dr. Leonie Schäfer, DFN-Verein (schaefer@dfn.de); 7 Dr. Christian Grimm, DFN-Verein (grimm@dfn.de); 8 Peter Hillmann, Universität der Bundeswehr München (peter.hillmann@unibw.de); 9 Marcus Knüpfer, Universität der Bundeswehr München (marcus.knuepfer@unibw.de); 10 Prof. Dr. Gabi Dreo Rodosek, Universität der Bundeswehr München (gabi.dreo@unibw.de); 11 Nina Bark, DFN-Verein (bark@dfn.de); 12 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de); 13 Martin Waleczek, DFN-CERT Services GmbH (waleczek@dfn-cert.de); o. Abb. Stefan Kelm, DFN-CERT Services GmbH (kelm@dfn-cert.de); 14 Jan Schmidt, Ludwig- Maximilians-Universität München (schmidtja@nm.ifi.lmu.de); 15 Nils gentschen Felde, Ludwig- Maximilians-Universität München (felde@nm.ifi.lmu.de) o. Abb. Angelika Müller, Technische Universität München (muellera@tum.de) 16 Hans Pongratz, Technische Universität München (pongratz@tum.de); 17 Matthias Mörike, Forschungsstelle Recht im DFN (moerike@dfn.de); 18 Johannes Baur, Forschungsstelle Recht im DFN (baur@dfn.de)

5 DFN Mitteilungen Ausgabe 92 5 Inhalt Wissenschaftsnetz DFN-Cloud im Aufwind von Jakob Tendel, Michael Röder... 8 DFNConf Die nächste Generation des DFN Videokonferenzdienstes von Christian Meyer Kurzmeldungen International InAcademia ein Dienst baut Brücken von Wolfgang Pempe Kurzmeldungen Sicherheit CAKE: Hybrides Gruppen Schlüssel Management Verfahren von Peter Hillmann, Marcus Knüpfer, Gabi Dreo Rodosek Campus Eine vollautomatisierte e-learning Plattform von Jan Schmidt, Nils gentschen Felde Der Faktor Mensch: IT-Sicherheit an Hochschulen von Angelika Müller, Hans Pongratz Recht BGH bestätigt: IP-Adressen sind personenbezogene Daten von Matthias Mörike Vorerst gescheitert von Johannes Baur DFN-Verein DFN Live Überblick DFN-Verein Mitgliedereinrichtungen Das neue DFN-CERT Portal von Nina Bark, Ralf Gröper Sicherheitssoftware: Schlangenöl oder notwendiges Übel? von Martin Waleczek, Stefan Kelm Sicherheit aktuell... 33

6 6 DFN Mitteilungen Ausgabe 92 November 2017 WISSENSCHAFTSNETZ

7 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe 92 7 Wissenschaftsnetz DFN-Cloud im Aufwind von Jakob Tendel, Michael Röder DFNConf Die nächste Generation des DFN Videokonferenzdienstes von Christian Meyer Kurzmeldungen

8 8 DFN Mitteilungen Ausgabe 92 November 2017 WISSENSCHAFTSNETZ DFN-Cloud im Aufwind Der Pilotbetrieb für ein breites Angebot von Infrastructure-as-a-Service beginnt Der DFN-Verein hat sich seit Langem darum bemüht, die DFN-Cloud um ein leistungsfähiges Angebot von Infrastructure-as-a-Service zu ergänzen. Neben vielen Gesprächen mit potentiellen Anbietern aus der Wissenschaft hatte sich der DFN-Verein dafür auch an einem von GÉANT auf europäischer Ebene durchgeführten Vergabeverfahren angeschlossen. Als Ergebnis wurden von GÉANT Rahmenverträge mit einer Vielzahl von Service-Providern abgeschlossen und anschließend vom DFN-Verein auf nationaler Ebene das rechtliche und organisatorische Umfeld bereitet. Das neue Angebot kann nun als Teil der DFN-Cloud zunächst im Pilotbetrieb beauftragt werden. Text: Jakob Tendel, Michael Röder (DFN-Verein) Foto OlyPhotoStories / depositphotos

9 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe 92 9 GÉANT, die Dachorganisation aller europäischen Forschungsnetze (NRENs), hat ein europaweites Vergabeverfahren für Infrastructure-as-a-Service -Angebote durchgeführt. Ziel des Verfahrens war es, kommerzielle Service-Provider dazu zu motivieren, ihre am Markt erhältlichen Dienstangebote besser auf die besonderen Bedarfe von Wissenschaft und Forschung abzustimmen, und so den Teilnehmereinrichtungen aus Forschung und Lehre eine Auswahl an unterschiedlichen IaaS-Diensten zu besonders wirtschaftlichen und an die Bedarfe von Forschung und Lehre angepassten Bedingungen bieten zu können. Durch die Bündelung auf europäischer Ebene konnte eine erhöhte Verhandlungsbereitschaft seitens der Service-Provider erreicht werden. Für dieses Vergabeverfahren wurden ausschließlich Angebote angefragt, die auf die Auslagerung von IT-Infrastruktur ( Infrastructure-as-a-Service (IaaS), siehe blauer Kasten) ausgerichtet sind. Das gesamte Vergabeverfahren wurde durch GÉANT als zentrale Beschaffungsstelle unter Beteiligung des DFN-Vereins und vieler anderer europäischer NRENs ausgearbeitet und durchgeführt und kann nun nach den jeweiligen nationalen Vereinbarungen zwischen den Forschungsnetzen und ihren Teilnehmereinrichtungen beauftragt werden. Der DFN-Verein unterstützt die Teilnehmereinrichtungen dabei und koordiniert das rechtliche und organisatorische Umfeld. Dazu hat der DFN-Verein von einem Fachanwalt für Vergaberecht ein Gutachten zum Vergabeverfahren erstellen lassen. Dieses Gutachten steht für Teilnehmereinrichtungen bereit, sofern diese bei der Absicherung des vergaberechtlichen Vorgehens Unterstützung benötigen. Diese Aktivitäten werden gegenwärtig im Rahmen einer bis Ende 2018 laufenden Pilotphase durch GÉANT-Mittel unterstützt. Der gemeinsame Lernprozess auf nationaler als auch auf europäischer Ebene zeigt, dass dieses Vorgehen zukünftig auch für andere vergleichbare Vergabeverfahren anwendbar sein könnte. INFRASTRUCTURE-AS-A-SERVICE (IaaS): Mithilfe von Infrastructure-as-a-Service können virtuelle Rechenressourcen aus der Cloud bezogen werden. IaaS Service-Provider machen hochskalierbare Ressourcen verfügbar, die bei Bedarf sofort und sehr feingranular konfiguriert werden können. Der Betrieb der physischen Infrastruktur findet im Rechenzentrum des Service- Providers statt. Bei der Nutzung von IaaS müssen deshalb betriebliche Aspekte wie bspw. Hardwarewartung, Stellfläche, Klimatisierung, Energieversorgung etc. während der Beschaffung nicht berücksichtigt werden. So wird beabsichtigt, in Zukunft weitere Vergabeverfahren nach ähnlichem Muster durchzuführen, um unterschiedliche Arten von Cloud-Services anbieten zu können, aber auch um die Kontinuität bei den IaaS-Diensten über die Dauer der gegenwärtig mit GÉANT abgeschlossenen Rahmenvereinbarung hinaus zu sichern. Die Ausschreibung GÉANT hat bereits in der Vergangenheit ähnliche Verfahren durchgeführt. Die dabei erzielten Ergebnisse sind über alle europäischen Wissenschaftsnetze hinweg von großer Bedeutung, denn die zentrale Position der Organisation macht die potentiellen Anbieter in besonderer Weise auf die europäische Community aus Wissenschaft und Forschung aufmerksam. GÉANT tritt am digitalen Markt mit der Stimme von 36 NRENs und deren mehr als Teilnehmereinrichtungen viel einflussreicher auf, als eine kleine Institution das könnte. Durch die Nähe der Organisation zu den NRENs sind die Bedürfnisse öffentlicher Auftraggeber bei GÉANT gut bekannt. In der Rolle einer zentralen Beschaffungsstelle muss durch GÉANT der Aufwand eines Vergabeverfahrens nur ein einziges Mal durchgeführt werden. Die daraus resultierenden Ergebnisse stehen anschließend den teilnehmenden NRENs zur Verfügung und können in deren Portfolio von Dienstleistungen aufgenommen werden. Das Ergebnis Im Ergebnis des Verfahrens erhalten die Teilnehmereinrichtungen die Möglichkeit, IaaS Cloud-Dienste verschiedener Service-Provider zu speziell angepassten Konditionen zu beauftragen. Die Tarifmodelle wurden von den Service-Providern hinsichtlich der Rechnungsstellung und Planbarkeit deutlich an die Bedarfe von Einrichtungen aus Forschung und Lehre angepasst und bieten je nach Service-Provider zum Teil signifikante Nachlässe auf die jeweils aktuellen Marktpreise. Die im Vergabeverfahren qualifizierten Angebote wurden in Rahmenvereinbarungen zwischen GÉANT und dem jeweiligen Service-Provider festgeschrieben. Die Laufzeit der Rahmenvereinbarungen aus diesem ersten IaaS-Vergabeverfahren ist auf insgesamt 4 Jahre ab Vertragsschluss begrenzt und endet am 31. Dezember Die IaaS-Dienste der Service-Provider, die eine Rahmenvereinbarung mit GÉANT abgeschlossen und sich darin verpflichtet haben, ihr IaaS-Dienstangebot im X-WiN anzubieten, befinden sich im DFN-Diensteportfolio innerhalb der DFN-Cloud und dort unter der Bezeichnung Externe Dienste. Die Vorteile Zur besseren Übersicht können die Service- Provider, die für Einzelaufträge zur Verfü-

10 10 DFN Mitteilungen Ausgabe 92 November 2017 WISSENSCHAFTSNETZ darf eine Einrichtung mittels eines Direkt abrufs ohne öffentliche Begründung oder weitere Ausschreibung den Dienst direkt beschaffen. Sollten die Bedürfnisse einer Einrichtung (z. B. Datenschutz, andere Geschäftsbedingungen) nicht vollständig erfüllt sein, können mittels eines leicht handhabbaren sogenannten Mini-Wettbewerbs unter den aufgeführten Service-Providern nachgebesserte Angebote eingeholt werden, aus denen dann das passende per Direktabruf ausgewählt wird. Die Vielfalt an Angeboten mit unterschiedlichen technischen und organisatorischen Ansätzen sollte es den meisten Teilnehmereinrichtungen erlauben, den für sie passenden Dienst direkt auszuwählen und zu beauftragen. Service-Provider At the Heart of Global Research and Education Networking ANA Dienstvereinbarung Einzelauftrag Teilnahme Vergabeverfahren Rahmenvereinbarung Teilnehmereinrichtung Abbildung 1: Beziehungsdiagramm bei der Realisierung der externen Dienste gung stehen, in zwei Gruppen unterschieden werden. Eine Gruppe setzt sich aus allen Service-Providern zusammen, die einen GÉANT Coverage RedCLARA Network originär entwickelten IaaS-Dienst selbst beeumedconnect3 Network treiben. Teilnehmereinrichtungen im TEINFür Network AfricaConnect2: UbuntuNet Alliance, Wissenschaftsnetz lauten diese wie folgt: WACREN & ASREN Aus dem GÉANT Vergabeverfahren ergeben sich eine Reihe wirtschaftlicher Nutzen und praktischer Vorteile. Die Service-Provider wurden dazu verpflichtet, ihrmultiple Identitätsmanagement mit der DFN100 Gbps links 100 Gbps AAI bzw. edugain kompatibel zu machen. Multiples of 10 Gbps 10 Gbps Der wirtschaftliche Nutzen ergibt sich Der DFN-Verein empfiehlt deshalb bereits 10 Gbps backup während dergbps Pilotphase dringend die Veraus teils signifikanten Nachlässen auf die >1 Gbps<10 1 Gbps CAREN Network Marktpreise der unterschiedlichen Servicewendung der von ihm betriebenen Authenti CloudSigma EaPConnect Network Provider, und aus weitreichendem Erlass fizierungs- und Autorisierungsinfrastruktur Other R&E Networks Dimension Data GÉANT and partner networks enabling user : ACE & TransPAC bzw. Ermäßigung der marktüblichen Da( DFN-AAI ). Durch das Single Sign-on-Vercollaboration across the globe Interoute Dark Shading: Connected to regional network tenübertragungsgebühren der Service-Profahren innerhalb der DFN-AAI werden RegisShading: Eligible to connect to regional network LightT-Systems vider. Die je nach Service-Provider untertrierungsprozesse für neue Endanwender October 2016 Vancis. schiedlichen Nachlässe sind in der Form innerhalb des Cloud-Dienstes vereinfacht. Die zweite Gruppe umfasst alle diejeniprozentualer Ermäßigungen auf den jedarüber hinaus bekommen TeilnehmereinThis document is produced as part of the GÉANT Specific Grant Agreement GN4-2 (No ), that has received funding from the European Union s 2020 research and innovation programme under the GÉANT2020 Framework Partnership Agreement (No ). In addition to des GN4-2, the following projects have received funding fromlistenpreis the European Union: AfricaConnect2, CAREN3, TEIN4und and Asi@Connect (DG DEVCO); EaPConnect and EUMEDCONNECT3 (DG NEAR). gen Service-Provider, die in der Rolle weils aktuellen definiert, richtungen die Möglichkeit, Cloud-RessourThe content of this document is the sole responsibility of GÉANT and can under no circumstances be regarded as reflecting the position of the European Union. Wiederverkäufers eines fremdentwickelsehen meist am Gesamtumsatz aller Abcen über Gruppenrichtlinien und Rollenzuten IaaS-Dienstes auftreten ( Reseller ). nehmer eines Service-Providers errechnegehörigkeiten zentral zu verwalten. Dies betrifft ausschließlich die IaaS-Ante weitere Stufen vor. gebote Microsoft Azure und Amazon Für die Vorbereitung und Durchführung Web Services. komplexerer Cloud-Projekte bieten die SerEin besonderes Ziel des Vergabeverfahrens ist es, auch praktische Aspekte der vice-provider diverse ZusatzdienstleistunDie folgenden Service-Provider treten unnutzung dieser Dienste besser an den Begen von Planungsunterstützung bis Mitarbeiterschulung an. Und nicht zuletzt ter der Rahmenvereinbarung als Reseller dürfnissen von Teilnehmereinrichtungen der Amazon Web Services auf: aus Forschung und Lehre auszurichten. wurden die Service-Provider ebenfalls verpflichtet, Abrechnungsverfahren öffentli Arcus Global Insbesondere der Beschaffungsprozess von cher Einrichtungen zu unterstützen. Teil Comparex nehmereinrichtungen haben so die MögCloud-Diensten soll mithilfe dieses Verga Telecom Italia. lichkeit, ihren Endanwendern IaaS-Servibeverfahrens durch GÉANT als zentraler ces verfügbar zu machen und dabei die Beschaffungsstelle erleichtert werden. Die folgenden Service-Provider treten unabgerufenen Ressourcen zentral zu verdarauf basierend können Teilnehmereinter der Rahmenvereinbarung als Reseller walten und abzurechnen. richtungen passende IaaS-Dienste unter von Microsoft Azure auf: dem GÉANT Rahmen auf zwei möglichen Wegen beziehen: dem Direktabruf oder Atea Der DFN-Verein arbeitet mit allen Servicedem Mini-Wettbewerb. Entspricht eines Comparex Providern daran, ihre Rechenzen tren über der Angebote den eigenen Bedürfnissen, SoftwareOne. direkte und leistungsstarke Peerings mit Funded by the European U

11 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe dem Wissenschaftsnetz zu verbinden und damit langfristig exzellente Dienstqualität bei der Netzwerkanbindung sicherzustellen. Der Datenverkehr findet auf direktem Weg zwischen dem Cloud-Rechenzentrum und der Teilnehmereinrichtung statt, sodass diese grundsätzlich die volle X-WiN- Performance erhalten. Die externen Dienste im Pilotbetrieb Die Rahmenvereinbarungen zwischen GÉANT und den Service-Providern sind geschlossen, und der DFN regelt die Abläufe mit den Service-Providern in Deutschland. Abbildung 1 verdeutlicht die Beziehungen zwischen den beteiligten Parteien. Eine Teilnehmereinrichtung muss vor ihrer ersten Beschaffung eine Dienstverein barung mit dem DFN-Verein abschließen. Daraufhin kann die Einrichtung den passenden Dienst aus dem Angebot auswählen und direkt beschaffen oder bei Bedarf unter den Service-Providern per Mini-Wettbewerb die Konditionen passend machen. Die Vertragsvorlagen dazu erhält die Teilnehmereinrichtung ebenfalls vom DFN-Verein. Zur Vereinfachung der Auswahlentscheidung hat GÉANT in der Ausschreibung insgesamt 19 Fragepunkte zur Abgrenzung der Angebote von einander vorgegeben. Die daraus resultierenden Informationen wurden ausgewertet und grafisch, ähnlich zur Darstellung in Abbildung 2, in einer Cloud Service Matrix aufbereitet. Zugang zu dieser Übersicht kann im Rahmen der Beratung beim DFN-Verein beantragt werden, ebenso zu den detaillierten Angeboten und Dienstbeschreibungen der Service-Provider. Der DFN-Verein unterstützt die Teilnehmereinrichtung bei ihren Beschaffungsvorgängen mit Informationen über die Abläufe und versorgt sie mit den Vertragsdokumenten für die DFN-Dienstvereinbarung und den Direktabruf mit Service-Providern. Des Weiteren stellt der DFN-Verein ein breites Informationsangebot für interessierte Teilnehmereinrichtungen zur Verfügung, und weitet dies fortlaufend aus. Dazu gehören: Beratung zur Rahmenvereinbarung und Beschaffungsabläufen Einsicht in Vergabeunterlagen der Angebote Workshops und Info- Veranstaltungen Die Aktivitäten des DFN-Vereins werden während der bis Ende 2018 laufenden Pilotphase durch GÉANT Mittel unterstützt. Teilnehmereinrichtungen können Fragen oder andere Anliegen an den DFN-Verein an folgende Adresse richten: cloud@dfn.de Aggregated Spending capital expenditure Contract terms Cost recovery fee Data Egress Direct Customer Connections EEU Data Security Directives Exit Support General Data Security Identity management, edugain Identity management, SAML2 Idle server setups Licensing Requirements Marketing and Adoption Support Migration of existing contracts IaaS services offering Post-paid billing Pricing Providers over Public IP Sensitivity Levels for Data Service and Support Strategic Collaboration Service-Provider 1 Service-Provider 2 Service-Provider 3 Service-Provider 4 Service-Provider 5 Service-Provider 6 Service-Provider 7 Service-Provider 8 Service-Provider 9 Service-Provider 10 Service-Provider 11 Service-Provider 12 Service-Provider 13 Abbildung 2: Beispiel für Cloud Service Matrix (grafische Gegenüberstellung der IaaS-Angebote)

12 12 DFN Mitteilungen Ausgabe 92 November 2017 WISSENSCHAFTSNETZ DFNConf Die nächste Generation des DFN Videokonferenzdienstes Videokonferenzen können manch kostspieliges Meeting ersetzen gerade im internationalen Umfeld. Sie erweitern die Möglichkeiten von Telefonkonferenzen und unterstützen die verbale Kommunikation durch Blickkontakt und Gesten. Neue technische Innovationen bieten immer umfangreichere Möglichkeiten, durch die Online-Meetings fast so stattfinden können, als säßen alle Beteiligten tatsächlich an einem gemeinsamen Konferenztisch. Da Projektteams vor allem in der Wissenschaft und Forschung geografisch verteilt arbeiten, wächst das Interesse an Videokonferenzlösungen seit Jahren stark an. Text: Christian Meyer (DFN-Verein) Foto portishead1 / istockphoto

13 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe Seit 2003 bietet der DFN-Verein mit seinem Videokonferenzdienst die Möglichkeit der audiovisuellen Kommunikation. Die Nutzung des Dienstes ist für viele Mitarbeiter an Hochschul- und Forschungseinrichtungen schon lange ein fester Bestandteil ihrer Arbeitsabläufe. Man trifft sich zu den unterschiedlichsten Zeiten und Anlässen, um sich mit Kollegen über den Fortschritt in EU-Projekten auszutauschen, Absprachen mit Partnern zu treffen oder um an Veranstaltungen und Konferenzen online teilzunehmen. Die Szenarien für die Nutzung von Videokonferenzen im Alltag sind vielfältig. Im Jahr 2006 wurde der bis dahin auf offenen Standards basierende Dienst durch eine proprietäre Komponente für webbasierte Konferenzen ergänzt, die seitdem wegen ihrer zusätzlichen Leistungsmerkmale wie z. B. einer Anbindung an Lern-Management-Systeme bevorzugt für verteilte Lehrveranstaltungen in vielfältigen Ausprägungen zum Einsatz kommt. Immer mehr Einrichtungen im DFN-Umfeld haben den Wert des Dienstes erkannt, so dass inzwischen mehr als 600 Einrichtungen die webbasierte Komponente nutzen, von denen 270 Einrichtungen auch Videokonferenzräume und geräte betreiben. Zu Spitzenzeiten werden von den zurzeit ca eingetragenen Konferenzveranstaltern webbasiert ungefähr 4,3 Mio. Konferenzminuten und standardbasiert ungefähr 1,2 Mio. Konferenzminuten pro Monat erzeugt. Die Technik Obwohl einige technische Komponenten schon mehr als 10 Jahre alt sind, bietet der Videokonferenzdienst immer noch höchste Qualität. Die leistungsstarken, dedizierten Hardwaresysteme im Backbone des Forschungsnetzes ermöglichen den Nutzern Videoverbindungen in FullHD-Auflösung. Um dies zu erreichen, werden Videokonferenzräume oder spezielle Arbeitsplatzsysteme benötigt, die die Standards H.323 oder SIP unterstützen. Moderne Zugangswege, zum Beispiel direkt im Browser verankert oder als eigenständige Applikation für mobile Geräte fehlen der Plattform bisher, werden aber verstärkt nachgefragt. Da ein Großteil der derzeitigen Infrastruktur vom Hersteller abgekündigt wurde, kann die Plattform nicht mehr wie bisher bedarfsgerecht ausgebaut werden. Die notwendigen Geräte werden nicht mehr verkauft und auch Wartungsverträge sind nicht mehr verfügbar. Die Obergrenze in der Skalierung ist also absehbar. Auch die Komponenten für webbasierte Konferenzen entsprechen nicht mehr dem Stand der Technik. Adobe Connect, das derzeitig im Betrieb befindliche Produkt, ist eine auf der Flash-Technologie basierende Software. Inkompatibilitäten mit unterschiedlichen Betriebssystemen bzw. Browsern und ein erhöhtes Auftreten von Sicherheitslücken stellen hier ein wachsendes Hindernis dar. Die Firma Adobe hat zwar angekündigt, Flash komplett einzustellen und auf adäquate neue Technologien umzusteigen, dies soll jedoch erst bis Ende 2020 vollzogen werden. Darüber hinaus fehlt den technischen Komponenten von Adobe noch immer die Möglichkeit, über das interne, proprietäre Kommunikationsprotokoll hinweg Verbindungen zu standardbasierten Produkten wie dem Videokonferenzdienst des DFN herzustellen. Adobe sieht hier leider auch keinen Bedarf, dies zu ändern. Somit mussten die Nutzer des Videokonferenzdienstes bislang damit leben, dass es zwei technische Lösungen für Videokonferenzen gab, die für ihre jeweiligen Anwendungsszenarien gut geeignet sind, die jedoch miteinander sowie mit anderen proprietären Videokonferenzdiensten Dritter (z. B. Skype) nur sehr eingeschränkt zusammenarbeiten. Die neue Plattform Somit stellt sich für den Videokonferenzdienst mit seinen zwei heutigen technischen Ausprägungen die Frage nach einer den gestiegenen Anforderungen entsprechenden Neukonzeption. Vorrangiges Ziel dabei ist die Zusammenführung der Funktionalitäten in eine kohärente Umgebung unter Beibehaltung der Standardkonformität. Auch zukünftig bleibt es unabdingbar, Konnektivität für bestehende Rauminstallationen in den Wissenschaftseinrichtungen zu gewährleisten. Die Teilnahme am Dienst soll dabei so weit wie möglich vereinfacht werden, sodass alle Nutzer ohne großen Vorbereitungsaufwand Konferenzen einrichten und durch führen können. Dazu gehört natürlich auch, eine Konferenz im Web durchführen zu können, ohne vorher spezielle Software installieren zu müssen. Nutzer, die schon in ihrer Einrichtung vorhandene Produkte von Drittanbietern in Verwendung haben, können zukünftig auch mit diesen Anwendungen auf den DFN-Konferenzdienst zugreifen. Hier ist besonders Skype for Business von Microsoft hervorzuheben, welches in den letzten Jahren durchaus an Relevanz gewonnen hat. Des Weiteren steht im Fokus der Neukonzeption auch das Thema Recording und Streaming. Bisher sind in diesem Bereich nur eingeschränkte Funktionalitäten verfügbar: Aufnahmen von Web- und Videokonferenzen sind möglich, aber nicht in höchster Auflösung und nur in unpraktischen Formaten, das Live-Streaming von Veranstaltungen ist nur bei kleineren Teilnehmerzahlen möglich. Hier ist es das Ziel, die Qualität und die Formate dem aktuellen Stand der Technik anzupassen und die Möglichkeiten des Live-Streamings auszubauen. Nicht zuletzt soll mit einer neuen Konferenzplattform natürlich auch den steigenden Nutzerzahlen begegnet werden. Die neue Plattform wird eine einfache Skalierung ermöglichen, um dem stetig starken Wachstum der Registrierungen gerecht zu werden. Dadurch wird eine bedarfsgerechte Erweiterung der Kapazitäten auch zukünftig erhalten bleiben.

14 14 DFN Mitteilungen Ausgabe 92 November 2017 WISSENSCHAFTSNETZ einrichten/verwalten Veranstalter einladen/verwalten betreten/verlassen betreten/verlassen Meetingraum Mit spezifischen Raumeigenschaften (z. B. Zugangsinformationen) Teilnehmer Die Ausschreibung Nach erfolgter Markterkundung und ausführlichen Tests verschiedener Produkte stand ein Beschaffungsvorhaben an. In Absprache mit anderen europäischen Forschungsnetzen wurde schnell deutlich, dass auch dort dieselben Ausgangslagen und Umbaubestrebungen herrschten. Damit bot sich die Gelegenheit, in enger Kooperation und unter Federführung der europäischen Dachorganisation GÉANT eine gemeinsame Ausschreibung für alle europäischen Forschungsnetze durchzuführen. An der aktiven Bearbeitung dieser EU-weiten Ausschreibung beteiligten sich neben dem DFN-Verein auch das skandinavische Forschungsnetz NORDUnet, das tschechische Forschungsnetz CESNET, das irische Forschungsnetz HEAnet und das norwegische Forschungsnetz UNINET. Neben dem geteilten Arbeitsaufwand war natürlich auch die kumulierte Kaufkraft einer der maßgeblichen Vorteile der Kooperation. Im Mai 2017 wurden nach sechsmonatiger Verhandlungsphase drei Rahmenverträge geschlossen. Vertragspartner sind neben dem US-basierten Hersteller Cisco noch der norwegische Hersteller Pexip und Zoom als ein weiterer Hersteller aus Nordamerika geworden. Nach Evaluierung dieser Produkte werden zukünftig Pexip und Zoom als funktionale Module den Konferenzdienst des DFN-Vereins erweitern. Das Nutzungsmodell Mit der neuen Plattform können Nutzer den Dienst wie bisher ad hoc und ohne vorherige Reservierung von Ressourcen verwenden. Geläufige Nutzungsszenarien bleiben dabei auch weiterhin im Entgelt von DFNInternet enthalten. Anders als bisher wird für die Nutzung des Dienstes zukünftig eine einrichtungsweite Dienstvereinbarung vorausgesetzt. Nutzer dieser Einrichtungen können dann direkt auf das Dienstportal zugreifen und sich als Veranstalter registrieren. Als Veranstalter ist man in der Lage, Meetingräume anzulegen und Einladungen an die entsprechenden Teilnehmer vorzubereiten. Teilnehmer müssen dabei über kein eigenes Konto verfügen, sondern können auch aus Einrichtungen kommen, die nicht dem Teilnehmerkreis des DFN-Vereins angehören. Damit ist es beispielsweise möglich, auch Industriepartner oder internationale Gesprächspartner in einen Meetingraum einzuladen. Die Autorisierung eines Veranstalters am Nutzerportal erfolgt über eine einheitliche Oberfläche, die auf dem Single Sign-On der DFN-AAI-Föderation beruht. So können Nutzer mit ihrem Konto aus der eigenen Einrichtung direkt in das Dienstportal einsteigen, ohne sich vorher registrieren zu müssen. Nutzer aus Einrichtungen ohne eigenes Identitätsmanagement haben die Möglichkeit, sich manuell zu registrieren. Hat ein Veranstalter einen Meetingraum angelegt und seine Teilnehmer informiert, kann jeder Teilnehmer individuell entscheiden, welcher der angebotenen Zugangswege genutzt werden soll. Eine wichtige Rolle wird dabei der webbasierte Zugang einnehmen, ist er doch die einfachste Methode. Ohne weitere Softwareinstallationen kann der Meetingraum dabei direkt im Webbrowser betreten werden. Auch der schon etablierte Zugang über dafür vorgesehene Videokonferenzinstallationen wird weiterhin möglich sein. Teilnehmer, die gern ihre mobilen Geräte verwenden möchten, können sich zukünftig entsprechende Softwareapplikationen installieren. Diese werden kostenfrei zur Verfügung gestellt. Für Teilnehmer, die schon über Applikationen anderer Hersteller verfügen, wird der Zugang zum Meetingraum genauso möglich sein. Teilnehmer, die kein Video übertragen wollen oder können, haben außerdem die Möglichkeit, telefonisch beizutreten. Die Erstellung eines Meetingraumes erfolgt mit dem neuen Dienst über eine einheitliche, produktunabhängige Oberfläche. Diese Oberfläche wird Veranstaltern die Möglichkeit bieten, konkrete Anforderungen an einen Meetingraum anzugeben, indem entsprechende Eigenschaften ausgewählt werden können. Die Eigenschaften eines Meetingraumes sind zum Beispiel die Raumgröße (also die maximal mögliche Teilnehmerzahl), Zugriffsbeschränkungen (PIN, Raum abschließen oder Ähnliches), Streamingoptionen oder die Anbindung von Lern-Management-Systemen (LMS). Vorgefertigte Profile (z. B. Vorlesung, Projektgespräch o. Ä.), die zudem noch individualisierbar sind, sollen die Erstellung von Meetingräumen erleichtern. Das Nutzerportal erzeugt dann automatisch anhand der Vorgaben des Veranstalters einen entsprechenden Meetingraum. Dieser bleibt persistent im Konto des Veranstalters er-

15 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe halten und kann damit auch nachträglich noch angepasst werden. Die Umsetzung Die bisherigen technischen Komponenten des Videokonferenzdienstes sollen nicht außer Betrieb genommen werden. Es ist vielmehr geplant, sie unter dem Schirm des neuen einheitlichen Nutzerportals weiter zu verwenden. Die neu hinzukommenden Dienstmodule werden Schritt für Schritt in den Betrieb eingegliedert. So wird eine sanfte Migration auf die Nachfolgeplattform erreicht, Konferenzräume der alten Plattform können vom Veranstalter gesteuert auf die neue Plattform umgezogen werden. Für den Veranstalter soll dabei der Medienbruch und die damit verbundene Umlernphase so gering wie möglich sein. Fazit Ein umfassendes multimediales Dienstangebot im DFN war schon von Anfang an mit der Vision verbunden, einen einzigen integrierten Dienst anzubieten, der sowohl über SIP-und H.323-basierte VC-Systeme als auch über einen standardisierten Browser-basierten Zugang erreichbar ist. Für den Nutzer spielt es keine Rolle, welche Technik im Hintergrund eingesetzt wird. Er nutzt Einwahlmöglichkeiten von verschiedenen Systemen und Plattformen, wählt sich vom Home-Office ein und ist auch auf Reisen mobil in der Lage zu kommunizieren. Dieses Szenario skizziert eine Welt, in der jeder Wissenschaftler in Deutschland auf unterschiedliche und individuelle Weise multimedial kommuniziert. Mit dem neuen Dienstangebot DFNConf wird diese Vision nun Realität. Zu jeder Zeit und an (fast) jedem Ort können virtuelle Meetingräume verwendet werden. Auf einfachen und intuitiven Nutzungsprozessen beruhend wird damit das Zusammenführen von Web- und Videokonferenztechnologie vollzogen. DIE PROTOKOLLE DAHINTER: H.323 ITU Spezifikation für IP gestützte Videokonferenzen H.323 ist eine Spezifikation der ITU unter dem Titel Packet-based Multimedia Communications Systems, welche die spezifischen Fähigkeiten von Endgeräten im IP-Umfeld beschreibt. Der Standard ist aus dem H.320 Multimedia- Standard für ISDN abgeleitet. Er hat definierte Netzübergänge zu ISDN und anderen Netzen und soll die Interoperabilität der Herstellerprodukte untereinander garantieren. Unter dieser Spezifikation werden verschiedene Parameter zusammengefasst, die sowohl Verbindungsaufbau als auch Verbindungstransport betreffen. Dazu gehören auch die für Sprach- und Videodatenkomprimierung möglichen Methoden (Codecs). SIP - Session Initiation Protocol SIP ist ein von der IETF (Internet Engineering Task Force) entwickeltes Netzprotokoll und ist im RFC 3261 spezifiziert. Auch wenn der Name etwas irreführend ist, kann SIP inzwischen sowohl zum Aufbau als auch zur Steuerung und zum Beenden einer Kommunikationssitzung benutzt werden. Haupteinsatzgebiet ist die Übertragung von Audio- und Videoinhalten, in der VoIP-Telefonie ist SIP das überwiegend genutzte Protokoll. SIP lehnt sich an das Hypertext Transfer Protocol an, es ist für IP-Netze entworfen. Der Aufbau von SIP erlaubt es, auf einfache Weise neue Erweiterungen einzufügen, ohne dass alle involvierten Geräte diese verstehen müssen. SIP dient lediglich dazu, die Kommunikationsmodalitäten der Kommunikationspartner zu vereinbaren. Die eigentlichen Daten für die Kommunikation werden über andere Protokolle ausgetauscht. Hierzu wird häufig in SIP das Session Description Protocol (SDP) eingebettet. Dabei teilen sich die Endpunkte gegenseitig mit, welche Methoden der Videound Audio-Übertragung sie beherrschen (die sogenannten Codecs), mit welchem Protokoll sie das tun möchten und an welcher Netzadresse sie senden und empfangen wollen. Auch hier soll damit die Interoperabilität unterschiedlicher Hersteller untereinander gewährleistet werden. WebRTC - Web Real-Time Communication WebRTC ist ein offener Standard, der Echtzeitkommunikation mittels Audio- und Videoübertragung zwischen Rechnern ermöglicht. Dabei nimmt die browserbasierte Implementierung eine vorrangige Rolle ein, denn damit können Webbrowser nicht mehr nur Datenressourcen von Backend-Servern abrufen, sondern auch Echtzeitinformationen von Browsern anderer Benutzer. Dies ermöglicht Anwendungen wie Videokonferenz, Dateitransfer bzw. Datenübertragung, Chat und Desktopsharing direkt im Browser ohne weitere Softwareinstallationen. WebRTC wird beim World Wide Web Consortium (W3C) als offener Standard standardisiert. Es wird dabei eine Sammlung von Kommunikationsprotokollen und Codecs sowie Programmierschnittstellen (API) definiert, die Echtzeitkommunikation über Rechner- Rechner-Verbindungen ermöglichen. WebRTC ist mittlerweile in allen gängigen Browsern verfügbar. So bieten neben Google Chrome und Mozilla Firefox auch Microsoft mit dem Edge-Browser und seit Juli 2017 auch Apple mit dem Safari-Browser Unterstützung für WebRTC.

16 16 DFN Mitteilungen Ausgabe 92 November 2017 WISSENSCHAFTSNETZ Kurzmeldungen Texte: Stefan Piger, Christian Meyer (DFN-Verein) Erneuerung der Aggregations-Plattform des X-WiN abgeschlossen Sechs Wochen vor Jahresende und damit innerhalb des gesetzten Zeitrahmens wurde die Migration auf die neue Aggregations- Plattform des X-WiN abgeschlossen. Seit dem Beginn der Arbeiten im Frühjahr 2017 wurden insgesamt 54 Bestandssysteme durch 50 neue IP-Router und zusätzliche Management-Switches ersetzt. An vier Standorten des X-WiN Kernnetzes wurde aus Effizienzgründen auf den Aufbau eines neuen Aggregations-Routers verzichtet. An diesen Standorten werden die Teilnehmeranbindungen nun über die Optische Plattform zum nächsten Kernnetz- Standort verlängert und dort auf der IP-Plattform terminiert. Die neue Aggregations-Plattform erfüllt die in sie gesetzten Erwartungen vollständig und arbeitet seit Inbetriebnahme der ersten Systeme weitgehend störungsfrei. Die größere Leistungsfähigkeit der neuen Systeme wird einen wesentlichen Anteil zu der Umsetzung der für 2018/2019 geplanten Leistungssteigerung von DFNInternet beitragen. Zudem konnte durch den Einsatz der neuen Technik die elektrische Leistungsaufnahme dieser Plattform um über 60 kw und damit um mehr als ein Viertel der bisherigen Leistungsaufnahme des X-WiN Kernnetzes gesenkt werden. Diese Reduktion senkt auch die Anforderungen an die Klimatisierung der Standorte sowie an die dort eingesetzten USV-Anlagen. Schließlich konnte der DFN-Verein mit dieser Maßnahme auch seinen kleinen Beitrag zum Klimaschutz leisten. Begleitend zu diesen Arbeiten wurden die auf der Aggregations- Plattform angeschlossenen Teilnehmer am DFNInternet-Dienst auf die neue Architektur der IP-Plattform umgestellt. Diese bietet im Vergleich zur bisherigen Architektur eine größere Robustheit gegenüber DDoS-Angriffen und führt darüber hinaus einen Schutz gegen das Spoofing von Source-IP-Adressen ein. Handlungsbedarf durch das Ende der ISDN-Technologie Durch den gegenwärtigen Wechsel von der ISDN-Technologie zu Voice Over IP (VoIP) besteht sowohl für den DFN-Verein als auch für Teilnehmer am Dienst DFNFernsprechen Handlungsbedarf. So ist u. a. damit zu rechnen, dass in naher Zukunft keine ISDN-Telefonanschlüsse mehr beauftragt werden können, bestehende ISDN-Telefonanschlüsse in VoIP-Anschlüsse umgewandelt werden müssen und auch die Hersteller von ISDN-Telefonanlagen schrittweise den technischen Support einstellen werden. Der DFN-Verein hat sich auf diesen technologischen Wechsel eingestellt. So wurde das Portfolio der Leistungen von DFNFernsprechen dem neuen technischen Stand angepasst, alle Teilnehmer am Dienst DFNFernsprechen wurden entsprechend informiert. Ebenso hat der DFN-Verein für die Teilnehmer am Dienst die notwendigen Vorkehrungen getroffen, um den Wechsel von ISDN auf VoIP möglichst reibungsfrei zu gestalten. Die Mitarbeiter des DFN-Vereins und die für DFNFernsprechen beauftragten Dienstleister werden dazu in nächster Zeit auf alle Teilnehmer zukommen, um rechtzeitig und in enger Rücksprache den Übergang aller klassischen Telefonanschlüsse auf VoIP durchzuführen. Zu beachten ist, dass auch die in Betrieb befindlichen ISDN-Telefonanlagen auf eine Nutzung von VoIP-Anschlüssen umgerüstet werden müssen. In diesem Zusammenhang ist darauf hinzuweisen, dass der Betrieb eigener Telefonanlagen an den DFN-Verein ausgelagert werden kann. Eine zunehmende Anzahl von Teilnehmern am Dienst DFNFernsprechen macht mittlerweile davon Gebrauch. Mit dem Abschluss dieser Migration ist nun die letzte der technischen Plattformen des X-WiN auf den aktuellen Stand der Technik gehoben worden.

17 INTERNATIONAL DFN Mitteilungen Ausgabe InAcademia ein Dienst baut Brücken Mit InAcademia stellt GÉANT föderationsübergreifend einen Dienst zur Verfügung, der es Anbietern von Online Shops auf einfache Weise ermöglicht, den Studierenden-Status der Nutzer(innen) zu überprüfen. Hierbei werden neben den neuesten technischen Standards auch Aspekte des Datenschutzes berücksichtigt. Text: Wolfgang Pempe (DFN-Verein) Foto Hiob / istockphoto

18 18 DFN Mitteilungen Ausgabe 92 November 2017 INTERNATIONAL Abbildung 1: View Card Wenn es um den personalisierten Zugriff auf Dienste im Internet geht, bieten viele kommerzielle Dienstanbieter nur einen Login über Google, Facebook, LinkedIn etc. an ( Social Login ). Die in den sozialen Netzwerken genutzten Identitäten bieten jedoch nur ein geringes Vertrauensniveau, da eine zuverlässige Prüfung der Identität und der damit verbunden Daten nicht erfolgt. Ein AAI-basierter Login, bei dem die Identität des Nutzers / der Nutzerin von der jeweiligen Heimateinrichtung bestätigt wird, ist jedoch schwieriger bzw. wesentlich aufwendiger zu implementieren. Auf technischer Ebene muss der betreffende Dienst durch einen sog. Service Provider geschützt werden, der SAML-basierte Authentifizierung und Autorisierung ermöglicht. Weiterhin muss der Dienstanbieter einer sog. Föderation beitreten (z. B. der DFN-AAI), was mit zusätzlichem organisatorischem Aufwand verbunden ist. Außerdem ist der Nutzerkreis hier auf Personen aus dem akademischen Umfeld eingeschränkt, so dass viele Dienstanbieter zweigleisig fahren müssen. In vielen Fällen werden jedoch Informationen benötigt, die (zumindest in Echtzeit) nur die Anmeldedienste ( Identity Provider ) der Heimateinrichtungen zuverlässig liefern können insbesondere die Angabe zum Status der sich anmeldenden Person innerhalb der jeweiligen Einrichtung, also z. B. Student(in), Mitarbeiter(in), Lehrbeauftragte(r). Übertragen werden sol- C Service (RP) A Identity Providers (IdPs) InAcademia Core B edugain (1) OpenID Connect OpenID Provider (OP) Filter SAML Service- Provider (SP) (3) D (2) Discovery Service InAcademia Admin Components A Service-Provider B InAcademia Core Service C Identity Providers D Discovery Service E Self service registration and admin interfaces (x) RP Self Registration Administrative Interfaces E Flows (x) Service registers itself (1) Service requests validation (2) User selects home institution (3) User logs in at institution Abbildung 2: InAcademia technische Komponenten und Abläufe

19 INTERNATIONAL DFN Mitteilungen Ausgabe che Informationen mithilfe von (SAML-)Attributen, in der Regel edupersonaffiliation oder edupersonscopedaffiliation. Etliche Anbieter, die Produkte verbilligt an Studierende abgeben, haben daher SAML Service - Provider implementiert. In der DFN-AAI sind das unter anderem Microsoft, UNi- DAYS, Kivuto und asknet, wobei die beiden letztgenannten Unternehmen E-Commerce Plattformen für Drittanbieter zur Verfügung stellen. Gerade für kleinere Anbieter mit eigenen Online Shops, die Studierendenrabatte einräumen, wie Fahrradverleihe, Ticketshops etc. ist dies i.d.r. keine Option. Eine innovative Lösung für dieses Szenario bietet nun der von GÉANT betriebene Dienst InAcademia. Dieser Dienst richtet sich an Unternehmen, die weder einen SAML Service-Provider implementieren noch ein SAML-fähiges Shopsystem kaufen oder mieten möchten. Dabei verhält sich InAcademia aus AAI-/Föderationssicht wie ein gewöhnlicher SAML Service-Provider (SP). Die angeschlossenen Services bzw. Online Shops müssen lediglich eine leichtgewichtige Client-Anwendung einbinden, die eine OpenID Connect Schnittstelle zu InAcademia realisiert. Für die Endnutzer (derzeit nur Studierende) steht dann im jeweiligen Online Shop ein InAcademia Button zur Verfügung, der die Übertragung des edupersonaffiliation Attributs über die Authentisierung am Identity Provider (IdP) der jeweiligen Heimateinrichtung anstößt. Der InAcademia Service validiert also die akademische Zugehörigkeit der Endanwender(innen) im Auftrag der angeschlossenen Online Shops. Hierbei werden keine personenbezogenen Daten an die an InAcademia angeschlossenen Services weitergeleitet, sondern lediglich die binäre Information, ob es sich bei der Person, die den InAcademia Button gedrückt hat, tatsächlich um eine(n) Studenten/Studentin handelt. Für Shops, die eine personalisierte Nutzung anbieten, z. B. eine Übersicht über vormals getätigte Bestellungen (unter Verzicht auf Cookies), kann InAcademia einen pseudonymen Identifier generieren, der pro Endnutzer(in) und angeschlossenem Dienst eindeutig ist ( Targeted ID ), aber keine Rückschlüsse auf die Identität des/der betreffenden Nutzers/ Nutzerin erlaubt. Hierzu muss jedoch der Identity Provider der betreffenden Heimateinrichtung neben dem Attribut eduperson(scoped)affiliation einen eindeutigen Identifier an den InAcademia SP übertragen, damit InAcademia in die Lage versetzt wird, die/den jeweiligen Nutzer(in) wiederzuerkennen, in der Regel ist dies die SAML2 Persistent NameID. InAcademia befindet sich derzeit noch in einer Pilotphase, die mindestens bis Januar 2018 dauert. Der Dienst kann jedoch bereits jetzt föderationsübergreifend über edugain genutzt werden, steht also prinzipiell auch Einrichtungen und somit Endanwender(inne)n aus der DFN-AAI zur Verfügung. Das Geschäftsmodell sieht momentan für die an In Academia angeschlossenen Online Shops eine Gebühr von 10 bis 15 Cent pro Transaktion vor. Der derzeitige Planungsstand sieht vor, dass die hierbei erzielten Umsätze in erster Linie der Wartung und dem Ausbau des InAcademia Dienstes zugute kommen sollen. Weiterhin wird erwogen, etwaige Überschüsse für den Erhalt und Betrieb von edugain sowie weiterer von GÉANT betriebener AAI-Dienste zu verwenden. InAcademia erfüllt eine wichtige Brückenfunktion, indem einerseits mit SAML2 der aktuelle, für die AAI relevante Standard unterstützt wird, andererseits aber mit der OpenID Connect Schnittstelle der Weg für die als Nachfolger von SAML2 gehandelte Technologie bereitgestellt wird. Weiterführende Informationen und Neuigkeiten zu InAcademia finden sich unter Fragen aller Art können an info@inacademia.org (Englisch) oder auch an aai@dfn.de gesendet werden.

20 20 DFN Mitteilungen Ausgabe 92 November 2017 INTERNATIONAL Kurzmeldungen Text: Leonie Schäfer, Christian Grimm (DFN-Verein) EaPEC Treffpunkt für Wissenschaftler und Entscheider aus der EU und den Staaten der Östlichen Partnerschaft Minsk, Belarus, war der Veranstaltungsort der EaPEC'17, der zweiten Eastern Partnership E-Infrastructure Conference, organisiert durch das EU-geförderte Projekt EaPConnect. Der DFN-Verein, als assoziierter Partner des Projekts, übernahm in Zusammenarbeit mit dem belarussischen Forschungsnetz BASNET die Aufgabe des Konferenz-Organisators. Die Eastern Partnership E-Infrastructure Konferenzen (EaPEC) dienen als Treffpunkt für Wissenschaftler und politische Entscheidungsträger aus den Ländern der Östlichen Partnerschaft (EaP) und den EU-Mitgliedstaaten. EaPEC'17, die Ende September 2017 in der Internationalen Bildungs- und Begegnungsstätte Johannes Rau in Minsk stattfand, verzeichnete mit rund 150 Teilnehmern aus mehr als 15 Ländern einen deutlichen Zuwachs gegenüber EaPEC'16. Ziel der diesjährigen Konferenz war es zum einen, führende EU e-infrastructure-initiativen wie PRACE und das Human-Brain-Projekt zu präsentieren, zum anderen den Austausch der Wissenschaftler untereinander durch Workshops und Lightning Talks zu fördern. EaPEC-Konferenzen finden einmal im Jahr, jeweils in einem anderen Partnerland der EaP-Partnerschaft, statt. Die erste Konferenz der Reihe, EaPEC'16, fand im Oktober 2016 in Tbilisi, Georgien statt. Im nächsten Jahr wird RENAM, das moldawische Forschungsnetz, Gastgeber der Konferenz und damit Chisinau als Hauptstadt von Moldawien Veranstaltungsort. Die Konferenzreihe EaPEC wurde initiiert durch das EU-Projekt Eastern Partnership Connect (EaPConnect). EaPConnect verfolgt folgende Ziele: Aufbau und Betrieb eines Breitband-Datennetzes mit einer hohen Kapazität für Forschung und Bildung in sechs EaP Partnerländern der östlichen Nachbarschaft der EU: Armenien, Aserbaidschan, Belarus, Georgien, Moldawien und Ukraine Anbindung der nationalen Forschungs- und Bildungs netze der EaP-Partnerländer an das paneuropäische Netzwerk GÉANT Verringerung der digitalen Kluft zwischen den Ländern der EU und den Ländern der EaP-Partnerschaft Unterstützung der Teilnahme von Wissenschaftlern, Fotos Alexei Smolsky Studenten und Akademikern aus den EaP-Partnerländern an globalen F&E-Kooperationen Bereitstellung von eduroam und Unterstützung der Integration weiterer GÉANT-Dienste in das Service-Portfolio der lokalen Forschungsnetze der EaP-Partnerländer Förderung der Inanspruchnahme von Dienstleistungen anderer europäischer e-infrastrukturen wie OpenAire und PRACE. Der DFN-Verein, sowie eine Reihe weiterer Forschungsnetze aus der GÉANT-Community (z. B. PSNC (Polen) und SURFnet (Niederlande)) unterstützen das Projekt durch Beratung sowie aktiv in der Gestaltung des Trainings- und Konferenzprogramms.

21 INTERNATIONAL DFN Mitteilungen Ausgabe EaP-Ministertreffen zur digitalen Wirtschaft Der estnische Ratsvorsitz der Europäischen Union hat in enger Zusammenarbeit mit der EU-Kommission am 5. Oktober 2017 in Tallinn (Estland) das zweite Ministertreffen der Östlichen Partnerschaft zur digitalen Wirtschaft veranstaltet. Während des Treffens unterzeichneten die Minister eine Erklärung zur digitalen Wirtschaft zwischen der EU und den sechs Östlichen Partnerschaftsländern. Die Erklärung beinhaltet die Verpflichtung aller Beteiligten, ihre Zusammenarbeit in sechs Bereichen zu vertiefen: elektronische Kommunikation und Infrastruktur, Vertrauen und Sicherheit, etrade, digitale Kompetenzen, IKT-Innovationen, Startup-Ökosysteme und ehealth. Die Projektpartner von EaPConnect nahmen an dem Treffen teil, welches vom Vize-Präsidenten der EU für den digitalen Binnenmarkt Andrus Ansip geleitet wurde. Die Delegierten begrüßten die mit EaPConnect erzielten Fortschritte und vereinbarten, weitere Maßnahmen in diesem Bereich durchzuführen, um für alle Partner der Östlichen Partnerschaft gut strukturierte Ökosysteme für IKT-Forschung, Innovation und Startups zu fördern. Music Without Borders Auf dem zweiten EaP-Ministertreffen zur digitalen Wirtschaft präsentierte EaPConnect zusammen mit Partnern aus Forschungsnetzen der EU und EaP Partnerländern sowie Musikern aus Armenien, Belarus, Estland und Georgien erfolgreich Music Without Borders ". Die Teilnehmer des Ministertreffens wurden zu einer Performance eingeladen, bei der Musiker aus Tallinn und Minsk durch die F&E- Netzwerke und LoLa-Technologie miteinander in Verbindung gebracht wurden. LoLa steht hier für LOw LAtency audio visual streaming system. Dabei handelt es sich um ein A/V-Streaming System für musikalische interaktive Performances und Unterricht über größere Distanzen. Die Performance zeigte das Potenzial der digitalen Technologien für eine harmonische grenzüberschreitende Zusammenarbeit. Ein Facebook Live-Stream des Konzerts und die Eröffnungsrede von Lawrence Meredith, Direktor Neighbourhood East der EU Generaldirektion NEAR, sowie Bilder und Interviews sind über die Facebook-Seite von EaPConnect und demnächst auch auf der Projekt-Website zu finden. Wechsel an den Spitzen Über den Sommer 2017 gab es gleich drei bemerkenswerte Wechsel an den Spitzen weltweiter Forschungsnetze. Zuerst verließ Steve Cotter GÉANT als CEO und wechselte an die Spitze des neuseeländischen Centre for Space Science Technology (CSST). Die Nachfolge bei GÉANT hat interimistisch Erik Huizer, ehemals CTO von SURFnet, übernommen. Die Suche nach einem dauerhaften CEO für GÉANT ist angelaufen. Beim US-amerikanischen Forschungsnetz Internet2 trat der langjährige CEO und Präsident Dave Lambert in den Ruhestand. Nachfolger ist Howard Pfeffer, zuletzt Senior Vice President der Broadband Technology Group von Time Warner Cable. Einen ebenfalls altersbedingten Wechsel gab es bei RedCLARA, dem wichtigen lateinamerikanischen Partner für das Projekt BEL- LA. Hier folgt auf Florencio Utreras nun Luis Eliécer Cadenas, der ehemalige Vorsitzende des venezolanischen Forschungsnetzes REACCIUN und langjährige Mitarbeiter von Cisco Systems, Inc. in verschiedenen Positionen in Lateinamerika.

22 22 DFN Mitteilungen Ausgabe 92 November 2017 SICHERHEIT CAKE: Hybrides Gruppen- Schlüssel-Management Verfahren Mit der zunehmenden Vernetzung von Systemen gibt es immer mehr Gruppen, die über ungesicherte Kommunikationskanäle vertrauliche Informationen austauschen. Um den Zugriff auf diese Daten durch Dritte zu verhindern, ist das Verschlüsseln der Daten unumgänglich. Gerade im Bereich von mobilen Ad-hoc-Netzen (MANETs) kommt es durch die begrenzten Ressourcen sowie die sich dynamisch ändernde Gruppenzusammensetzung zu besonderen Herausforderungen. Mit CAKE (Central Authorized Key Extension) wurde ein neuartiges Gruppen-Schlüssel-Management Verfahren entwickelt, welches sich diesen Herausforderungen gestellt hat. Durch einen hybriden Ansatz wurden die Vorteile bereits existierender Protokolle kombiniert, um den Berechnungs- und Kommunikationsaufwand zu verringern. Darüber hinaus lässt sich das Verfahren auch in weiteren Anwendungsgebieten, wie kabelgebundenen Weitverkehrsnetzen einsetzen. Text: Peter Hillmann, Marcus Knüpfer, Gabi Dreo Rodosek (Universität der Bundeswehr München) Gruppe B 1 A 2 3 A' Einzelne Person MANET Unbekannt 4 Abbildung 1: Verschiedene Operationen bei der verschlüsselten Gruppenkommunikation

23 SICHERHEIT DFN Mitteilungen Ausgabe Für den Austausch von Daten innerhalb einer Gruppe existieren zur Verwaltung der Gruppenschlüssel sogenannte Gruppen- Schlüssel-Management (GKM) Verfahren. Diese übernehmen den sicheren und effizienten Austausch der Schlüssel, welche zur Kommunikation innerhalb einer Gruppe genutzt werden. Alle Teilnehmer einer Gruppe besitzen dazu den gleichen symmetrischen Schlüssel, wodurch die Informationen nur ein einziges Mal für die Teilnehmer der Gruppe zu verschlüsseln sind. Für welchen Dienst der gemeinsame Gruppenschlüssel eingesetzt wird, ist schlussendlich jedoch freigestellt. Verschiedene Anwendungsbereiche haben spezifische Anforderungen an die Eigenschaften eines GKM Verfahrens, wodurch sich kein Verfahren als allgemeingültiger Lösungsansatz anwenden lässt. Mit CAKE wird ein GKM Verfahren vorgestellt, welches an eine Umgebung mit begrenzter Kommunikationsbandbreite und geringer Rechenleistung der Gruppenteilnehmer angepasst ist. Die Motivation liegt in der Verbesserung der Effizienz gegenüber derzeitigen Verfahren, sodass im Netz mehr Bandbreite für die Nutzdaten zur Verfügung steht. Szenario und Herausforderungen Ein Anwendungsbeispiel ist z. B. ein militärisches Szenario im Bereich der sogenannten mobilen Ad-hoc-Netze (MANET). Hierbei bewegen sich mehrere Teilnehmer in einem Gelände und tauschen währenddessen mittels Funkkommunikation Nachrichten aus. In Abb. 1 sind verschiedene Zustände dargestellt, aus denen sich die typischen Gruppenoperationen ableiten lassen. Die verschiedenfarbigen Kreise entsprechen dem Schlüsselbereich der jeweiligen Gruppe. In Zustand 1 befindet sich Gruppe A auf dem Weg Gruppe B zu unterstützen. Um eine gesicherte Kommunikation beider Gruppen zu ermöglichen, müssen beide Gruppen in einen gemeinsamen Schlüsselbereich eintreten (Gruppenverschmelzung). In Zustand 2 ist dargestellt, wie ein einzelner Späher die vereinigte Gruppe erreicht und in den gemeinsamen Schlüsselbereich eintritt (Eintritt). Dieser berichtet von nicht identifizierten Personen, welche in der Nähe gesichtet wurden. Infolgedessen trennt sich Gruppe A' aus dem Verbund (Gruppenteilung) und bewegt sich in Richtung der aufgeklärten Personen, dargestellt durch Zustand 3. Im letzten Zustand 4 wird aus Gruppe A' ein Melder zur Informationsübergabe in den rückwärtigen Raum geschickt, welcher somit die Gruppe verlässt (Austritt). Zivile Anwendungsbeispiele sind Multicast-Datenübertragungen im Bereich vom Video on Demand oder dynamische Projektteams in der Forschung. Für die sichere Übermittlung von Nachrichten ist ein Kryptosystem notwendig, welches sich in den Rahmen des MANET einfügt. Die folgenden drei Anforderungen werden dabei an die Sicherheit gestellt: 1. Forward Secrecy: Austretenden Teilnehmern soll es nicht mehr möglich sein, weiterhin empfangene Nachrichten zu entschlüsseln. 2. Backward Secrecy: Eintretenden Teilnehmern soll es nicht möglich sein, im Vorfeld empfangene Nachrichten im Nachhinein zu entschlüsseln. 3. Schlüsselunabhängigkeit/Folgenlosigkeit: Die Kenntnis eines Schlüssels ermöglicht keine Schlussfolgerung auf weitere Schlüssel. Es bestehen vier Anforderungen an die Gruppenoperationen, welche durch ein modernes GKM Verfahren abzudecken sind, ohne dabei die Sicherheitsanforderungen zu missachten: 1. Einzel- und Mehrfach-Eintritt: Ein oder mehrere Teilnehmer treten in eine bestehende Gruppe ein. (Beachtung der Backward Secrecy) 2. Einzel- und Mehrfach-Austritt: Ein oder mehrere Gruppenmitglieder treten aus der Gruppe aus. (Beachtung der Forward Secrecy) 3. Gruppenverschmelzung: Mehreren Gruppen ist durch Re-Keying ein gemeinsamer Schlüssel effizient bereitzustellen. (Beachtung der Backward Secrecy) 4. Gruppenteilung: Eine Gruppe teilt sich in mehrere Teilgruppen auf. (Beachtung der Forward Secrecy) Die mobilen Geräte der Teilnehmer sind klein und batteriebetrieben. Deren geringe Rechenleistung ist beim GKM zu berücksichtigen. Zur Entlastung der Teilnehmer werden die Schlüssel zentral von einer Basis-Station mit mehr Leistung generiert und über eine hierarchische Struktur verteilt. Dadurch verlagert sich der Rechenaufwand für die Schlüsselgenerierung. Jeder Teilnehmer besitzt über das MANET bzw. über einen Satelliten-Link eine Kommunikationsverbindung zu der zentralen und vertrauenswürdigen Basis-Station. Für die gesamte Kommunikation steht nur eine geringe Bandbreite zur Verfügung. Daher sind für das GKM möglichst wenige und kleine Datenpakete aufzuwenden. Der Overhead für das Management ist gering zu halten, um mehr Kapazität für die Nutzdaten zu haben. Stand der Technik Die verschiedenen, bereits existierenden GKM Verfahren lassen sich in drei Hauptkategorien einteilen, welche wiederum aus verschiedenen Unterkategorien bestehen. Bei zentralisierten Verfahren erfolgt die Vergabe des Gruppenschlüssels durch eine zentrale Kontrollstelle. Demgegenüber stehen die dezentralisierten Verfahren, bei denen die Schlüsselgenerierung und -verteilung durch wechselnde Instanzen möglich ist. Darüber hinaus

24 24 DFN Mitteilungen Ausgabe 92 November 2017 SICHERHEIT gibt es noch Verfahren mit verteilten Schlüsselvereinbarungen, wobei eine Aufteilung in Untergruppen stattfindet, welche voneinander unabhängige Gruppenschlüssel nutzen. Die zentralisierten Verfahren, welche hier Beachtung finden, sind in die folgenden drei Unterkategorien eingeteilt: paarweise Schlüssel: Übermittlung des Gruppenschlüssels durch die zentrale Instanz mittels individueller Teilnehmerkommunikation, Broadcast Geheimnis: Übertragung des Gruppenschlüssels mittels Broadcast anstelle individueller Verbindungen, hierarchische Schlüssel: Einordnung der Teilnehmer in eine Baumstruktur mit entsprechenden kryptografischen Schlüsseln zur Verteilung der Gruppenschlüssel. Der bekannteste Vertreter der paarweisen Schlüssel ist das Group Key Management Protocol (GKMP). Bei diesem Protokoll speichert und teilt sich der zentrale Server einen geheimen Schlüssel mit jedem Gruppenmitglied. Zur Verteilung des Gruppenschlüssels sendet der Server jedem Teilnehmer einzeln diesen Schlüssel individuell mit dem jeweiligen KEK überschlüsselt, was zu einem hohen Aufwand führt. Demgegenüber steht das Broadcast-basierte Verfahren Secure Lock (SL), welches dem Server ermöglicht, komplette Re-Keying Prozesse mit jeweils einer einzigen Broadcast-Nachricht durchzuführen. Jedoch ist die Berechnung des CRT im Vergleich zum GKMP noch aufwendiger, sodass dies für Endgeräte im Bereich von MANETs mit geringer Rechenleistung nur in begrenztem Umfang durchführbar ist. Das alternative Verfahren Local Key Hierarchy (LKH) gehört zu den hierarchischen GKM Verfahren. Die Schlüssel und damit die Gruppenteilnehmer werden hierbei in einem für jede Gruppe eigens angelegten Binärbaum gepflegt. Jeder Knoten im Baum repräsentiert einen KEK, welcher den darunter liegenden Teilnehmern bekannt ist. Durch den Aufbau der Baumstruktur entsteht ein erhöhter Aufwand, welcher nur im Fall eines Austritts einen mäßigen Vorteil bietet. Da es nicht bei jeder Verwendung zu dieser Operation kommt, ist dies unnötiger Aufwand. Zudem sind im Vergleich zum SL mehrere Nachrichten beim Austritt zu versenden, was zu einer erhöhten Netzlast führt. Insgesamt haben die bisherigen zentralisierten GKM Verfahren einen hohen Aufwand in der Berechnung bzw. in der Kommunikation. CAKE Hybrides Gruppen-Schlüssel- Management Verfahren Das neu entwickelte Verfahren nutzt einzelne Bestandteile der bereits bestehenden Verfahren und kombiniert diese zu einem integrierten hybriden System. Um eine zentrale Schlüsselverwal- Foto cholakov / istockphoto

25 SICHERHEIT DFN Mitteilungen Ausgabe tung zu ermöglichen, wurde eine autorisierte und vertrauenswürdige Instanz (AI) geschaffen, welche die Generierung, Verwaltung und Verteilung der Schlüssel übernimmt sowie notwendige Berechnungen durchführt. Jeder Teilnehmer meldet sich am System an, indem er mit der AI ein privates Schlüsselpaar aushandelt. Weiterhin generiert jeder Teilnehmer eine Primzahl für ein CRT System. Mit diesen beiden Geheimnissen ist ein Teilnehmer bei der AI im System CAKE angemeldet. Neben den individuellen und persönlichen Schlüsseln umfasst CAKE noch einen Group-Transmission-Encryption-Key (GTEK), welcher für die eigentliche Kommunikation in der Gruppe verwendet wird. Hierzu muss jeder Teilnehmer einer Gruppe in Besitz dieses Schlüssels sein. Zusätzlich existiert ein Group-Key-Encryption-Key (GKEK). Dieser wird bei Bedarf zur Überschlüsselung des GTEK verwendet, sodass dieser gesichert an alle Kommunikationsteilnehmer verteilt werden kann. Zur Überschlüsselung werden die beiden Schlüssel GTEK und GKEK bitweise mit XOR verrechnet. Die Verwendung der XOR Operation bietet informationstheoretische Sicherheit gemäß dem One-Time-Pad. Bei der Erzeugung einer Gruppe generiert die AI zufällig einen GTEK und einen GKEK. Diese werden an alle Gruppenteilnehmer für die gesicherte Kommunikationsgruppe verteilt. Dazu berechnet die AI analog zum SL Verfahren initial ein CRT System und übermittelt die Daten mittels einer Broadcast-Nachricht. Hierbei werden von allen Teilnehmern der spezifizierten Gruppe die Werte der privaten Schlüssel mit in die Berechnung des sogenannten Locks MX einbezogen. Ein Teilnehmer kann das Lock gemäß dessen Prinzip nur auflösen, wenn der private Schlüssel in der Berechnung enthalten ist. Die Empfänger der Nachricht erhalten als Ergebnis des CRT Systems den Schlüssel GKEK. Der Schlüssel GTEK wird durch bitweise XOR mit dem GKEK überschlüsselt und in einer weiteren Broadcast-Nachricht übermittelt. Die Teilnehmer der Gruppe müssen zuerst das Lock MX auflösen, um den GKEK zu erhalten. Anschließend lässt sich der Schlüssel GTEK ermitteln. Somit haben alle Teilnehmer die Kenntnis über die einheitlichen Gruppenschlüssel GTEK und GKEK. Bei Bedarf kann die Nachricht entsprechend digital mit dem Zertifikat der AI signiert werden. Eintritt von neuen Teilnehmern in eine Gruppe Wenn nach der Gruppenerzeugung ein neuer Teilnehmer an der gesicherten Gruppenkommunikation teilnehmen möchte, muss dieser zuerst die initialen Prozesse mit der AI durchlaufen. Dieser meldet sich dazu bei der AI des Systems CAKE an und tauscht die Schlüsselinformationen aus. Anschließend wird ein Re-Keying für die bestehende Gruppe durchgeführt. Dazu generiert die AI einen neuen Schlüssel für GTEK und GKEK. Diese werden bitweise mit XOR unter Zuhilfenahme des aktuellen und gehashten GKEK überschlüsselt. Die entstandene Nachricht wird an alle bisherigen Gruppenteilnehmer gesendet. Für den neuen Teilnehmer wird der neue GTEK und GKEK mit dem privaten Schlüssel verschlüsselt und separat übertragen. Durch entsprechend zeitsynchrones Umschalten vom aktuellen GTEK auf den neuen GTEK können alle Teilnehmer gesichert miteinander kommunizieren. Bei einem Masseneintritt von mehreren neuen Teilnehmern in eine Gruppe wird äquivalent zum Eintreten eines neuen Teilnehmers verfahren. Alternativ lassen sich die neuen Gruppenteilnehmer über ein CRT zusammenfassen, sodass nur eine Nachricht für alle neuen Teilnehmer notwendig ist. Somit sind beim Eintreten eines neuen Teilnehmers in eine Gruppe zwei einfache Berechnungen (XOR und Verschlüsselung gemäß Verfahren) sowie zwei Broadcast-Nachrichten notwendig. Beim Eintreten mehrerer neuer Teilnehmer sind durch die Verwendung eines CRT Systems ebenfalls nur zwei Nachrichten notwendig. Bei der Verschmelzung bestehender Gruppen wird jeweils ein Re-Keying auf Grundlage der bestehenden GKEKs der Gruppen durchgeführt, wodurch nur entsprechend der Anzahl der zu verschmelzenden Gruppen Nachrichten notwendig sind. Austritt von Teilnehmern aus einer Gruppe Beim Austritt eines Teilnehmers aus einer Gruppe können die bestehenden GTEK und GKEK nicht genutzt werden, da der austretende Teilnehmer diese entschlüsseln kann. Eine erneute Initialisierung der Gruppe mittels CRT System ist aufgrund des Berechnungsaufwandes ebenso nicht praktikabel. Zur Reduktion des Aufwandes wird in CAKE ein verkleinertes CRT System angewendet und eine ternäre Baumstruktur eingesetzt, welche durch die AI verwaltet wird. Abb. 2 (siehe S. 26) verdeutlicht diese Baumstruktur, welche in Ebenen, beginnend mit A an der Wurzel, eingeteilt ist. Wie bei LKH entsprechen die Teilnehmer einer Gruppe mit deren mxi den Blattknoten des Baumes. Darüber hinaus entsprechen die Knoten weiteren KEKs, welche den darunter liegenden Teilnehmern bekannt sein müssen. Die Bezeichnung mx eines Knoten definiert ein spezifisches m für das CRT System, wobei das X die Ebene darstellt. Alle auf dem Pfad von der Wurzel zum Teilnehmer liegenden Schlüssel m müssen dem entsprechenden Teilnehmer bekannt sein, welche nur bei Bedarf initialisiert werden. Die entsprechenden mx der Knoten entlang eines Pfades werden durch mehrere, kleine CRT Systeme von unten nach oben im Baum aufgebaut, sodass die Menge der Nachrichten gering gehalten wird. Baumstrukturen mit mehreren Unterknoten sind für größere Gruppen durch die flachere Struktur besser geeignet als Binärbäume. Mit jeweils maximal drei Unterknoten reduziert sich die Menge der zu berechnenden Locks für Gruppen-

26 26 DFN Mitteilungen Ausgabe 92 November 2017 SICHERHEIT Ebene A Wurzel ma 1 Ebene B mb 1 mb 2 mb 3 Ebene C mc 11 mc 12 mc 13 mc 21 mc 22 mc 23 mc 31 mc 32 mc 33 Ebene D Blattknoten (Teilnehmer) md 11 md 12 md 13 md 21 md 22 md 23 md 31 md 32 md 33 Abbildung 2: Ternäre Baumstruktur zur Verwaltung der Schlüssel und zur Reduktion des Berechnungsaufwandes beim Austritt größen bis 81 Teilnehmer vorteilhaft. Im Bereich der betrachteten militärischen MANETs (selten mehr als 60 Teilnehmer) bietet sich somit die ternäre Baumstruktur an. Vorteilhaft ist ebenso, dass sich die Informationen zu den mx zu beliebigen Zeitpunkten bei geringer Netzbelastung aufbauen und versenden lassen. LITERATURVERZEICHNIS - Antosh, C. J.; Mullins, B. E.: The Scalability of Secure Lock. In: IEEE International Performance Computing and Communications Conference. Jgg. 27, S , Chiou, Guang-Huei; Chen, Wen-Tsuen: Secure broadcasting using the secure lock. IEEE Transactions on Software Engineering, 15(8): , Challal, Yacine; Seba, Hamida: Group Key Management Protocols: A Novel Taxonomy. International Journal of Computer, Electrical, Automation, Control and Information Engineering, 2(10): , Harney, H.; Muckenhirn, C.: Group Key Management Protocol (GKMP) Specification. Bericht 2093, Internet Engineering Task Force, Liu, Zenghui; Lai, Yingxu; Ren, Xubo; Bu, Shupo: An Efficient LKH Tree Balancing Algorithm for Group Key Management. In: Proceedings of the International Conference on Control Engineering and Communication Technology (ICCECT). Jgg. 10. IEEE Computer Society, S , Sakamoto, N.: An efficient structure for LKH key tree on secure multicast communications. In: IEEE/ACIS International Conference on Software Engineering, Artificial Intelligence, Networking and Parallel/Distributed Computing (SNPD). Jgg. 15, S. 1-7, Beim Austritt eines Teilnehmers wird der entsprechende Pfad von der Wurzel zum Blatt in der Baumstruktur markiert (siehe Abb. 2: Knoten md32, dunkel markiert). Alle auf dem markierten Pfad liegenden Schlüssel mx dürfen bei der folgenden CRT Berechnung nicht mit einbezogen werden. Für die Berechnung des notwendigen Locks MX des verkleinerten CRT Systems werden die jeweils neben einem markierten Knoten auf gleicher Ebene befindlichen mx verwendet (siehe Abb. 2: schraffiert gekennzeichnete Knoten). Diese stellen eine Obermenge der in der Gruppe verbleibenden Teilnehmer dar, mittels welcher das neue CRT System gebildet wird. Die Anzahl der beim CRT einzubeziehenden Schlüssel ist wesentlich geringer als bei der Initialisierung einer Gruppe. Folglich ist auch der Rechenaufwand geringer. Die Anzahl der in diesem Beispiel einbezogenen Werte reduziert sich von 14 auf 6. Entsprechend dem SL wird der neue Schlüssel mit nur einer Nachricht an die verbleibenden Teilnehmer gesendet. Die unter einem Teilbaum liegenden Teilnehmer können das Lock MX auflösen, da diesen der jeweilige mx auf dem Pfad bekannt ist. Nach Abschluss des Austrittes sind die mx auf dem dunkel markierten Pfad zu erneuern, indem die AI diese den Teilnehmern mitteilt. Bei einem Austritt mehrerer Teilnehmer oder einer Gruppenteilung sind vor der Berechnung in der Baumstruktur entsprechend mehrere Pfade zu markieren. Im Fall eines einfachen Re-Keying des GTEK einer Gruppe existieren zwei Möglichkeiten. In der ersten Variante generiert die AI oder ein beliebiger Gruppenteilnehmer neue GTEK und GKEK. Diese werden jeweils mit dem aktuellen gehashten GKEK bitweise XOR verschlüsselt und digital signiert. Das entstandene Datagramm wird anschließend an alle Gruppenteilnehmer per Broadcast verschickt. Durch die Spezifikation eines Zeitpunktes kann die Gruppe synchron auf den neuen GTEK umschalten. Die zweite Variante sieht die Nutzung der individuellen Schlüssel der

27 SICHERHEIT DFN Mitteilungen Ausgabe Teilnehmer bzw. des CRT Systems vor. Dabei verfährt die AI entsprechend dem Konzept der initialen Erzeugung einer Gruppe bzw. dem ersten GTEK. Das Ergebnis CAKE hat bei der Erzeugung von Gruppen einen vergleichbar hohen Berechnungsaufwand wie auch SL. Allerdings ergibt sich für die Erweiterung und Verkleinerung der Gruppe ein geringer Berechnungsaufwand im Vergleich zu allen anderen Systemen. In Abb. 3 ist der Vergleich des Berechnungsaufwandes anschaulich dargestellt. Darüber hinaus ist bei CAKE die Anzahl der Nachrichten gering, wodurch die Netzlast niedrig bleibt. Abb. 4 stellt diesen funktionalen Zusammenhang dar Relativer Berechnungsaufwand Anzahl Gruppenteilnehmer (n) So bietet CAKE die Möglichkeit bei geringem Berechnungsaufwand und einer niedrigen Belastung des Netzes, Schlüssel innerhalb einer Gruppe auszutauschen und effizient auf dynamische Veränderungen der Gruppe zu reagieren. Dabei ermöglicht CAKE stets eine vertrauliche Verteilung der Schlüssel und die Einhaltung der Anforderungen hinsichtlich Backward und Forward Secrecy. Abbildung 3: Vergleich des durchschnittlichen Berechnungsaufwandes der betrachteten Verfahren GKMP SL LKH CAKE Anzahl Nachrichten Anzahl Gruppenteilnehmer (n) Abbildung 4: Vergleich der durchschnittlichen Nachrichtenanzahl der betrachteten Verfahren

28 28 DFN Mitteilungen Ausgabe 92 November 2017 SICHERHEIT Das neue DFN-CERT Portal Das Thema IT-Sicherheit wird immer präsenter, die Anzahl an sicherheitsbezogenen Maßnahmen nimmt stetig zu und das Bedürfnis nach Schutz wächst mit jedem neuen öffentlich kommunizierten Angriff. Dadurch wächst auch der Informationsbedarf und die Anforderungen an eine effiziente zielgruppenspezifische Kommunikation von sicherheitsrelevanten Informationen steigen. Text: Nina Bark, Ralf Gröper (DFN-Verein) Das DFN-CERT bietet genau die Informationen, die für mehr Sicherheit im Internet und insbesondere für den Schutz von Rechnern und Computernetzen gebraucht werden. Dazu bündelt das DFN-CERT Sicherheits-Know-How in enger Kooperation mit deutschen und internationalen Computer Notfall-Teams. In dieser leistungsfähigen Sicherheitsinfrastruktur laufen Informationen aus aller Welt zusammen. Das DFN-CERT wurde 1993 zunächst als reines Computer-Notfallteam für die Anwender des Deutschen Forschungsnetzes ins Leben gerufen, heute ist es ein hochspezialisierter Dienstleister für mehr Sicherheit im Internet. Eine der Hauptaufgaben des DFN-CERT ist es, die Fülle an sicherheitsrelevanten Informationen zu bewerten, zu bündeln und zu kommunizieren. Dafür stehen dem DFN- CERT verschiedene Kommunikationskanäle zur Verfügung, durch welche die verarbeiteten Informationen zu den Anwendern gelangen können. Einer dieser Kanäle ist der DFN-CERT-Dienst und das zugehörige DFN-CERT Portal. Hier werden sicherheitsrelevante Daten aus vielen verschiedenen Quellen zusammengeführt und entsprechend ihrer Konfiguration wieder an viele Senken verteilt. Die herauszugebenden Daten lassen sich in drei Dienste unterteilen: Warnmeldungen, Schwachstellenmeldungen, Netzwerkprüfer. Foto adrian825 / istockphoto Pro Tag werden zahlreiche Informationen an einen Anwender weitergegeben. Die Schwierigkeiten, die sich für die Verarbeitung dieser Informationsflut ergeben, liegen auf der Hand. Es wird immer schwieriger, den Überblick über die relevanten Informationen zu behalten und eine effektive Bearbeitung zu gewährleisten. Informationsflut bändigen Um die Fülle an Informationen der verschiedenen Dienste besser zu verzahnen und dadurch einen besseren Überblick zu schaffen, und um Verantwortungsbereiche effizienter delegieren zu können, wurde das DFN-CERT Portal komplett neu entwickelt und dabei umstrukturiert. Durch eine feingranulare Konfiguration ist es nun möglich, genau zu definieren welche Informationen an welchen Mitarbeiter (Admin) gehen sollen. Dem DFN-Verein von den Einrichtungen benannte sogenannte handlungsberechtigte Personen (HPs) können ihr Netz im Portal modellieren und so Subnetze anlegen, für die sie lokale Ansprechpartner selber festlegen und ins Portal einladen können. Der eingetragene Ansprechpartner kann nur die für ihn relevanten Netzbereiche und Domains einsehen und kommt so direkt an die für ihn entscheidenden Informationen. Außerdem kann er die von ihm verwaltete Software definieren, um auch nur hierfür die bereitgestellten Informationen wie Schwachstellenmeldungen zu erhalten.

29 SICHERHEIT DFN Mitteilungen Ausgabe Durch das Definieren der einzelnen Ansprechpartner wird ein neuer effizienterer Workflow ermöglicht. Die Kontakte für jedes Subnetz bekommen die Informationen der drei Dienste speziell für ihren Bereich angepasst: Warnmeldungen Welche IPs aus meinem Subnetz sind auffällig geworden? Schwachstellenmeldungen Welche Schwachstellen hat die Software, die in meinem Subnetz läuft? Netzwerkprüfer-Ausgaben Welches Subnetz soll gescannt werden und welche Ergebnisse haben bereits durchgeführte Scans? Um der Informationsflut noch besser entgegenzuwirken, werden alle Meldungen im Portal dargestellt und nur noch optional per versandt. Auf dem Dashboard sind alle Meldungstypen auf einen Blick zu sehen, um so den Sicherheitsstatus für jedes Subnetz abrufbar zu machen. Als Neuerung werden die Ereignisse, die zweimal pro Tag als automatische Warnmeldung aggregiert ausgeliefert werden, nun zusätzlich (fast) in Echtzeit im Portal veröffentlicht. Einheitliche Meldungen Eine weitere Neuerung ist das Konzept der Meldungen im Allgemeinen: Diese werden einheitlich für Events aller drei Dienste dargestellt. Durch ein Filtersystem können die Meldungen dann nach Meldungstyp (Warnmeldungen, Schwachstellenmeldungen, Netzwerkprüfer-Ausgaben oder manuelle Meldungen) sortiert werden. Um auch hier noch effizienter an Informationen zu gelangen, lassen sich die Meldungen zusätzlich nach Schweregrad und Netzbereich filtern. Durch eine Volltextsuche ist es möglich, spezifische und auch nicht mehr aktuelle Meldungen schnell zu finden. Eine Kombination von Filtern kann durch einfaches Anlegen eines Bookmarks gespeichert werden, sodass verschiedene, von den Nutzern selber gestaltete Ansichten des Portals schnell aufrufbar sind, zum Beispiel für das Live-Monitoring verschiedener Aspekte des eigenen Netzes. Die einheitlichen Meldungen werden im Portal archiviert und bieten einen zeitlichen und räumlichen Überblick. So kann z. B. schnell erfasst werden, was das DFN- CERT für einen bestimmten Netzbereich (z. B. Uni-Verwaltung) in der letzten Woche gemeldet hat. Insgesamt erleichtert das neue DFN-CERT- Portal die Bändigung der täglichen Informationsflut zu sicherheitsrelevanten Events. Es ermöglicht, dass Informationen nur den direkt verantwortlichen Ansprechpartnern kontextbezogen angezeigt werden. Diese können sich also auf das Wesentliche konzentrieren und für den Einzelnen im aktuellen Kontext nicht relevante Meldungen werden gar nicht erst angezeigt. Beispiel Dashboard DFN-CERT Portal

30 30 DFN Mitteilungen Ausgabe 92 November 2017 SICHERHEIT Sicherheitssoftware: Schlangenöl oder notwendiges Übel? Text: Martin Waleczek, Stefan Kelm (DFN-CERT Services GmbH) Viren, Würmer, Erpressungstrojaner, Botnetze die Verbindung des eigenen Geräts mit der wenig regulierten vernetzten Welt, die einen großen Teil dessen Funktionalität erst möglich macht, ist immer mit dem Risiko verbunden, Opfer eines Angriffs zu werden. Das müssen nicht einmal gezielte Angriffe sein. Rund um die Uhr suchen hunderte Systeme weltweit den zugänglichen Internet-Adressraum nach Einfallstoren ab, die die Manipulation der über die Adresse zugänglichen Infrastruktur ermöglichen. Foto Kazakov / istockphoto Einige dieser Analysten bieten zeitgleich Dienste zum Schutz dieser Infrastruktur an, verwenden diese Scanmethoden also auch als Marketing-Instrument und versenden so möglicherweise sensitive Informationen als Werbemaßnahme. Zusätzlich werden täglich millionenfach s mit schädlichem Anhang versendet, um Schadsoftware zu verbreiten. Die Statistik ist hierbei der Freund des Angreifers. In einem immer komplexer werdenden IT-Umfeld reicht oft schon die eine aus eintausend Versendeten, deren Anhang versehentlich geöffnet wird, um ganze Netzbereiche zu infizieren. Die jüngsten Erpressungstrojaner-Kampagnen haben deutlich gezeigt, dass auch mediale Aufmerksamkeit den menschlichen Faktor nicht hin-

31 SICHERHEIT DFN Mitteilungen Ausgabe reichend herausdividieren kann, um die Ausbreitung solcher Schadsoftware nachhaltig zu verhindern. Als Gegenmaßnahme hat die Industrie Antivirensoftware und vergleichbare Produkte mit unterschiedlichem Fokus entwickelt. Einige Produkte kümmern sich um die Netzwerksicherheit, einige um die Sicherheit der Internetkommunikation, wieder andere schützen Kommunikationsendpunkte. Allen gemeinsam ist, dass sie eingehende Daten oder Datenpakete nach bestimmten bekannten Signaturen durchsuchen und bei einer Signaturübereinstimmung die auffälligen Dateien zur Prüfung in eine Quarantänezone verschieben oder den Datenverkehr verwerfen. Viele Produkte verwenden auch eine Art der proaktiven Erkennung von Schadsoftware, überwachen also installierte Anwendungen und deren Netzwerkkommunikation hinsichtlich allgemeinerer Merkmale, die Eigenschaften bekannter Schadsoftware abbilden (Heuristik). Dies ist hilfreich für die Erkennung von Bedrohungen, die noch nicht in den Datenbanken der Softwarehersteller zu finden sind. Ein Gefühl von Sicherheit Um das Problem greifbar für Endanwender zu machen, wurden hier Begriffe aus dem Gesundheitskontext (wie Infektion und Virus) gewählt, die beim Anwender die Aussicht auf eine umfassende Prophylaxe oder Heilung wecken. Aus marketingtechnischer Sicht ein sehr erfolgreiches Vorgehen, da es der Branche stetig wachsende Umsätze beschert (etwa 93 Mrd. $ Ausgaben für Information Security in 2018 laut aktueller Gartner-Studie). Der angestrebte Schutz vor Malware, die unwissentlich oder absichtlich den Weg auf das System des Endbenutzers findet, wird hier allerdings durch Software erkauft, die mit hohen Privilegien ausgestattet die gesamte Kommunikation damit ausgestatteter Systeme überwacht. Die signaturbasierte Prüfung von Software und auf dem System vorhandener Dateien setzt dabei voraus, dass Schadsoftware bereits weiträumig als solche erkannt und geprüft wurde. Erst anschließend wird durch Signaturupdates dafür gesorgt, dass die Schadsoftware auch beim Endkunden erkannt werden kann. Der weitaus größte Teil der Bedrohungen in den Herstellerdatenbanken bezieht sich auf Windows-Systeme, Nutzer von Linux- oder UNIX-basierten Systemen wie macos Sierra stehen hier weit weniger im Fokus sowohl der Angreifer als auch der Verteidiger. Es besteht also für alle genannten Systemarchitekturen ein mehr oder weniger großes Zeitfenster, in dem diese durch neue Bedrohungen angreifbar sind. Sicherheitssoftware kann hier nur dabei helfen, dieses Zeitfenster klein zu halten. Ein Problem der Endanwender, dem Antivirenhersteller sich entgegenstellen müssten, ist, dass die Verwendung solcher Software zu einem falschen Sicherheitsgefühl führen kann. Die Erkennungsraten selbst sehr teurer Antiviren-Software (AV-Software) nehmen seit Jahren ab. Dies liegt einerseits an der immer schneller wachsenden Zahl neuer Schadsoftware, andererseits daran, dass Malware gezielt AV- Software umgehen kann. Dennoch fühlen sich viele Anwender sicher, obwohl gerade neue Malware oft über mehrere Tage gar nicht erkannt wird. Die häufigen Statusmeldungen, die als Arbeitsnachweis der Antivirensoftware über die Benachrichtigungsmechanismen der Betriebssysteme abgesetzt werden, führen zudem bei Benutzern zu einem Gewöhnungseffekt: Nachrichten werden ignoriert, weggeklickt oder unterdrückt, oft unabhängig von Schweregrad und Inhalt. Die Implementierung von Sicherheitssoftware im Firmenumfeld erfordert in der Regel die zentrale Verwaltung der Software. Sie gewährleistet ein firmenweit identisches Schutzniveau und darüber hinaus auch die Möglichkeit der Kommunikation mit dem Hersteller, um auf das Auftauchen neuer Bedrohungen reagieren zu können. Die Kommunikation mit einer zentralen Managementkonsole erfolgt dabei in der Regel mit Hilfe proprietärer, nicht auditierbarer Protokolle und die dafür notwendigen offenen Ports stellen weitere Sicherheitsrisiken dar. Aber auch die Kommunikation der Software mit herstellereigenen Update-Servern kann problematisch sein. Der Hersteller Sophos bietet beispielsweise für das automatische Update von Sophos Endpoint (Antivirus) keine Möglichkeit der verschlüsselten Kommunikation an. Diese Anforderung findet sich auf den Seiten des Herstellers bisher nur als Feature Request. Bis zu dessen Umsetzung werden also nicht nur Benutzerdaten und Passwörter im Klartext übertragen, die Daten können darüber hinaus durch einen Angreifer in einer privilegierten Position im Netzwerk (als Man-in-the-Middle) beliebig manipuliert werden. Dadurch kann die Funktion der Software effektiv außer Kraft gesetzt werden. Spyware zum Schutz vor Malware? Sicherheitsforscher haben zudem an vier prominenten Software-Beispielen gezeigt, dass sich cloudfähige Antivirensoftware (Software, die zu Analysezwecken verdächtige Dateien an entfernte Server sendet) zur Datenextraktion missbrauchen lässt. Die Angreifer nutzen dabei eine lokal installierte Malware aus, die gesammelte Informationen so verpackt, dass sie von Antivirensoftware als schädlich erkannt wird. Dadurch ist sogar das Ausspähen von Daten aus Systemen möglich, die lediglich mit Update- oder Management-Servern kommunizieren können. Im gleichen Kontext ist kürzlich die Sicherheitsfirma Carbon Black auffällig geworden, deren Sicherheitsprodukt auf Whitelisting statt Blacklisting, also auf der Erkennung guter statt schädlicher Programme beruht. Um dafür eine Erkennungsbasis zu schaffen, wurden massenhaft auch unproblematische Daten an einen cloudbasierten Multiscanner-Dienst gesendet und waren dort prinzipiell als unverdächtige Malware-Proben für zahlende Kunden einsehbar.

32 32 DFN Mitteilungen Ausgabe 92 November 2017 SICHERHEIT der IT-Sicherheit am Arbeitsplatz sensibilisiert würden. 400 million users protected... We have you Covered! Complete protection just one subscription AV Stay protected and productive! Lightweight and intuitive! Simple. Effective. Free. Die aktuellen Werbeslogans der großen Hersteller von Antivirensoftware unterscheiden sich kaum von den Sprüchen, mit denen im 19. Jahrhundert für sogenanntes Schlangenöl geworben wurde. Zusätzlich werden seit vielen Jahren immer wieder oft gravierende Schwachstellen in Produkten aller Sicherheitssoftware-Hersteller veröffentlicht und teilweise auch aktiv ausgenutzt. Dies gilt auch für Produkte, die auf Linux- oder Unix-Plattformen laufen. Sicherheitssoftware jeder Art hat sich daher längst als attraktives Ziel für Angreifer herausgestellt. In der Regel muss die Software mit Admin- oder Root-Rechten laufen und ist sehr tief im System verankert. Da es sich um kommerzielle Anwendungen handelt, ist der Quellcode der Software meist nicht für ein potentielles Audit verfügbar. Abhilfe schaffen können hier Bemühungen von Sicherheitsforschern wie Tavis Ormandy, der kurzerhand eine Software für den Port von Windows Dynamic Link Libraries (DLLs) nach Linux geschrieben hat [ loadlibrary], um das von Microsoft ver triebene Sicherheitstool Windows Defender mit Softwaretests wie Fuzzing zu untersuchen. Diese Untersuchungen hatten Mitte des Jahres zur Offenlegung schwerwiegender Schwachstellen in diesen und weiteren Tools auch anderer Hersteller von Sicherheitssoftware geführt und damit ei- ne generelle Diskussion zum Thema befüttert, die seit Anfang des Jahres auch mehr und mehr in der Öffentlichkeit geführt wird. Die Dosis und das Gift Der Einsatz von Sicherheitssoftware an sich führt also nicht zwangsläufig zu einem gesteigerten Sicherheitsniveau und sollte jederzeit gegen die inhärent damit einhergehende Vergrößerung der Angriffsfläche des zu schützenden Systems abgewogen werden. In Umgebungen, in denen der Endbenutzer den Hauptteil dieser Angriffsfläche stellt, können einfache Aufklärungskampagnen und auch die Schaffung von Transparenz im Schadensfall insbesondere die gemeinsame Aufarbeitung von Sicherheitsvorfällen unter Vermeidung von Opferbeschuldigung/Victim Blaming helfen. Viele der mittlerweile sehr gut gemachten -Kampagnen zur Verteilung von Schadsoftware würden vermutlich ins Leere laufen, wenn das allgemeine Stress- und Druckniveau im Arbeitsumfeld auf allgemeinverträgliche Werte reduziert würde und die Mitarbeiter besonders hinsichtlich Netzwerk- und Systemadministratoren müssen in ihrem jeweiligen Umfeld nicht nur abwägen, welche Schutzmaßnahmen zum Einsatz kommen sollen, sondern auch Präventivmaßnahmen treffen. Angefangen bei der Planung und restriktiven Vergabe von Benutzerberechtigungen nach den Prinzipien Need to know und Least privilege über die Durchführung täglicher Backups aller betriebsrelevanten Systeme bis hin zu nicht nur regelmäßigen, sondern ständigen Sicherheitsupdates aller verwendeten Softwareprodukte, sind die Möglichkeiten vielfältig, das Sicherheitsniveau in vernetzten Systemen zu beeinflussen. Die Auswahl geeigneter Schutzmechanismen vom Einsatz restriktiver, lokaler Firewalls auf Endgeräten bis hin zu zentralen Sicherheitsmaßnahmen auf Proxies und Gateways ist dabei entscheidend. Die Frage, ob eine möglicherweise schadhafte, zusätzlich installierte Antivirensoftware das Sicherheitsniveau eines Systems erhöht, auf dem beispielsweise auch ein Adobe Flash Player installiert ist (bereits mehr als 50 kritische Schwachstellen in 2017), stellt sich dann eigentlich nicht. Interessanterweise hat auch die Industrie die Zeichen der Zeit erkannt. Ein Anbieter von Firewall-Lösungen wirbt derzeit mit dem Slogan Protect Yourself from Antivirus für einen Bestandteil seiner neuen Next-Generation Security Platform. Sola dosis facit venenum. M WEITERFÜHRENDE INFOS aktuell.html

33 SICHERHEIT DFN Mitteilungen Ausgabe Sicherheit aktuell Text: Ralf Gröper (DFN-Verein) Transportverschlüsselung zwischen Mailservern Die Transportverschlüsselung zwischen Mailservern ist ein Basis- Baustein für vertrauliche Kommunikation. Wie auch für Webserver gilt: Ein Mailserver, der keine verschlüsselte Kommunikation ermöglicht, ist nicht nach dem Stand der Technik installiert. Bereits 2014 mahnte das Bayerische Landesamt für die Datenschutzaufsicht zahlreiche Unternehmen in Bayern wegen einer fehlenden Transportverschlüsselung ihrer Mailserver ab. Das DFN-CERT hat aus der Praxis heraus ein Paper erstellt, das Empfehlungen für die Konfiguration der Transportverschlüsselung zwischen Mailservern anbietet. Neben einer Best-Practice Konfiguration wird außerdem der neue Sicherheitsmechanismus DANE/TLSA für SMTP erläutert. Das Paper enthält Beispielkonfigurationen für Postfix und Exim. Certificate Transparency in der DFN-PKI Mittels Certificate Transparency (CT, RFC 6926) soll die Prüfung ausgestellter digitaler Zertifikate für verschlüsselte Internetverbindungen ermöglicht werden. Mittels CT sollen von Zertifizierungsstellen ausgestellte Zertifikate in einem dezentralen revisionssicheren Logbuch (CT-Log Server) geloggt werden. Google Chrome fordert, dass ab März 2018 alle Serverzertifikate von besuchten Webseiten in CT geloggt sind. Ansonsten wird das Zertifikat als nicht vertrauenswürdig angezeigt. Daher trifft die DFN- PKI derzeit Vorbereitungen, alle neu ausgestellten Serverzertifikate in CT zu loggen. Dies erfordert die Einwilligung der Antragsteller in die Veröffentlichung von Serverzertifikaten und wird dazu führen, dass alle in browserverankerten Serverzertifikaten enthaltenen Servernamen grundsätzlich veröffentlicht sind. Die DFN-PKI hinterlegt bisher keine Zertifikate in CT-Log, allerdings sind durch Webcrawler und Telemetriedienste diverser Software viele öffentlich erreichbare Zertifikate dort jetzt bereits hinterlegt. Die Inhalte von einigen CT-Logservern können auf der von der Zertifizierungsstelle Comodo betriebenen Website ( crt.sh/) durchsucht werden. Erweiterter Schutz vor DoS-Angriffen Neben der bereits erfolgreich eingeführten Abwehrplattform gegen volumenbasierte Denial-of-Service-Angriffe im X-WiN und dem darauf aufsetzenden Dienst zum Basisschutz vor DoS-Angriffen, gibt es bei einigen Teilnehmern auch weitergehende Anforderungen. Deswegen hat der DFN-Verein in einem ersten Schritt damit begonnen, für Veranstaltungen oder Aktivitäten mit erhöhtem Angriffspotential, wie beispielsweise bei politischen Veranstaltungen oder der Veröffentlichung kritischer Forschungsergebnisse, auf Anfrage zeitweise einen erweiterten Schutz zu leisten. Dieser umfasst sowohl erweiterte Bereitschaftszeiten als auch die detaillierte Vorabmodellierung von zu schützenden Ressourcen, um im Ernstfall nicht nur den Angriffsverkehr effektiv erkennen und abwehren zu können, sondern auch um den gewünschten Wirkverkehr zuverlässig durchzulassen. Während der DoS-Basisschutz von allen Teilnehmern am X-WiN ohne zusätzliches Entgelt genutzt werden kann und soll, muss für einen erweiterten DoS-Schutz eine gesonderte Kostenumlage entrichtet werden. Zur Vorbereitung eines nächsten Schrittes hin zu einem dauerhaft erbrachten erweiterten DoS-Schutz ist der DFN-Verein gegenwärtig im engen Austausch mit interessierten Teilnehmern. Hier gilt es, zunächst ein genaues Bild der Anforderungen zu ermitteln. KONTAKT Wenn Sie Fragen oder Kommentare zum Thema Sicherheit im DFN haben, schicken Sie bitte eine an

34 34 DFN Mitteilungen Ausgabe 92 November 2017 CAMPUS

35 CAMPUS DFN Mitteilungen Ausgabe Campus Eine vollautomatisierte e-learning Plattform von Jan Schmidt, Nils gentschen Felde Der Faktor Mensch: IT-Sicherheit an Hochschulen von Angelika Müller, Hans Pongratz

36 36 DFN Mitteilungen Ausgabe 92 November 2017 CAMPUS Eine vollautomatisierte e-learning Plattform In Zeiten stetig steigender Studentenzahlen hat sich im Laufe der Zeit eine Vielzahl technischer Möglichkeiten entwickelt, die es erlaubt, der Masse an Teilnehmern einer Lehrveranstaltung Herr zu werden. Viele der technisch notwendigen Arbeitsumgebungen und IT-Infrastrukturen wurden virtualisiert, so dass eine immer größere Zahl an Studierenden vollkommen zeit- und ortsungebunden arbeiten kann. Die Kehrseite der neu gewonnenen Arbeitsweisen und Freiheiten ist jedoch, dass die persönliche Betreuung und das inhaltliche Anleiten der Studierenden immer schwieriger wird, insbesondere auch durch den enormen Korrekturaufwand der anfallenden Übungsabgaben. Mit einer vollautomatisierten e-learning Plattform kann diesem Missstand entgegengewirkt werden. Text: Jan Schmidt, Nils gentschen Felde (Ludwig-Maximilians-Universität München) Foto Kirillm / istockphoto

37 CAMPUS DFN Mitteilungen Ausgabe Um wieder mehr Zeit für die persönliche Betreuung in Lehrveranstaltungen zu schaffen, statt diese für zeitaufwendige Korrekturarbeit aufzuwenden, und die Studierenden weiter in ihrer Freiheit zu unterstützen, wurde ein System entworfen, das Übungsaufgaben im Rahmen eines Praktikums vollautomatisiert korrigiert und gleichzeitig die Möglichkeit bietet, Lösungsansätze bereits während der Bearbeitung zu testen. Im Gegensatz zu anderen Systemen, ist das entstandene System nicht auf Programmieraufgaben beschränkt. Vielmehr können verschiedene Aufgabentypen eines systemnahen Praktikums auf der tatsächlichen Infrastruktur überprüft werden. So können beispielsweise Studenten, die in einer Praktikumsaufgabe eine Firewall konfigurieren müssen, diese Konfiguration direkt von dem Prüfungssystem verifizieren und testen lassen und so sicherstellen, dass die Aufgabe korrekt gelöst wurde. Eine Lücke schließen Es existieren eine Menge Arbeiten und Ansätze zu automatisierten e-learning Umgebungen, im Rahmen derer diverse Übungsaufgaben durch die Teilnehmer/Studierende bearbeitet und gelöst werden müssen. Die Überprüfung der gelösten Aufgaben erfordert jedoch häufig Humaninteraktion, zumeist von freiwilligen Helfern, was das Skalierungsverhalten der angebotenen Initiativen stark von der Anzahl der Betreuer abhängig macht. Ziel war es, genau diese Lücke zu schließen. Eine bekannte Initiative zur Ausbildung im Bereich IT-Sicherheit ist das sog. Hacking- Lab. Dabei handelt es sich um eine Online- Plattform, die eine vernetzte IT-Infrastruktur bereitstellt, innerhalb welcher verschiedene Aufgaben und Herausforderungen zur IT- Sicherheit gelöst werden können. Ein Hacking-Lab besteht aus sog. challenges, die jeweils aus einer existierenden Schwachstelle bestehen, welche es zu finden und zu beheben gilt. Eine Lösung besteht aus der Beschreibung einer gefundenen Schwachstelle und der Dokumentation einer entsprechenden Absicherung. Eine Bewertung der Lösungen wird von den Betreuern des Hacking-Labs vorgenommen und per an die Teilnehmer versendet. Das Hacking- Lab basiert technisch auf dem Open Web Application Security Project und stellt u. a. auch die Missionen im Rahmen der European Cyber Security Challenge bereit. Ähnliche Arbeitsumgebungen, in denen insbeson dere Pen-Testing gelehrt und geübt werden kann, sind das Hacking Dojo, das Virtual Hacking Lab sowie LAMPSecurity. Es finden sich viele Vorarbeiten zur automatischen Korrektur von Programmieraufgaben unter dem Stichwort Automated Grading. Sämtliche Arbeiten beschränken sich allerdings auf die Korrektur von Programmieraufgaben und eignen sich nicht dafür, beliebige praktische Aufgaben, die innerhalb eines universitären Praktikums oder Hacking-Labs existieren, zu korrigieren. Ein großer Teil der Lösungen ist jedoch web-basiert und dient so als Basis für das System. Ein Prüfungssystem für ein virtualisiertes Praktikum wurde in der Fachliteratur bereits dokumentiert. Dort werden virtuelle Maschinen auf den Systemen der Teilnehmer durch eine Sammlung von Shell-Skripten überprüft und eine entsprechende Bewertung generiert. Zur Überprüfung werden die jeweiligen Tests auf die zu überprüfenden Systeme der Teilnehmer kopiert und ausgeführt. Das führt folglich leider dazu, dass Testroutinen potentiell durch den Teilnehmer eingesehen und im schlimmsten Fall sogar manipuliert werden könnten. Die Herausforderung Auch an der LMU existieren bereits Vorarbeiten und voll-virtualisierte Arbeitsumgebungen im Bereich der Lehre, an deren Beispiel eine möglichst weitreichende automatische Korrektur von zu lösenden Übungsaufgaben realisiert werden soll. Diese Arbeiten dienen ebenfalls als Ausgangsbasis für die vorliegende Herausforderung. In einem ersten Schritt werden die an den Praktika beteiligten Akteure und ihre Rollen identifiziert. Erwartungsgemäß sind dies die studentischen Teilnehmer, die Lehrstuhlmitarbeiter in ihrer Rolle als inhaltliche Betreuer und Prüfer des Praktikums sowie die technischen Administratoren der unterstützenden IT-Infrastrukturkomponenten. Die unterschiedlichen Sichtweisen der drei beteiligten Rollen (Student, Betreuer, Administrator) dienen als Ausgangsbasis für eine Anwendungsfall-getriebene Anforderungsanalyse. Die dabei angewandte Methodik folgt der aus dem objektorientierten Software-Entwurf bekannten Vorgehensweise der Analyse von Anwendungsfällen (sogenannte Use Cases). Der Ausgangspunkt der Anwendungsfallanalyse ist die knappe und informelle Beschreibung ausgewählter Szenarien. Zur Ableitung von Anwendungsfällen werden die vier Phasen des Lebenszyklus einer Praktikums-Instanz (Planung, Aufbau/Inbetriebnahme, Betrieb inkl. Prüfung, De-Kommissionierung) und zusätzlich die Evolution (Änderung, Erweiterung etc.) des Praktikums über die Jahre hinweg betrachtet. Die Beschreibung der verschiedenen Lebenszyklusabschnitte aus den jeweils unterschiedlichen Blickwinkeln wird als Grundlage für die Analyse der verschiedenen Anwendungsfälle verwendet. Insgesamt leiten sich nach diesem Schema 29 Anwendungsfälle ab, die sich auf die vier Lebenszyklusphasen verteilen. Beispiele für Anwendungsfälle sind das Gruppieren von Übungsaufgaben zu Aufgabenblättern, die Zuordnung von Studenten zu Arbeitsgruppen, Änderungen an den Arbeitsgruppen während des Semesters (z. B. Wechsel eines Studenten in eine andere Gruppe, frühzeitiges Ausscheiden eines Studenten, o. Ä.), die Archivierung und Reproduzierbarkeit von Testergebnissen oder schlicht die Integration des angestrebten Systems in die bereits existierende Betriebsumgebung. Aus der Summe der Anwendungsfälle werden Anforderungen abgeleitet und in einem Anforderungskatalog gesammelt.

38 38 DFN Mitteilungen Ausgabe 92 November 2017 CAMPUS Ergebnisse der Anforderungsanalyse Zusammenfassend ergeben sich 29 funktionale und 15 nicht-funktionale Anforderungen. Neben den durch die Anwendungsfälle abgeleiteten Anforderungen ergibt sich noch eine weitere Menge an Anforderungen aus formalen und rechtlichen Vorgaben, die z. B. in Prüfungsordnungen und sonstigen Studienregularien sowie der Gesetzgebung festgeschrieben sind. Die meisten der hierdurch gegebenen Anforderungen sind Duplikate der bereits im Rahmen der Anwendungsfall-getriebenen Anforderungsanalyse erhobenen Anforderungen (z. B. Reproduzierbarkeit der Ergebnisse, Archivierung etc.). Einige andere Anforderungen hingegen erweisen sich im bisherigen Verlauf der Arbeit als nur sehr kompliziert oder gar nicht IT-gestützt umsetzbar (z. B. die eindeutige Zurechenbarkeit von Ergebnissen zu Studenten, insbesondere zum Zwecke der Notengebung). Der Systementwurf eine Vogelperspektive Um die Bestandteile des Systems und ihre Beziehungen untereinander festzulegen, wurden in einem ersten Schritt die erhobenen Anforderungen gruppiert und daraus UI Application Core Task Manager Abb. 1: erster Systementwurf Komponenten abgeleitet. Abb. 1 zeigt einen ersten groben Überblick über die abgeleiteten Komponenten, Kommunikationsbeziehungen und ihre Schnittstellen zu Bestandssystemen aus der Vogelperspektive. Aus den Anforderungen an die Datenhaltung (wie z. B. die Verwaltung von Teilnehmerdaten, Terminen und Fristen oder die Zuordnung von Aufgaben zu Übungsblättern) folgt, dass eine zentrale Komponente zur Speicherung relevanter Daten und Informationen (also eine Datenbank (DB)) benötigt wird. Zudem beinhaltet der Anforderungskatalog einige Anforderungen an die Interaktionen mit bestehender Infrastruktur, Diensten und den bestehenden virtuellen Maschinen (vgl. rechte Seite in Abb. 1). Der Systementwurf wird diesen Anforderungen in Form von drei Schnittstellen ( 1, 2 und 3 ) gerecht: Schnittstelle 1 stellt die Kommunikation mit einem existierenden Verzeichnisdienst (Directory Service) sicher, der zur Authentifizierung und Autorisierung registrierter Nutzer verwendet werden soll. Scheduler DB Directory Service Virtualization Controller VMs Schnittstelle 2 realisiert die Kommunikation mit der bestehenden Virtualisierungsumgebung unter Nutzung existierender Management-Komponenten (Virtualization Controller). Der notwendige Funktionsumfang der Schnittstelle ergibt sich aus einer Gruppe nicht-funktionaler Anforderungen, die fordern, dass z. B. Testergebnisse reproduzierbar sind, keine Spuren auf den getesteten Systemen hinterlassen werden, und dass Tests nicht durch Dritte beeinflussbar sind. Daraus folgt ebenfalls, dass der Funktionsumfang dieser Schnittstelle zumindest das Sichern des Systemzustandes einzelner VMs sowie die Zugriffssteuerung und das Management von VMs unterstützen muss. Schnittstelle 3 stellt die eigentliche Kommunikation zwischen dem Prüfungssystem und den virtuellen Maschinen sicher. Zum einen müssen die VMs vor einem Test vorbereitet werden (z. B. einrichten geeigneter Firewall-Regeln), zum anderen müssen Testroutinen Zugriff auf das System erhalten, um dort ausgeführt werden zu können. Die Kommunikation unter Nutzung der vorgesehenen Schnittstellen sowie die Verwaltung der zentralen Abläufe und das Auflösen potentieller Abhängigkeiten von Aufgaben (Tasks) untereinander soll durch einen zentralen Applikations-Kern (ApplicationCore) übernommen werden. Teil dieses Kerns ist auch ein Scheduler, der u. a. den Forderungen nach Skalierbarkeit, Fehlertoleranz und Nebenläufigkeit (z. B. durch die parallele Testausführung mehrerer Übungsgruppen) gerecht wird. Zudem ist im Systementwurf ein eigener Task-Manager als Producer nach dem Producer-Consumer-Schema vorgesehen, der die auszuführenden Tasks erstellt, die von Consumern als eigenständige Prozesse abgearbeitet werden. Aus einer weiteren Gruppe von Anforderungen ergibt sich schlussendlich die Notwendigkeit einer Sichtenbildung und eines Rollenkonzepts. Das bedeutet für den Systementwurf, dass eine Nutzerschnittstelle (User Interface (UI)) mit unterschiedlichen Sichten entsprechend einem festgelegten Rollenkonzept benötigt wird. Zu-

39 CAMPUS DFN Mitteilungen Ausgabe Logger writelog() renderadmin View() Admin View httprequest Handler addtasktoqueue Webserver Student View renderstudent View() triggerexecution() HTTP-Request trigger Execution() status Application Core validatelogin() taskhandler (Producer) Scheduler querydb() writetodb() preparevms(), restorevms() getresults() checkschedule() DB 1 2 Directory Service Virtualization Controller consume() Worker returnresults() preparevms(), restorevms() 3 Task Queue Worker Worker Consumer Result Backend executetests() 3 VMs Abb. 2: verfeinerte Systemarchitektur dem beeinflussen viele nicht-funktionale Anforderungen (vor allem an die Sicherheit) die Festlegung von Protokollen und bedingen die Wahl geeigneter kryptografischer Verfahren. Im Detail Auf Basis der einleitenden Überlegungen lässt sich eine verfeinerte Systemarchitektur als Grundlage für eine spätere Implementierung leicht an einem Beispiel darstellen. Abb. 2 stellt das Ergebnis grafisch dar. Die geforderte Sichtenbildung des Systementwurfs wird durch einen Webserver mit unterschiedlichen Sichten für administrative Aufgaben und für Studierende realisiert. Der Application Core stellt die zentrale Komponente des Gesamtsystems dar. Es werden alle Anfragen des Webservers verarbeitet, aus denen sogenannte Tasks erzeugt werden, die wiederum jeweils von einem Worker verarbeitet werden. Außerdem wird die Verarbeitung der Tasks überwacht. Dementsprechend teilt sich der Application Core in zwei Teilmodule auf, die die beiden Teilaufgaben funktional abdecken: Neben der Authentifizierung und Autorisierung von Benutzern unter Nutzung eines externen Verzeichnisdienstes (Directory Service, wobei extern lediglich bedeutet, dass der Verzeichnisdienst bereits existiert und nicht unter der Ägide des hier entwickelten Systems steht), verarbeitet der Request Handler die Anfragen des Webservers. Es gibt zwei verschiedene Quellen, von denen Tasks vom taskhandler entgegengenommen werden können. Zum einen können Nutzer Anfragen stellen, die vom httprequesthandler weitergereicht werden. Zum anderen können geplante oder regelmäßige Aufgaben, die durch einen Scheduler zur Ausführung gebracht werden, eintreffen. Regelmäßig ablaufende Tasks können z. B. das automatische Kontrollieren von Praktikumsaufgaben nach Ablauf der Bearbeitungsfrist für ein Aufgabenblatt sein. Neben den verschiedenen Initiatoren können ebenfalls zwei verschiedene Arten von Tasks unterschieden werden: 1. die Überprüfung von Praktikumsaufgaben, 2. die Kommunikation mit der virtuellen Infrastruktur unter Nutzung des externen Virtualization Controllers. Alle Tasks werden mit ggf. notwendigen Zusatzinformationen aus der Datenbank angereichert und an eine Task-Queue weitergegeben. Dort werden sie von Workern

40 40 DFN Mitteilungen Ausgabe 92 November 2017 CAMPUS abgearbeitet. Der taskhandler überwacht den Status der Tasks und gibt diesen regelmäßig an den httprequesthandler weiter, um ihn im User Interface anzeigen zu können. Nachdem ein Worker seinen Task abgearbeitet hat, wird das Ergebnis in ein Result-Backend geschrieben und kann vom taskhandler gelesen und verarbeitet werden. Um z. B. das automatische Kontrollieren von Praktikumsaufgaben nach Ablauf der Bearbeitungsfrist für ein Aufgabenblatt zu realisieren, kommt ein Scheduler zum Einsatz. In regelmäßigen Abständen werden die in der Datenbank erfassten Zeitpläne überprüft und alle ggf. anstehenden Aufgaben als Tasks zur Ausführung an den taskhandler weitergegeben. Die Task-Queue dient als Warteschlange für Tasks, die noch von keinem Worker verarbeitet werden. Außerdem werden über die Task-Queue Informationen über den Status zwischen Worker und taskhandler ausgetauscht. Nachdem ein Worker seinen Task abgeschlossen hat, wird das Ergebnis in ein Result-Backend eingetragen, aus dem es vom taskhandler ausgelesen und weiterverarbeitet kann. Die Worker sind eigenständige Prozesse, die die Tasks aus der Task-Queue abarbeiten. Sie führen die eigentlichen Testroutinen aus. Eine Testroutine ist eine ausführbare Datei, die lediglich mit ihrem Pfad als Referenz in der Datenbank gespeichert ist und eigenständig (ohne weitere Abhängigkeiten) ausgeführt werden kann. Die Testroutinen Bevor eine Testroutine ausgeführt wird, werden die zu testenden virtuellen Maschinen durch den taskhandler vorbereitet. Dies beinhaltet, dass den Teilnehmern die Rechte zur Verwaltung der VMs entzogen werden, der aktuelle Zustand der VMs durch Snapshots gesichert und auf jeder VM eine Firewall eingerichtet wird, die sicherstellt, dass nur das Testsystem Zugang während der Testausführung erhält. Nach dieser Vorbereitung kann jeder Test von einem Worker ausgeführt werden. Die Kommunikation mit den Testroutinen erfolgt über wohldefinierte Ein- und Ausgaben. Die Testroutinen erhalten als Eingabeparameter die IP-Adressen der zu testenden VMs. Ein Test muss so entwickelt werden, dass er bestimmte Kommandozeilenparameter (wie z. B. --eth0-ipv6) verarbeiten kann. Mit diesen Parametern kann sich der Test (meist per SSH) mit der VM verbinden. Anschließend wird der eigentliche Test durchgeführt. Da die Tests eigenständig sind und auch keine Verbindung zur Datenbank haben, ist der Rückgabewert nicht die erreichte Punktzahl einer Aufgabe, sondern ein entsprechender Prozentsatz der erreichten Punkte, der später mit der für die Aufgabe erreichbaren Punktzahl multipliziert wird. Zusätzliche Ausgaben der Testroutinen beinhalten Hinweise und Fehlermeldungen. Diese werden anschließend vom taskhandler an das User Interface weitergereicht, um die Teilnehmer bei ihrer Arbeit und Fehlersuche zu unterstützen. Nach Abschluss aller auszuführenden Testroutinen werden die betroffenen VMs durch Wiedereinspielen der zuvor angelegten Snapshots in ihren ursprünglichen Zustand versetzt und sämtliche Berechtigungen der Teilnehmer werden erneut zugewiesen. Aus operativen Gründen ist es notwendig, dass die angemeldeten Studenten eines Kurses sowie deren Gruppenzugehörigkeit verwaltet werden können. Außerdem müssen die Aufgaben und Übungsblätter des Praktikums verwaltet werden. Jedes Übungsblatt hat eine Bearbeitungsfrist (Deadline) und mehrere Aufgaben, die diesem Übungsblatt zugeordnet werden. Nach Ablauf der Bearbeitungsfrist werden die entsprechenden Testroutinen der jeweiligen Aufgaben ausgeführt und die Bewertung jeder Gruppe in der Datenbank (DB) gespeichert. Die Implementierung Das entworfene System entspricht im Grundsatz einer Web-Anwendung mit Task-Management. Es bietet sich für die Implementierung an, auf bestehende Bibliotheken und Rahmenwerke zurückzugreifen, um die Grundfunktionalität des Entwurfs zu gewährleisten. Die Implementierung erfolgt in Python auf Basis von Flask, aufgrund seiner Flexibilität und unkomplizierten Entwicklung. Der httprequest- Handler sowie der Web-Server mit seinen Views ist in Flask realisiert. Das Datenmodell ist durch das SQL-Toolkit SQLAlchemy und seinen Object Relational Mapper umgesetzt. Für den taskhandler, die Worker sowie den Scheduler wird Celery verwendet. Celery-Tasks werden über die Task-Queue an die Worker verteilt, und Celery übernimmt die Kommunikation mit der Task-Queue und dem Result-Backend. Celery unterstützt verschiedene Task-Queues, Message-Broker und Result-Backends. Redis wird sowohl für die Task-Queue als auch für das Result-Backend verwendet. Die Implementierung erfolgt beispielhaft für das Praktikum IT-Sicherheit an der LMU. Dieses Praktikum verwendet als Virtualisierer VMware ESXi. Die Kommunikation mit dem entsprechenden Virtualization Controller (in diesem Fall also dem vcenter) wird durch Powershell-Skripte gelöst. Diese werden unter Nutzung der Python-API von Ansible ausgeführt. Die Power shell-skripte abstrahieren somit die von Schnittstelle 2 geforderte Funktionalität, VMs steuern und Snapshots verwalten zu können. Das Ergebnis Zur Bewertung der erzielten Ergebnisse bietet es sich an, einen Abgleich mit den abgeleiteten Anforderungen zu führen und die (subjektiven) Eindrücke zum produktiven Einsatz des Systems in der Lehre zu betrachten.

41 CAMPUS DFN Mitteilungen Ausgabe Der Vergleich mit dem Anforderungskatalog zeigt, dass ein Großteil der Anforderungen erfüllt werden kann. Probleme gibt es hauptsächlich bei dem Anschluss des Systems an bestehende Verzeichnisdienste, da diese Systeme im vorliegenden Beispiel keine Anbindung zulassen. Aus diesem Grund werden eine doppelte Datenhaltung und ein manueller Abgleich zwischen den Systemen notwendig. Zwar ist die Nichterfüllung der Konsistenzanforderung nicht durch das System bedingt, aber in der vorliegenden Implementierung unumgänglich. Weiter kann die Anforderung, falsch-positive und falsch-negative Ergebnisse der Testroutinen zu vermeiden, nicht erfüllt werden. Dies liegt vor allem daran, dass die Ergebnisse einer Testroutine von der Aufgabenstellung und der konkreten Implementierung der Testroutinen abhängig sind. Ein möglicher Lösungsansatz, der auch umgesetzt ist, versucht dieses Problem durch Kontrollgruppen zu verringern. Es existiert je eine Kontrollgruppe mit der korrekten Lösung und eine Kontrollgruppe ohne Lösung, sodass zumindest grobe Fehler in den Testroutinen erkannt werden können. Eine vollumfängliche Erfüllung der Anforderung scheint nur unter Anwendung formaler Methoden machbar, was bisher nicht geschehen ist. Insgesamt sind die Erfahrungen im operativen Einsatz allerdings sehr gut sowohl objektiv durch einen hohen Grad der Erfüllung existierender Anforderungen, als auch subjektiv im Sinne positiver Rückmeldung der Praktikumsteilnehmer. Die neue Arbeitsumgebung und die neue Art und Weise, ein Praktikum anzubieten, wird von den Studenten gut angenommen und hat für eine gute Grundlage für Fragen im Tutorium oder per gesorgt. Die Korrekturzeit der Aufgaben wird durch die automatische Korrektur auf ein Minimum reduziert. Durch die Automatismen und die Ausprägung der Testroutinen sind zudem zusätzliche (Verständnis-) Fragen eingegangen, da die Lösungen nicht mehr nur den eigenen Ansprüchen der Studenten, sondern auch den Testroutinen genügen müssen. Kritik hingegen gibt es vorwiegend bei der Interpretation der Statusmeldungen von Testroutinen, wenn eine Aufgabe nicht mit voller Punktzahl bewertet worden ist. Hier ist die größte Herausforderung, dass auf der einen Seite vielsagende Rückmeldungen wünschenswert sind, aus der Rückmeldung aber auf der anderen Seite nicht direkt auf die richtige Lösung der Aufgabe geschlossen werden können soll. LITERATUR Neben Erweiterungen der Implementierung, wie z. B. die Erweiterung des derzeitigen Aufgabenpools oder der Anbindung an existierende Verzeichnisdienste und Dienste zur Veranstaltungsverwaltung, steht die Weiterentwicklung zu einer Art Praktikum-as-a-Service an. Studierende sollen den Startzeitpunkt ihres Praktikums sowie die Bearbeitungsgeschwindigkeit vollkommen frei wählen können. Dazu bedarf es einiger Modifikationen, insbesondere des zugrundeliegenden Datenmodells sowie der prozessualen Abläufe. - Blumenstein, M.; Green, S.; Nguyen, A.; Muthukkumarasamy, V.: GAME: a Generic Automated Marking Environment for programming assessment. In: International Conference on Information Technology: Coding and Computing, Proceedings. ITCC Bd. 1, Vol.1, Apr Baumstark, L.; Rudolph, E.: Automated Online Grading for Virtual Machinebased Systems Administration Courses. In: Proceeding of the 44th ACM Technical Symposium on Computer Science Education. SIGCSE 13, ACM, Denver, Colorado, USA, S , Danciu,V.; Guggemos,T.; Kranzlmüller, D.: Schichtung virtueller Maschinen zu Labor- und Lehrinfrastruktur. In: 9. DFN Forum Kommunikationstechnologien.GI Edition Lecture Notes in Informatics, Rostock, Deutschland, Juni Edwards, S.; Perez-Quinones, M.: Web-CAT: Automatically Grading Programming Assignments. In: Proceedings of the 13th Annual Conference on Innovation and Technology in Computer Science Education. ITiCSE 08, ACM, Madrid, Spain, S , Hull, M.; Powell, D.; Klein, E.: Infandango: Automated Grading for Student Programming. In: Proceedings of the 16th Annual Joint Conference on Innovation and Technology in Computer Science Education. ITiCSE 11, ACM, Darmstadt, Germany, S , Kurnia, A.; Lim, A.; Cheang, B.: Online Judge. Comput. Educ. 36/4, Mai Lindinger, T.; Reiser, H.; gentschen Felde, N.: Virtualizing an IT Lab for Higher Education Teaching. In: Tagungsband zum 1. GI/ITG KuVS Fachgespräch Virtualisierung. Paderborn, Deutschland, S , Feb Schmidt, J.: Vollautomatisiertes Prüfungssystem am Beispiel des Praktikums IT-Sicherheit, Masterarbeit, LMU München, Aug Schlarb, M.; Hundt, C.; Schmidt, B.: SAUCE: A Web-Based Automated Assessment Tool for Teaching Parallel Programming. In: Euro-Par 2015: Parallel Processing Workshops. Springer, Cham, S , Aug

42 42 DFN Mitteilungen Ausgabe 92 November 2017 CAMPUS Der Faktor Mensch: IT-Sicherheit an Hochschulen Die Gewährleistung von IT-Sicherheit lässt sich nicht allein mit technischen Mitteln sicherstellen. Der Faktor Mensch spielt hierbei eine zentrale Rolle. Die Technische Universität München (TUM) hat sich intensiv mit dieser Thematik beschäftigt und Maßnahmen zur Sensibilisierung der Mitarbeiter entwickelt und umgesetzt. Text: Angelika Müller, Hans Pongratz (Technische Universität München) Foto BeeBright / istockphoto

43 CAMPUS DFN Mitteilungen Ausgabe IT-Sicherheit ist auch für Hochschulen eine Grundvoraussetzung für die IT-basierte Abwicklung von Geschäftsprozessen. Es gilt, die Verfügbarkeit von Systemen, Daten und Diensten zu gewährleisten, ihre Vertraulichkeit zu schützen und ihre Integrität zu sichern. Da der Faktor Mensch für die Gewährleistung der IT-Sicherheit eine wesentliche Rolle spielt, muss ein Bewusstsein dafür geschaffen werden, dass es für alle Beteiligten unumgänglich ist, sich mit diesem Thema aktiv auseinander zu setzen. Ebenso müssen die Nutzer unterstützt werden, den korrekten Umgang mit Geräten, Techniken und IT-Diensten zu erlernen. Wie alles begann Bereits im Jahr 2012 wurde auf Beschluss des Hochschulpräsidiums ein zentrales Meldewesen zur Erfassung von IT-sicherheitsrelevanten Vorfällen und Schwachstellen eingeführt. Hintergrund war die Feststellung, dass es bis dahin keine zentrale Dokumentation und Steuerung von IT-sicherheitsrelevanten Vorfällen und Schwachstellen gab. Der Beschluss sieht die Abwicklung über den zentralen IT-Support und die regelmäßige Information des Chief Information Officers (CIO, im Rang eines Vizepräsidenten) der TUM vor. Bei Bedarf bindet der CIO weitere Stellen wie das Hochschulpräsidium, den Datenschutzbeauftragten, den Sicherheitsbeauftragten, den Personalrat oder die Ermittlungsbehörden ein. Mit dem Beschluss ging die Schaffung einer neuen Position Referentin für Datenschutz und IT-Sicherheit als unbefristete Vollzeitstelle einher. Die Förderung der Sensibilität für IT-Sicherheit und des IT-Sicherheitsbewusstseins der Mitglieder der Hochschule waren Teil des Beschlusses. Das Serviceportfolio umfasst die Beratung bzgl. Phishing-Mails, aktuellen Sicherheitshinweisen, Sicherheitsbewusstsein steigernden Elementen und konkreten Maßnahmen bei sicherheitsrelevanten Vorfällen. Exemplarisch kann der Adobe Hack von Oktober 2013 genannt werden. Es wurden von 153 Mio. Nutzern persönliche Daten, IDs, s, verschlüsselte Passwörter sowie teilweise Antworten auf Sicherheitsfragen von der Firma Adobe kopiert und öffentlich im Netz zur Verfügung gestellt. Über Kennungen mit adressen der TUM waren betroffen. Alle betroffenen Nutzer wurden zeitnah informiert. Außerdem konnte die TUM einer Vielzahl anderer Einrichtungen in dieser Sache Hilfestellung leisten. Vorüberlegungen zu Sensibilisierungsmaßnahmen Empfehlen statt Vorschreiben, Überzeugen statt Erzwingen, neugierig machen statt langweilen wurde als Grundphilosophie aller Sensibilisierungsmaßnahmen definiert, da sie im Allgemeinen dort auf fruchtbaren Boden fallen, wo ein Grundinteresse bereits vorhanden ist. Aus diesem Grund ist das wichtigste Ziel, die Aufmerksamkeit der Zielgruppe auf das Thema zu lenken, zum Nachdenken und Diskutieren anzuregen und den Wunsch nach weiteren, tiefer gehenden Informationen zu wecken. Diese weiterführenden Informationen müssen für die Nutzer leicht zugänglich sein. Aus diesem Grund wurde als Basis der Sensibilisierungsmaßnahmen der zentrale Webauftritt zur IT-Sicherheit gewählt. Dort werden möglichst komfortabel die notwendigen Informationen zu den Themen zusammengestellt, für die sich der Betreffende augenblicklich interessiert. Hauptzielgruppen aus Sicht der Sensibilisierung sind an der TUM: Studierende (derzeit etwa ) und Beschäftigte (derzeit knapp ). Während für Beschäftigte insbesondere die dienstliche Nutzung im Vordergrund steht, ist die Ausrichtung der Sensibilisierung für Studierende eher auf den privaten Bereich ausgelegt. Sowohl die Vermischung von dienstlichen und privaten Belangen als auch der Einsatz unterschiedlichster Geräte und Techniken, die sich nur teilweise im Kontrollbereich der TUM befinden, stellen besondere Herausforderungen dar. Nicht nur BYOD (Bring Your Own Device), sondern auch PUOCE (Private Use Of Company Equipment) sind hierbei alltägliche Themen. Vorgehen und Einbindung der Zielgruppen Seit dem Beschluss der Hochschulleitung und der Besetzung der Stelle für IT-Sicherheit sind an der TUM unterschiedliche Maßnahmen und Materialien entwickelt worden. Ausgangspunkte waren eine Recherche über Good Practices anderer Institutionen, Fachgespräche und der Besuch von Weiterbildungsveranstaltungen. Die dabei gewonnenen Erkenntnisse mussten meist in den Hochschulkontext übersetzt werden, wofür gute Kenntnisse der Strukturen der Hochschule, der Bedürfnisse der Beschäftigten und Studierenden Voraussetzung waren. Um die richtige Ansprache für Studierende zu finden, führte die TUM deshalb 2014 einen Ideenwettbewerb durch, um Motive und Anregungen für die Sensibilisierung von Studierenden zu erhalten. Fast alle Ideen konnten in Maßnahmen, Vorträgen und Aktionen übernommen werden. Auch die Idee für ein Signet, welches alle Materialien als zur IT-Sicherheitskampagne zugehörig kennzeichnet, stammt aus diesem Wettbewerb. Parallel dazu wurden zahlreiche Gespräche mit den Studierendenvertretern der Fachschaften geführt, um insbesondere Erstsemester in Zusammenarbeit mit den Fachschaften anzusprechen. Maßnahmen Das Spektrum der daraus resultierenden Maßnahmen ist groß und adressiert verschiedene Zielgruppen. Dazu gehören die Beschäftigten der Universität, Verfahrensverantwortliche, Administratoren, Studierende und Studienanfänger. Auch die einge-

44 44 DFN Mitteilungen Ausgabe 92 November 2017 CAMPUS IT-Sicherheitsblöcke Foto TUM setzten Formate variieren von klassischen Präsenzveranstaltungen, wie Aktionstage und Vortragsreihen, über Werbematerialien und Druckerzeugnisse bis hin zu rein virtuellen Maßnahmen, wie Newslettern oder einer gefälschten Phishing-Mail. Auftakt der Präsenzveranstaltungen war 2014 das Format Die Hacker kommen, welches von der Sicherheitsfirma Secunet Security Networks AG durchgeführt wurde und publikumswirksam die Gefahren und Risiken beim alltäglichen Umgang mit IT- Systemen und Handys eindrucksvoll präsentierte. Fachliche Hintergründe wurden knapp erklärt und anhand von unterhaltsam aufbereiteten Live-Hacking-Einlagen eindrucksvoll vorgeführt. Im Anschluss an die Veranstaltung konnte ein deutlich erhöhtes Bedürfnis an weiteren Informationen im Kontext der IT-Sicherheit festgestellt werden. In den folgenden Semestern wurde auch eine Abendvortragsreihe zur IT-Sicherheit etabliert, bei der unterschiedlichste Themen aus Forschung und Praxis adressiert werden. Cryptopartys für Studierende sensibilisieren für die Themen sichere , sicheres Surfen und sichere Passwörter. Speziell für Studienanfänger wurden Beiträge zur IT-Sicherheit in einige Studienauftaktveranstaltungen integriert, um gleich zu Beginn des Studiums für die Notwendigkeit von komplexen Passwörtern und die korrekte Konfiguration des eduroam- WLAN-Zugangs zu sensibilisieren. Flankierend werden spezielle Werbematerialien verteilt, dazu gehören z. B. IT-Sicherheitsblöcke, welche auf den Titelblättern in aller Kürze wichtige Themen wie WLAN- Sicherheit, Tracking und Schutz des eigenen Rechners darstellen und auf weiterführende Informationen auf den IT-Webseiten verweisen. Da Lehramtsstudierende Vorlesungen verschiedener Fakultäten besuchen und so eine gewisse Multiplikatorenrolle haben, erhalten sie Tragetaschen, welche durch einen provokanten Aufdruck für einen sicheren Umgang mit Smartphones werben. Flyer mit Tipps zum Finden von und dem Umgang mit Passwörtern, Smartphoneund PC-Sicherheit runden das Angebot der Werbematerialien ab. Aktionsstände am Rande von Veranstaltungen rund um IT-Sicherheitstragetasche Foto TUM den Semesterstart erlauben die Erstellung und die Verteilung von individuellen Passwortkarten zur Generierung sicherer Passwörter und laden zum direkten Gespräch ein. April April Zum 1. April 2016 wurden die Beschäftigten der Universität via in den April geschickt. In der verschickten wurden sie darüber aufgeklärt, dass die Zugangsdaten der zentralen TUM-Kennung, mit der fast alle Services der Universität zu nutzen sind, durch eine Facebook-Kennung ersetzt wird. Bestehende Facebook-Kennungen sollten über eine spezielle Webseite mit der jeweiligen TUM-Kennung zusammengeführt werden. Beschäftigte ohne Facebook-Kennung sollten sich über diese Webseite eine neue Facebook-Kennung anlegen. Die Links in der sollten die Beschäftigten auf eine Aufklärungsseite locken, auf der Informationen zu den Themen Datenschutz, Selbstdatenschutz und IT-Sicherheit nachzulesen sind. Beschäftigten, welche die Webseite nicht aufgerufen, sich

45 CAMPUS DFN Mitteilungen Ausgabe aber an den IT-Support gewandt hatten, wurde mitgeteilt, dass die Webseite nicht schadhaft sei und dort alle notwendigen Informationen zu finden sind. Ziel des Aprilscherzes war es, für die Themen Schadmails, Weitergabe von personenbezogenen Daten und Vermischung von dienstlichen und privaten Belangen zu sensibilisieren und Denkanstöße zu geben. Erfreulicherweise haben sich viele Empfänger der Nachricht genauer mit dem Thema Phishing und der Verknüpfung der TUM-Identität mit einer Facebook- Identität auseinander gesetzt und sich belustigt, besorgt oder auch verärgert an den IT-Support oder auch direkt an den CIO gewandt. Die Reaktionen zeigen deutlich, dass die Themenkomplexe auf fruchtbaren Boden fielen. Natürlich war der Aprilscherz auch eine Zeit lang Gesprächsthema in Kaffee küchen oder beim Mittagessen, so dass die platzierten Informationen noch einige Zeit danach präsent waren. Lessons learned Das Interesse an Kampagnen und Aktionen zur IT-Sicherheit ist größer als erwartet. Rückmeldungen zu Veranstaltungen und Maßnahmen, Gespräche mit Kolleginnen und Kollegen aus der gesamten Hochschule sowie mit Studierenden zeigen dies eindeutig und sind durchweg positiv. Obwohl es sowohl wissenschaftliche als auch praxisbezogene Vorschläge zur Messbarkeit des Erfolgs von Sensibilisierungsmaßnahmen gibt, hat sich die TUM derzeit dagegen entschieden, Aufwand in die Messung des Erfolgs zu stecken. Dies geschieht aus der Überzeugung, dass jede Maßnahme hilfreich ist und ein großer bis sehr großer Sensibilisierungsbedarf besteht. Aus den gemachten Erfahrungen erscheinen uns folgende Punkte von zentraler Bedeutung: Nutzung verschiedener Kommunikationskanäle und -formate: Dies erhöht den Kreis der erreichten Nutzer. Ebenso wichtig ist das Eingehen auf die verschiedenen Zielgruppen, um diese bedarfs gerecht anzusprechen. Anknüpfung an aktuelle Vorfälle und Pressemeldungen: Diese sind gute Aufhänger und Ideengeber für den nächsten Newsletter bzw. die nächste Aktion. So können Botschaften wiederholt werden, ohne zu langweilen. Regelmäßigkeit und Wiederholung: Besonders wichtig sind regelmäßige Aktionen und Wiederholung wichtiger Themen getreu dem Motto steter Tropfen höhlt den Stein. Überzeugen: Sensibilisieren heißt Überzeugungsarbeit leisten, nicht Vorschriften machen. Dafür müssen die Bedürfnisse der Nutzenden mit konkreten Verbesserungsvorschlägen adressiert werden. M Passwortkarte Foto TUM

46 46 DFN Mitteilungen Ausgabe 92 November 2017 RECHT BGH bestätigt: IP-Adressen sind personenbezogene Daten Bundesgerichtshof setzt Vorgaben des Europäischen Gerichtshofs zum Thema IP-Adressen und Datenschutz um Die Fragen, ob IP-Adressen als personenbezogene Daten einzuordnen sind, und auf welche Rechtsgrundlage eine Speicherung der Adressen gestützt werden kann, beschäftigt die Rechtsprechung und Fachliteratur bereits seit mehreren Jahren. Nachdem der Europäische Gerichtshof (EuGH) mit Urteil vom bereits einige Vorgaben zu beiden Fragen formuliert hat, folgt der Bundesgerichtshof (BGH) mit Urteil vom nun der Auffassung der Luxemburger Richter und schafft damit in einigen Punkten Rechtsklarheit. Neben den eigentlichen Ausführungen des Gerichts ist zudem zu beachten, inwieweit die jetzige Entscheidung auch unter der Datenschutz-Grundverordnung (DS-GVO) Geltung beanspruchen kann. Text: Matthias Mörike (Forschungsstelle Recht im DFN) I. Sachverhalt und Verfahrensgang Der Kläger, ein Politiker der Piratenpartei, setzt sich gerichtlich dagegen zur Wehr, dass staatliche Stellen beim Besuch ihres Internetauftritts seine IP-Adresse speichern. Konkret hatten die Einrichtungen (Bundesbehörden, -ministerien, etc.) die Aufrufe ihrer Seiten durch Internetnutzer in Protokolldateien festgehalten. Darin wurde jeweils der Name der abgerufenen Seite, in Suchfelder eingegebene Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war, und die IP-Adresse des zugreifenden Rechners gespeichert. Die Dateien wurden auch nach Abschluss des Nutzungsvorgangs verwahrt. Die Speicherung diente dem Ziel, Cyber-Angriffe abzuwehren und die strafrechtliche Verfolgung der Angreifer zu ermöglichen. Der Kläger forderte mit der Begründung, es handele sich dabei um eine unrechtmäßige Verwendung personenbezogener Daten, die Unterlassung der Speicherung. Der Rechtsstreit begann im Jahr 2008 und beschäftigte seitdem sämtliche Instanzen. Als erstes wies das Amtsgericht Berlin-Tiergarten die Klage ab. Das anschließend mit dem Rechtsstreit befasste Landgericht (LG) Berlin gab der Klage mit einigen Einschränkungen statt. Der daraufhin angerufene BGH kam zu dem Schluss, dass es für die Entscheidung maßgeblich auf die genaue Bedeutung EU-rechtlicher Vorschriften ankomme. Die deutschen Gesetzesnormen, die für die Entscheidung des Falls relevant sind, beruhen auf EU-Richtlinien, sodass es juristisch geboten ist, die nationalen Vorschriften im Sinne der EU-Vorschriften auszulegen. Da aber auch die EU-Vorschriften nach Auffassung des BGH keine eindeutige Antwort gaben, musste zuerst die entsprechende Richtlinie ausgelegt werden. Dafür ist der EuGH zuständig, sodass der BGH einen sogenannten Vorlagebeschluss fasste und den EuGH um die Beantwortung zweier Auslegungsfragen ersuchte. Der Gerichtshof entschied über die Vorlagefragen mit Urteil vom (Az. C 582/1, siehe dazu Sydow, Speichern ist relativ? Der EuGH zum Begriff der personenbezogenen Daten und deren Speicherung durch Telemediendiensteanbieter, DFN Infobrief Recht 12/2016). Mit dem jetzigen Urteil vom (Az. VI ZR 135/13) setzte der BGH die Vorgaben des EuGH für den Ausgangsfall um.

47 RECHT DFN Mitteilungen Ausgabe II. Entscheidung des Gerichts Das Urteil beschäftigt sich mit zwei wichtigen Aspekten. Der BGH hatte als Erstes die Frage zu prüfen, ob eine IP-Adresse überhaupt ein personenbezogenes Datum darstellt. Denn nur wenn das der Fall ist, kann sich der Kläger auf die Verletzung datenschutzrechtlicher Vorschriften berufen. 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Der Betreiber einer Internetseite kann in aller Regel nicht erkennen, wem eine bestimmte IP-Adresse zuzuordnen ist. Dies kann nur der Zugangs- bzw. Internetanbieter. Entscheidend war also die Frage, ob die IP-Adresse des Besuchers diesen für den Seitenbetreiber bestimmbar macht. Mit anderen Worten musste geklärt werden, ob der Seitenbetreiber einen Besucher seiner Seite anhand der IP-Adresse identifizieren kann. Diese Frage legte der BGH auch dem EuGH vor. Der Gerichtshof hatte sie dahingehend beantwortet, dass für die Bestimmbarkeit bereits die Möglichkeit, rechtliche Ansprüche auf die Bekanntgabe der für die Identifizierung erforderlichen Informationen geltend zu machen, ausreicht. Dabei müssen nach Vorgabe des EuGH alle Mittel berücksichtigt werden, die vernünftigerweise entweder von der verarbeitenden Stelle, hier dem Seitenbetreiber, oder Dritten eingesetzt werden können. Eine IP-Adresse kann folglich schon dann als ein personenbezogenes Datum gelten, wenn der Seitenbetreiber Auskunftsansprüche gegen Dritte geltend machen kann, die wiederum über Informationen verfügen oder diese zumindest beschaffen können, welche den Nutzer identifizieren. Der BGH Foto Klaus Eppele / fotolia untersuchte für den konkreten Fall, ob die Möglichkeit, entsprechende rechtliche Ansprüche geltend zu machen, gegeben ist. Die Richter bejahten dies mit dem Verweis auf die Befugnisse der für die Strafverfolgung und Gefahrenabwehr zuständigen Behörden. Der Seitenbetreiber könne diese Behörden im Falle einer Straftat bzw. einer bevorstehenden Gefährdung einschalten. Die Behörden wiederum könnten die zur Identifizierung erforderlichen Informationen vom Zugangsanbieter anfordern. Durch die Zusammenführung der Informationen lasse sich die Person des Nutzers bestimmen. Damit entschied der BGH einen seit längerem in der juristischen Fachwelt geführten Streit und stellte fest, dass eine IP-Adresse in aller Regel ein personenbezogenes Datum darstellt. Die erste zentrale Frage wurde damit beantwortet. Im nächsten Abschnitt des Urteils prüfte der BGH den Aspekt, ob eine gesetzliche Grundlage zur Speicherung der IP-Adresse durch die Seitenbetreiber vorlag. Im Datenschutzrecht gilt der Grundsatz, dass jede Verwendung personenbezogener Daten einer Einwilligung oder einer gesetzlichen Grundlage bedarf. Da eine Einwilligung des Nutzers nicht vorlag, war hier eine gesetzliche Grundlage erforderlich. Die Befugnisse der Betreiber von Internetseiten in Bezug auf personenbezogene Daten sind im Telemediengesetz (TMG) geregelt. Im Sinne dieses Gesetzes sind Webseitenbetreiber als Diensteanbieter einzuordnen. 15 TMG erlaubt den Diensteanbietern die Verwendung von Nutzungsdaten. Dies sind nach 15 Abs. 1 S. 2 TMG personenbezogene Daten, wie zum Beispiel Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. All diese Daten darf der Seitenbetreiber nach 15 Abs. 1 S. 1 TMG nutzen, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Eine Verwendung zu anderen Zwecken ist gesetzlich nicht vorgesehen. Da eine Verwendung zu Abrechnungszwecken bei kostenfreien Internetangeboten ausscheidet, musste der BGH prüfen, ob es erforderlich ist, die IP-Adresse eines Nutzers zu speichern, um den Besuch der Seite zu ermöglichen. Für den eigentlichen Besuch der Seite ist die Speicherung erforderlich, da die Informationen auf der Webseite an das Gerät, dem die IP-Adresse zugeordnet wurde, gesendet

48 48 DFN Mitteilungen Ausgabe 92 November 2017 RECHT Foto carterdayne / istockphoto werden müssen. Es ging also allein darum, ob die Speicherung nach Ende des Nutzungsvorgangs zulässig ist. Eine solche weitergehende Speicherung sieht 15 Abs. 4 S. 1 TMG eigentlich nur für Abrechnungsdaten vor. Wie eingangs bereits erwähnt, wurde die Speicherung der IP- Adresse unter anderem damit begründet, Cyber-Attacken abzuwehren. Solche Attacken können dazu führen, dass eine Webseite überhaupt nicht mehr erreichbar ist. Dann ist eine Inanspruchnahme des Telemediums, wie es das Gesetz formuliert, nicht mehr möglich. Es wäre also denkbar, eine Speicherung der IP-Adresse auch nach Beendigung des Nutzungsvorgangs auf 15 Abs. 1 TMG zu stützen. Allerdings gab der BGH an dieser Stelle zu bedenken, dass die Gesetzesformulierung Ermöglichung der Inanspruchnahme auch so verstanden werden könne, dass es nur um den einzelnen, konkreten Besuch einer Seite geht und nicht um die generelle Funktionsfähigkeit der Seite. Um diese Unsicherheit zu beseitigen, hatte der BGH dem EuGH die entsprechende zweite Auslegungsfrage vorgelegt. Der EuGH hatte im Kern geantwortet, dass 15 Abs. 1 TMG in dieser Form mit den EU-rechtlichen Vorgaben nicht vereinbar ist. In der Richtlinie, auf der 15 TMG beruht, findet sich eine generelle Erlaubnis für die Verwendung personenbezogener Daten unter der Voraussetzung, dass die datenverarbeitende Stelle ein berechtigtes Interesse an der Verarbeitung hat und dieses nicht durch die Interessen und Grundrechte der betroffenen Personen überwogen wird. Dieser Vorgabe wird 15 TMG, der nur die Datenverwendung zur Ermöglichung der Inanspruchnahme und der Abrechnung gestattet, nach Auffassung des BGH nicht gerecht. Daher müsse die Vorschrift europarechtskonform ausgelegt werden. Nach dem Urteil des BGH ist 15 TMG nun so zu verstehen, dass er auch die Verwendung von Daten durch den Seitenbetreiber gestattet, wenn der Nutzungsvorgang beendet ist, soweit diese Verwendung erforderlich ist, um die generelle Funktionsfähigkeit der Seite zu gewährleisten und soweit die Interessen und die Grundrechte des Nutzers dem nicht entgegenstehen. Diese Interessenabwägung nahm der BGH für den vorliegenden Fall nicht vor, da er weitere tatsächliche Feststellungen durch das LG Berlin einforderte. Wichtig für die Abwägung sei vor allem das Gefahrenpotential, was sich unter anderem durch Art, Umfang und Wirkung von erfolgten und drohenden Cyber-Angriffen und der Bedeutung des betroffenen Telemediums ergeben soll. Erst dann könne laut Gericht eine Abwägung erfolgen. Der BGH führte zudem noch aus, dass erstens Gesichtspunkte der Generalprävention zu berücksichtigen seien, also eine Ab-

49 RECHT DFN Mitteilungen Ausgabe schreckungswirkung durch das weitergehende Speichern von IP-Adressen durchaus eine Rolle spielen könne. Zweitens stufte er den Eingriff in das Recht auf informationelle Selbstbestimmung (das Grundrecht auf Datenschutz ) des Nutzers als eher gering ein. Zum einen könne der Seitenbetreiber einen Nutzer allein anhand der IP-Adresse nicht identifizieren, zum anderen seien die Grundrechtspositionen bei den Erlaubnissen der Behörden bezüglich der Beschaffung weiterer Informationen ausreichend berücksichtigt. Der BGH deutet also an, dass die Rechte des Nutzers einer weitergehenden Speicherung zur Abwehr von Cyber-Angriffen wohl nicht entgegenstehen. Hier wird das abschließende Urteil des LG Berlin Klarheit bringen. III. Konsequenzen für die Hochschulpraxis Das Urteil des BGH stellt nun endgültig fest, dass eine IP- Adresse in aller Regel als personenbezogenes Datum anzusehen ist. Zwar lässt das Gericht in seiner Begründung das faktische Problem außer Acht, dass nicht jeder Zugangs- bzw. Internetanbieter mittels einer von einem Seitenbetreiber übermittelten IP-Adresse in jeder Konstellation einen bestimmten Nutzer ermitteln kann. Nichtsdestotrotz muss nach dem BGH-Urteil von einem Personenbezug bei IP-Adressen ausgegangen werden. Im Grundsatz enthält das Urteil damit auch eine Aussage nicht nur für IP-Adressen, sondern für sämtliche Kennungen, hinter denen natürliche Personen stehen. Sobald eine Möglichkeit besteht, selbst oder über Dritte, gegebenenfalls mittels Einschaltung von Behörden, an die zur Identifizierung erforderlichen Informationen zu gelangen, stellen Kennungen nach dem BGH-Urteil personenbezogene Daten dar. Sofern die Hochschulen also IP-Adressen oder sonstige derartige Kennungen verwenden, benötigen sie eine datenschutzrechtliche Erlaubnis. Im Falle von IP-Adressen, die auch nach dem Aufruf einer Seite vom Betreiber gespeichert werden, kann der richtlinienkonform auszulegende 15 TMG eine Erlaubnis darstellen. Es spricht vieles dafür, dass die Speicherung von IP-Adressen zur Abwehr von Cyber-Angriffen ein legitimes Interesse verfolgt und die Rechtsverletzung beim Betroffenen dahinter zurücktreten muss. Letztendliche Klarheit für diesen speziellen Fall wird das abschließende Urteil des LG Berlin bringen. Ein weiterer wichtiger Punkt ist die Übertragung der rechtlichen Erwägungen des EuGH und BGH auf die ab dem geltende Datenschutz-Grundverordnung (DS-GVO). Formell haben sowohl der EuGH als auch der BGH zu Richtlinien bzw. Gesetzen geurteilt, die dann kein gültiges Recht mehr darstellen. Bezüglich der ersten Frage, ob IP-Adressen personenbezogene Daten darstellen, liegt es sehr nahe, dass sie auch unter der DS-GVO zu bejahen sein wird. Art. 4 Nr. 1 DS-GVO definiert personenbezogene Daten fast wortgleich wie die jetzige Richtlinie und die nationalen Datenschutzgesetze. Zudem werden Online-Kennungen sogar ausdrücklich als Beispiel erwähnt. In den Erwägungsgründen 26 und 30 der Verordnung wird außerdem explizit auf den möglichen Personenbezug von IP-Adressen und die Berücksichtigung aller zur Verfügung stehenden rechtlichen Mittel hingewiesen. Insofern besteht kein Unterschied zur jetzigen Begründung des Personenbezugs bei IP-Adressen. Etwas anders ist die Situation in Hinblick auf die Erlaubnis zur Speicherung durch 15 TMG zu bewerten. Die Datenschutzvorschriften des TMG, zu denen auch 15 TMG gehört, werden durch die DS-GVO abgelöst und stellen dann kein anwendbares Recht mehr da (siehe dazu Sydow, Vereinheitlichung des EU- Datenschutzrechts? Die Datenschutzgrundverordnung als anwendbares Recht für die DFN-Mitglieder, DFN Infobrief Recht 05/2016). Folglich bedarf es einer anderen Rechtsgrundlage. Ob sich eine solche entweder aus der DS-GVO oder aus noch zu erlassenden spezifischen datenschutzrechtlichen Vorschriften der Bundesländer ergibt, bleibt weiter abzuwarten (siehe dazu Leinemann, Kommt Zeit, kommt Rat Kurzmitteilung zum Stand der gegenwärtigen Entwicklungen im Hinblick auf die neue EU- Datenschutz-Grundverordnung, DFN Infobrief Recht 02/2017).

50 50 DFN Mitteilungen Ausgabe 92 November 2017 RECHT Vorerst gescheitert Das Oberverwaltungsgericht Münster hält die aktuelle Regelung der Vorratsdatenspeicherung für unionsrechtswidrig Die heftig geführte Debatte rund um die unbeliebte Speicherpflicht nimmt eine erneute Wendung. Wieder einmal wird eine Regelung zur Verpflichtung der Speicherung von Internetnutzerdaten auf Vorrat gerichtlich einkassiert. Die im Dezember 2015 gegen heftigen Widerstand neu gefassten 113a und 113b des Telekommunikationsgesetzes (TKG) sind nach Ansicht des Oberverwaltungsgerichts Münster mit der jüngsten Rechtsprechung des Europäischen Gerichtshofs unvereinbar. Die Regelung greift unverhältnismäßig in das Grundrecht auf Privatleben und das Recht auf den Schutz personenbezogener Daten ein. Der Beschluss des Gerichts entfaltet seine Wirkung jedoch unmittelbar nur für den antragstellenden Internetprovider. Text: Johannes Baur (Forschungsstelle Recht im DFN) Foto Petrovich9 / istockphoto

51 RECHT DFN Mitteilungen Ausgabe I. Geschichte der Vorratsdatenspeicherung Unter einer Vorratsdatenspeicherung (VDS) wird die Speicherung personenbezogener Daten durch oder für öffentliche Stellen ohne aktuellen Bedarf verstanden. Im Falle von Telekommunikationsdiensten betrifft dies die Speicherung der Verkehrsdaten der Nutzer, ohne dass gegen diese ein Anfangsverdacht oder eine konkrete Gefahr für Rechtsgüter besteht. Als Verkehrsdaten zählen solche, die bei der Erbringung des Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden, nicht aber die Inhalte der Telekommunikation selbst. Befürworter der VDS halten sie für unabdingbar, um schwere Straftaten zu verhüten und zu verfolgen. Die Speicherpflicht hat in Deutschland und Europa eine bewegte Geschichte hinter sich, die von heftigen Auseinandersetzungen und spektakulären höchstrichterlichen Entscheidungen geprägt wurde. Bereits im April 1996 wurden erste Forderungen nach einer Speicherpflicht von Seiten des Bundesrates laut, welche jedoch keine Zustimmung im Parlament finden konnten. Erst durch das Erstarken des internationalen Terrorismus und die damit in Zusammenhang stehenden Anschläge, wurde eine Verpflichtung der Telekommunikationsdiensteanbieter zur Speicherung auf Vorrat mehrheitsfähig. Als Reaktion auf die Anschläge in den USA im September 2001 und in Madrid im März 2004, trat im Mai 2006 die Unionsrichtlinie 2006/24/EG (Richtlinie über die Vorratsdatenspeicherung) in Kraft. Nach dieser sollten Informationen über Teilnehmer von Telefonverbindungen, Standorte bei Mobilgesprächen und IP-Adressen mindestens sechs, maximal aber 24 Monate gespeichert werden. Wie alle Unionsrichtlinien, musste diese durch die Mitgliedsstaaten in nationales Recht umgesetzt werden. In Deutschland trat daher im Januar 2008 die erste nationale Normierung einer VDS in Kraft. Hiernach war die Speicherung für maximal sieben Monate vorgesehen. Die kritischen Stimmen, welche bereits die ganze Diskussion rund um die Einführung einer Speicherpflicht begleiteten, wurden in der Folge lauter. Kritisiert wird in erster Linie der unverhältnismäßig geringe Nutzen. Häufig wird dabei auf erfolgreich begangene Terroranschläge in Ländern verwiesen, in denen eine VDS praktiziert wird. Eine Abschreckungswirkung sei kaum erkennbar. Vielmehr wüssten organisierte Täter sich vor einer Verfolgung durch Vorkehrungen zu schützen, die eine Speicherung ins Leere laufen lässt. Es sei darüber hinaus zu befürchten, dass durch Einführung einer VDS der Einsatz von Verschlüsselungssoftware ausgeweitet wird, was die Verfolgung von Einzelfällen sogar erschweren würde. Demgegenüber seien die negativen Folgen für die Zivilgesellschaft immens. Durch eine anlasslose Speicherung entwickele sich das Land hin zu einem Überwachungsstaat. Die Nutzer von Telekommunikationsdiensten könnten davon abgeschreckt werden, private Informationen zu versenden oder sich öffentlich kritisch zu äußern. Die umfassende Speicherung von Informationen ermögliche zudem das Erstellen von Persönlichkeitsprofilen der Nutzer durch die Diensteanbieter. Ein Urteil des Bundesverfassungsgerichts (BVerfG) aus dem Jahr 2010 bestätigte die Kritiker zunächst (siehe hierzu den weiterführenden Hinweis). Demnach war die geltende Regelung der anlasslosen Speicherung wegen Verstoßes gegen das Fernmeldegeheimnis aus Artikel 10 des Grundgesetzes verfassungswidrig. Das BVerfG erteilte der VDS jedoch keine generelle Absage, sondern sah die Möglichkeit einer verfassungskonformen Regelung gegeben. Aufgrund politischer Auseinandersetzungen um die Zukunft der VDS, erfolgte eine solche Regelung in Deutschland jedoch zunächst nicht, woraufhin die EU-Kommission das Land im Mai 2012 wegen mangelnder Umsetzung der Richtlinie über die Vorratsdatenspeicherung verklagte. Ebendiese Richtlinie wurde jedoch im April 2014 durch den Europäischen Gerichtshof (EuGH) wegen Unvereinbarkeit mit der Grundrechtecharta der Europäischen Union für ungültig erklärt (EuGH C-293/12 und EuGH C-594/12, siehe hierzu den weiterführenden Hinweis) und die Klage durch die EU-Kommission zurückgezogen. Eine Pflicht zur Einführung einer VDS durch die Mitgliedsstaaten besteht seither nicht mehr. II. Die aktuelle Gesetzeslage in Deutschland Die schwarz-rote Bundesregierung hatte die Wiedereinführung der VDS in den Koalitionsvertrag 2013 aufgenommen. Trotz des EuGH-Urteils wurde an diesem Vorhaben festgehalten und schließlich im Dezember 2015 das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten verkündet, wobei offenbar bewusst auf den inzwischen negativ behafteten Begriff der Vorratsdatenspeicherung verzichtet wurde. Nach der neuen Gesetzeslage müssen Anbieter öffentlich zugänglicher Telekommunikationsdienste gemäß 113a Absatz 1 und 113b Absatz 1 bis 4 TKG die näher bezeichneten Verkehrsdaten der Nutzer für zehn Wochen und die Standortdaten für vier Wochen speichern. Im Gegensatz zur inzwischen ungültigen Richtlinie über die Vorratsdatenspeicherung, wurde die Speicherdauer also deutlich verkürzt. Ausdrücklich ausgenommen sind nach 113b Absatz 5 TKG der Inhalt der Kommunikation, Daten über aufgerufene Internetseiten und Daten von Diensten der elektronischen Post. Auch Daten von Nutzern, die telefonische Beratung in seelischen und sozialen Notlagen in Anspruch nehmen, sind nach 113b Absatz 6 TKG ausgenommen. Diese umfassende Speicherpflicht wird im Gegenzug durch eine Nutzungsbeschränkung für die gespeicherten Daten in 113c Absatz 1 und 2 TKG flankiert. Demnach dürfen die Daten an Strafverfolgungsbehörden herausgegeben werden, soweit diese eine ausdrückliche gesetzliche Befugnis zur Erhebung der Daten ha-

52 52 DFN Mitteilungen Ausgabe 92 November 2017 RECHT ben. Eine solche findet sich nun in 100g Absatz 2 Strafprozessordnung (StPO), welcher sich auf einen Katalog schwerer Straftaten beschränkt. Auch den Landesbehörden zur Gefahrenabwehr wird die Möglichkeit des Zugriffs gegeben, soweit dies zur Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person oder für den Bestand des Bundes oder Landes erforderlich ist. Schließlich müssen die Daten im Rahmen eines Auskunftsverlangens an die Verfassungsschutzbehörden von Bund und Ländern, den Militärischen Abschirmdienst und den Bundesnachrichtendienst herausgegeben werden. Insbesondere letztere Auskunftspflicht wird scharf kritisiert, weil sie auch dann gilt, wenn im Einzelfall keine schwere Straftat vorliegt. Die neuen Regelungen zur VDS sind seit verpflichtend. Bereits vor diesem Zeitpunkt wurde jedoch von verschiedenen Seiten Verfassungsbeschwerde gegen das Gesetz vor dem BVerfG eingelegt. III. Der Beschluss des Gerichts Am legte ein Münchner Internetprovider vor dem Verwaltungsgericht (VG) Köln Klage und Antrag auf einstweiligen Rechtsschutz gegen die eigene Verpflichtung zur Speicherung nach dem neuen Gesetz ein. Während das BVerfG im Rahmen einer Verfassungsbeschwerde nur einen begrenzten Prüfungsmaßstab hat, haben die Verwaltungsgerichte die gesamte Rechtsordnung und somit auch die aktuelle Rechtsprechung des EuGH zu beachten. Dennoch wurde der Antrag vom VG Köln zunächst abgewiesen. Daraufhin legte der Provider erfolgreich Beschwerde vor dem Oberverwaltungsgericht (OVG) Nordrhein-Westfalen in Münster ein, welches mit Beschluss vom dem Antrag mit der Begründung stattgab, dass es die geltende Regelung zur Speicherpflicht für unvereinbar mit dem Unionsrecht halte. 1. Die bisherige Rechtsprechung des EuGH In seiner Begründung verweist das Gericht größtenteils auf die bisherige Rechtsprechung des EuGH. Dieser hatte sich nicht nur zur Ungültigkeit der Richtlinie zur Vorratsdatenspeicherung (siehe hierzu den weiterführenden Hinweis), sondern im Dezember 2016 im Rahmen zweier verbundener Verfahren aus Schweden und Großbritannien geäußert (EuGH C-203/15 und EuGH C-698/15). Hierin stellten die Luxemburger Richter Anforderungen an eine nationale unionsrechtskonforme Regelung einer VDS auf. Dabei wägten sie die Grundrechte der Nutzer gegen das Bedürfnis der Strafverfolgung und der Verhütung von Straftaten ab. Die unionsrechtliche Grundlage für die Speicherung personenbezogener Daten ist die Richtlinie 2002/58/EG (E-Privacy-Richtlinie). Diese soll die Vertraulichkeit elektronischer Kommunikation gewährleisten und gilt für alle Maßnahmen sämtlicher Personen, die nicht Nutzer sind. Der EuGH hält daher zunächst fest, dass sich nationale Gesetze zur Einführung einer Speicherpflicht an der Richtlinie messen lassen müssen. Die Richtlinie enthält ein grundsätzliches Verbot der Speicherung personenbezogener Daten, zu denen auch die bei der VDS erhobenen Verkehrsdaten der Nutzer gehören. Die Richtlinie erlaubt zwar Ausnahmen von diesem Verbot, nach Ansicht des Gerichts müssen sich diese jedoch an den Grundrechten der EU-Grundrechtecharta messen lassen. So verlange der Schutz des Grundrechts auf Achtung des Privatlebens, dass sich die Ausnahmen auf das absolut Notwendige beschränken. Durch die Speicherung der Daten wird in dieses Grundrecht eingegriffen. Der Eingriff wiege sogar besonders schwer, da aus der Gesamtheit der gespeicherten Daten sehr genaue Rückschlüsse auf das Privatleben der Personen geschlossen werden können. Da die VDS keine vorherige Benachrichtigung der Nutzer vorsieht, werde bei diesen ein Gefühl der ständigen Überwachung erzeugt. Aus diesen Gründen vermöge nur die Bekämpfung schwerer Straftaten einen solchen Eingriff zu rechtfertigen. Als Bedingung für eine unionsrechtskonforme Regelung nennt der EuGH, dass zwischen den gespeicherten Daten und dem Zweck der Verfolgung schwerer Straftaten ein Zusammenhang bestehen muss, der nach objektiven Kriterien erkennbar ist. Dieser Zusammenhang fehle dann, wenn die Speicherpflicht sich weder auf Daten eines bestimmten Zeitraums, noch auf ein geographisches Gebiet, noch auf einen bestimmten Personenkreis, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, beschränkt. Eine solche Speicherpflicht überschreitet die Grenzen des absolut Notwendigen und ist damit nicht mit der E-Privacy-Richtlinie im Lichte der EU-Grundrechtecharta vereinbar. 2. Schlussfolgerungen zur deutschen Rechtslage Den Anforderungen, die der EuGH an eine unionsrechtskonforme Speicherpflicht stellt, genügt die aktuelle Regelung des 113a Absatz 1 in Verbindung mit 113b TKG, nach Ansicht des OVG Münsters, nicht. Auch wenn der Zugriff auf die gespeicherten Daten nur unter bestimmten Voraussetzungen möglich ist, findet zunächst eine allgemeine und unterschiedslose Vorratsspeicherung statt. Eine Beschränkung auf diejenigen Personen, deren Daten geeignet sind einen zumindest mittelbaren Zusammenhang mit schweren Straftaten sichtbar zu machen, zur Bekämpfung schwerer Straftaten beizutragen oder schwerwiegende Gefahren zu verhindern, sei, nach Ansicht der Richter, nicht ersichtlich. Auch die Begrenzung der Speicherpflicht und die normierten Ausnahmen vermögen hieran nichts zu ändern. Die Frage, ob darüber hinaus die Auskunftspflicht für gespeicherte Daten an die Geheimdienste im Besonderen unionsrechtswidrig ist, lässt das OVG Münster offen. Im Ergebnis stellt das Gericht fest, dass die bisherige Regelung der VDS nach der aktuellen Rechtsprechung des EuGH nicht mit dem Unionsrecht vereinbar und der antragsstellende Internetprovider bis zum Abschluss des Hauptverfahrens nicht zur Speicherung der Daten verpflichtet ist.

53 RECHT DFN Mitteilungen Ausgabe IV. Ausblick und Auswirkungen auf die Hochschulpraxis Die Verwaltungsgerichte haben keine sogenannte Normverwerfungskompetenz. Das OVG Münster kann daher die aktuell geltende gesetzliche Speicherpflicht nicht für nichtig erklären. Die vorläufige Aufhebung der Speicherpflicht wirkt nur zugunsten des antragstellenden Providers. Aus diesem Grund bleibt die Verpflichtung zur VDS, trotz des Beschlusses, in Kraft. Allerdings hat die Bundesnetzagentur angekündigt, bis zur Beendigung des Hauptverfahrens die Speicherpflicht gegenüber anderen Telekommunikationsdiensteanbietern nicht durchzusetzen. Diese hätten zwar die Möglichkeit einzeln gegen die Speicherpflicht auf dem Verwaltungsgerichtsweg vorzugehen, es erscheint jedoch sinnvoller eine höchstrichterliche Klärung der Rechtslage abzuwarten. Das BVerfG hätte im Rahmen der laufenden Verfahren die Möglichkeit, die aktuelle Regelung für verfassungswidrig und somit für nichtig zu erklären. Ein Termin für diese Entscheidung ist bislang aber noch nicht absehbar. durch eine Neuregelung auch die Hochschulen in den Kreis der Verpflichteten einbezogen werden könnten. Hier muss die weitere Entwicklung beobachtet und abgewartet werden. WEITERFÜHRENDE HINWEISE Zur Ungültigkeit der Richtlinie 2006/24/EG, siehe Klein, Knock- Out in (vorerst) letzter Runde!, in: DFN Infobrief Recht 05/2014. Zur Entscheidung des Bundesverfassungsgerichts, siehe Banholzer, Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung, in DFN Infobrief Recht März 2010 (nicht mehr online verfügbar; Übersendung auf Nachfrage möglich). In Bezug auf die zukünftige Entwicklung macht die jüngste Rechtsprechung des EuGH deutlich, dass eine allgemeine und unterschiedslose Speicherung von Nutzerdaten nicht möglich sein wird. Dennoch besteht weiterhin das Bedürfnis, den digitalen Raum nicht zu einem Rechtsfreien werden zu lassen. Ein möglicher Weg wäre das bereits diskutierte Quick-Freeze- Verfahren. Bei diesem würden Telekommunikationsdiensteanbieter, im Falle eines konkreten Verdachts, durch schnellen Zugriff der Strafverfolgungsbehörden dazu verpflichtet, bereits für eigene Zwecke kurzzeitig gespeicherte Daten vorzuhalten und nach richterlicher Klärung herauszugeben. Auch auf europäischer Ebene wird über Lösungsansätze diskutiert, klare Ergebnisse sind jedoch noch nicht erkennbar. Neue Erkenntnisse könnte schließlich die geplante E-Privacy-Verordnung liefern. Diese soll die Regelungen der E-Privacy-Richtlinie verdrängen und um Weitere ergänzen. Anders als die Richtlinie, würde die Verordnung unmittelbar in den Mitgliedsstaaten gelten und bedürfte keiner weiteren Umsetzung. Allerdings ist bislang fraglich, ob und wann diese in Kraft tritt und ob sie Regelungen zur VDS enthalten wird. Für die Hochschulen bleibt festzuhalten, dass bis zur Klärung der offenen Fragen, mangels Durchsetzung der Speicherpflicht durch die Bundesnetzagentur, dieser de facto nicht nachgekommen werden muss. Die Frage, ob Hochschulen in ihrer Funktion als Internetanbieter für Mitarbeiter und Studierende als Erbringer öffentlich zugänglicher Telekommunikationsdienste anzusehen sind und damit die derzeitige Regelung zur VDS für sie überhaupt gilt, kann daher dahinstehen. Es ist jedoch für die Zukunft nicht gänzlich auszuschließen, dass

54 54 DFN Mitteilungen Ausgabe 92 November 2017 DFN-VEREIN DFN Live : Der Transfer von Know- How im Deutschen Forschungsnetz Als Forum für das Gespräch unserer Mitglieder und Nutzer des Deutschen Forschungsnetzes bündelt der DFN-Verein das gemeinsame Interesse am Wissenstransfer durch eine Vielzahl an Veranstaltungen, Tutorien, Tagungen und Workshops. Mitgliederversammlung Harnack-Haus. Die Tagungsstätte der Max-Planck-Gesellschaft David Ausserhofer Eine unserer Stärken ist das breite Mandat unserer Mitglieder. Mit über 300 institutionellen Mitgliedern engagieren sich die überwiegende Mehrzahl der deutschen Hochschulen und Forschungseinrichtungen sowie forschungsnahe Unternehmen der gewerblichen Wirtschaft am DFN-Verein. Die Vertreter der Mitglieder treffen sich zweimal jährlich, um die Zukunft des DFN-Vereins zu gestalten. Die 74. Mitgliederversammlung fand am 19./ 20. Juni 2017 erstmalig im Harnack-Haus auf dem Campus der Freien Universität Berlin statt. Nach der Eröffnung der Vorabendveranstaltung zeigte uns Frau Dr. Vanessa Keuck vom Deutschen Zentrum für Luft- und Raumfahrt e.v. in ihrem Vortrag über das Projekt Copernicus den Weg der Daten von den Satelliten bis zurück zur Erde. Danach konnten die Teilnehmer auf den Spuren von Albert Einstein wandeln und die spannende Geschichte des Wissenschaftsstandorts Dahlem hautnah erleben. Ein gemeinsames Abendessen im wundervollen Garten des Harnack-Hauses rundete den Abend ab. TERMIN Die nächste Mitgliederversammlung findet am 5./6. Dezember 2017 in Bonn statt.

55 DFN-VEREIN DFN Mitteilungen Ausgabe Betriebstagungen Zur Unterstützung der Betriebsverantwortlichen in unseren Mitgliedseinrichtungen führen wir zweimal jährlich für je zwei Tage unsere sogenannte Betriebstagung durch. Hier treffen sich mit Betriebsfragen beauftragte Mitarbeiter, Vertreter der Mitgliedsorganisationen und andere an den Erfahrungen des DFN- Vereins Interessierte zum Erfahrungsaustausch und zur Weiterbildung. Dabei sollen Fragen, die sich aus dem Einsatz von DFN-Diensten ergeben, geklärt, die Netzverantwortlichen über neue Entwicklungen informiert, und Einsteiger geschult werden. Auch in diesem Jahr gab es viel Neues zu erfahren. Neue Entwicklungen und Möglichkeiten wurden in den einzelnen Foren vorgestellt und diskutiert. Aber auch ein Blick in die Vergangenheit brachte die diesjährige Herbsttagung. Im Plenum ließ Bernd Oberknapp von der Universität Freiburg das 10-jährige Bestehen der DFN-AAI noch einmal Revue passieren. Und auch beim abendlichen Austausch in entspannter Runde schweiften die Blicke sowohl in die Zukunft als auch in die Vergangenheit. Seminaris CampusHotel Berlin TERMIN Die nächste DFN-Betriebstagung findet am 14./15. März 2018 im Seminaris CampusHotel Berlin statt. DFN-Konferenz Datenschutz Das Thema Datenschutz hat in den vergangenen Jahren zunehmend an Gewicht gewonnen. Im Auftrag des DFN-Vereins veranstaltet das DFN-CERT deshalb seit 2012 jährlich eine DFN-Konferenz Datenschutz. Mit der Veranstaltung kommt der DFN-Verein dem Bedarf von Forschungs- und Wissenschaftseinrichtungen an rechtlicher Unterstützung bei der praktischen Umsetzung von Datenschutz nach. Die DFN-Konferenz Datenschutz richtet sich ausdrücklich, aber nicht ausschließlich an Hochschulen sowie Forschungs- und Wissenschaftseinrichtungen. Grand Elysée Hamburg TERMIN Die 6. DFN Konferenz Datenschutz findet am 28./29. November 2017 wieder im Grand Elysée Hotel in Hamburg statt. Am 29. und 30. November 2016 fand die 5. DFN-Konferenz Datenschutz im Hotel Grand Elyssée in Hamburg statt. Die Konferenz mit 170 Teilnehmern stand dabei ganz im Zeichen der kommenden Veränderungen durch die EU-Datenschutzgrundverordnung, die ab dem in allen Mitgliedsstaaten der Europäischen Union unmittelbar gelten wird.

56 56 DFN Mitteilungen Ausgabe 92 November 2017 DFN-VEREIN DFN-Forum Kommunikationstechnologien Das DFN-Forum Kommunikationstechnologien Verteilte Systeme im Wissenschaftsbereich ist eine Plattform zur Darstellung und Diskussion neuer Forschungs- und Entwicklungsergebnisse aus dem Bereich Telekommunikation und Informationstechnologien. Das Forum findet einmal jährlich statt und bietet Nachwuchswissenschaftlern die Möglichkeit, ihre Forschungsergebnisse zu präsentieren. Alle Einreichungen werden von einem unabhängigen Programmkomitee geprüft und ausgewertet. Im Rahmen der Veranstaltung wird der beste Beitrag mit dem X-WiNner-Award ausgezeichnet. In diesem Jahr veranstaltete der DFN-Verein das 10. Forum gemeinsam mit der Freien Universität Berlin am 30./31. Mai Mitveranstalter waren die Zentren für Kommunikation und Informationsverarbeitung in Forschung und Lehre e. V. (ZKI) und die Gesellschaft für Informatik e.v. Tagungsort war das Seminaris CampusHotel Berlin. Neben 13 wissenschaftlichen Beiträgen gab es auch drei geladene Beiträge aus Wissenschaft und Industrie. Im Anschluss an den ersten Veranstaltungstag fand eine Stadtrundfahrt vom Süden bis in den Osten Berlins statt. Im Old Smithy's Dizzle in Berlin- Friedrichshain angekommen, hatten die Teilnehmer bei einem gemeinsamen Abendessen die Möglichkeit, einen der vielen besonderen Orte Berlins kennenzulernen. In der alten Schmiede in einem zweiten Hinterhof gelegen wurde in geselliger Atmosphäre mit Pianospieler und vielen interessanten Gesprächen ein besonderes Stück Berliner Kultur lebendig. Old Smithy's Dizzle UG Frederik Schulz TERMIN Das nächste DFN-Forum Kommunikationstechnologien findet am 27./28. Juni 2018 am Wissenschaftszentrum Schloss Reisensburg in Ulm statt. Aktuelle Informationen rund um das Deutsche Forschungsnetz und seine Veranstaltungen erhalten Sie auch regelmäßig in unserem Newsletter. Den DFN-Newsletter können Sie unter abonnieren.

57 DFN-VEREIN DFN Mitteilungen Ausgabe Überblick DFN-Verein (Stand: 11/2017) Laut Satzung fördert der DFN-Verein die Schaffung der Vo r- aussetzungen für die Errichtung, den Betrieb und die Nutzung eines rechnergestützten Informations- und Kommunikationssystems für die öffentlich geförderte und gemeinnützige Forschung in der Bundesrepublik Deutschland. Der Satzungszweck wird verwirklicht insbesondere durch Vergabe von Forschungsaufträgen und Organisation von Dienstleistungen zur Nutzung des Deutschen Forschungsnetzes. Die Geschäftsstellen Geschäftsstelle Berlin (Sitz des Vereins) DFN-Verein e. V. Alexanderplatz 1 D Berlin Telefon: +49 (0) Als Mitglieder werden juristische Personen aufgenommen, von denen ein wesentlicher Beitrag zum Vereinszweck zu erwarten ist oder die dem Bereich der institutionell oder sonst aus öffentlichen Mitteln geförderten Forschung zuzurechnen sind. Sitz des Vereins ist Berlin. Geschäftsstelle Stuttgart DFN-Verein e. V. Lindenspürstr.32 D Stuttgart Telefon: +49 (0)