DoS-Schutz 2.0 Der Regelbetrieb beginnt

Transkript

1 Deutsches Forschungsnetz DFN Mitteilungen Ausgabe 90 November Mitteilungen DoS-Schutz 2.0 Der Regelbetrieb beginnt VoIP-Centrex in der Praxis Ein Erfahrungsbericht Glasfasern Die Lebensadern des X-WiN Die Entwicklung der optischen Plattform

2 2 DFN Mitteilungen Ausgabe 90 November 2016 Impressum Herausgeber: Verein zur Förderung eines Deutschen Forschungsnetzes e. V. DFN-Verein Alexanderplatz 1, Berlin Tel.: Fax: Mail: Web: ISSN Redaktion: Nina Bark Gestaltung: Labor3 Druck: Druckerei Rüss, Potsdam DFN-Verein 11/2016 Fotonachweis: Titel balinda / 123RF Lizenzfreie Bilder Seite 6/7 katvic / Adobe Stock Seite 38/39 f/2.8 by ARC / Adobe Stock

3 DFN Mitteilungen Ausgabe 90 3 Dr. Rainer Bockholt Universität Bonn stellv. Vorsitzender im Vorstand des DFN-Vereins Das Thema IT-Sicherheit ist in aller Munde, sei es in der Öffentlichkeit durch das IT-Sicherheitsgesetz für kritische Infrastrukturen, sei es im privaten Bereich durch den zunehmenden Identitätsdiebstahl und natürlich auch im Wissenschaftsbereich. Seriösen Berichterstattern zufolge werden Angriffe auf IT-Systeme sowohl in ihrer Häufigkeit als auch ihrer Intensität weiter ungebremst zunehmen. Abhängig von der Art der Attacke und der Höhe der Bandbreiten wie wir sie im X-WiN zur Verfügung haben, ist ein Selbstschutz durch die Einrichtungen nicht mehr möglich. Im September 2015 wurde die Universität Bonn Ziel einer Distributed-Denial-of-Service-Attacke, die unsere Netzinfrastruktur für etliche Stunden vom Netz nahm. Gegen Angriffsraten von über 5GBit/s und bis zu 1 Mio. Pakete/s von über 2000 Quell-Adressen war unsere Firewall machtlos. Wenn auch der eigentliche Angriff nur etwa eine dreiviertel Stunde dauerte, so waren die Kollateralschäden doch so intensiv, dass unsere Netzkonnektivität für viele Stunden erheblich beeinträchtigt wurde. Wir kennen den Grund für diesen Angriff bis heute nicht, anders als bei anderen Einrichtungen kam es bei uns nie zu einer erpresserischen Zahlungsaufforderung. Vielleicht war es einfach nur eine Demonstration der Möglichkeiten. Vor dem Hintergrund des sicher zu erwartenden deutlichen Anstiegs von DoS-Attacken, Stichworte sind hier Botnetze und das immer mehr aufkommende Internet of Things, und natürlich der zunehmenden Kritikalität der IT-Infrastruktur von Bildungs- und Forschungseinrichtungen, erweitert der DFN-Verein gerade sein Diensteangebot um einen Basisschutz für die Abwehr von DoS-Attacken. Die technische Umsetzung ist abgeschlossen, die unbedingt erforderlichen organisatorischen Rahmenbedingungen sind geschaffen, so dass der Wirkbetrieb beginnen kann. Damit beginnt ein neues Kapitel im Hase-Igel-Rennen der IT-Sicherheit. Ich wünsche uns allen, dass wir die neuen Möglichkeiten hoffentlich nie werden nutzen müssen, bin aber gleichzeitig sehr beruhigt, dass wir im Falle eines Falles jetzt gut vorbereitet sind und angemessen reagieren können. Herzliche Grüße, Ihr und Euer Rainer Bockholt

4 4 DFN Mitteilungen Ausgabe 90 November Unsere Autoren dieser Ausgabe im Überblick 1 Petra Eitner, DFN-Verein (eitner@dfn.de); 2 Michael Röder, DFN-Verein (roeder@dfn.de); 3 Michael Grabatin, Universität der Bundeswehr München (michael.grabatin@unibw.de); 4 Prof. Dr. Wolfgang Hommel, Universität der Bundeswehr München (wolfgang.hommel@unibw.de); 5 Stefan Metzger, Leibniz-Rechenzentrum-LRZ (stefan.metzger@lrz.de); 6 Daniela Pöhn, Leibniz-Rechenzentrum-LRZ (daniela.pöhn@lrz.de); 7 Dr. Jakob Tendel, DFN-Verein (tendel@dfn.de); 8 Dr.-Ing. Susanne Naegele-Jackson, Regionales Rechenzentrum Erlangen RRZE (susanne.naegele-jackson@fau.de); 9 Dr. Peter Kaufmann, DFN-Verein (kaufmann@dfn.de); 10 Laura Durnford, GÉANT (laura.durnford@geant.org); 11 Dr. Leonie Schäfer, DFN-Verein (schaefer@dfn.de); 12 Claus-Peter Donner, Duale Hochschule Baden-Württemberg Lörrach (donner@dhbw-loerrach.de); 13 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de); 14 Michael Krooß, DFN-CERT Services GmbH (krooss@dfn-cert.de); 15 Ralf Paffrath, DFN-Verein (paffrath@dfn.de); 16 Florian Klein, Forschungsstelle Recht im DFN (recht@dfn.de); 17 Lennart Sydow, Forschungsstelle Recht im DFN (recht@dfn.de)

5 DFN Mitteilungen Ausgabe 90 5 Inhalt Wissenschaftsnetz Glasfasern die Lebensadern des X-WiN von Petra Eitner... 8 Die DFN-Betriebstagung: Eine Veranstaltung für die Praxis von Michael Röder Föderationsübergreifend vergleichbare Datenqualität von Michael Grabatin, Wolfgang Hommel, Stefan Metzger, Daniela Pöhn Kurzmeldungen International IntheFieldStories: Forschungsnetze erzählen ihre Geschichten von Jakob Tendel Die DFN-Domain für den GÉANT Testbeds Service von Peter Kaufmann, Susanne Naegele-Jackson European Cloud Initiative: IaaS-Services für Wissenschaft und Forschung von Michael Röder, Jakob Tendel Congratulations and thanks to the NREN community! von Laura Durnford Kurzmeldungen Campus VoIP-Centrex in der Praxis Ein Erfahrungsbericht von Claus-Peter Donner Sicherheit DoS-Schutz 2.0 Der Regelbetrieb beginnt von Ralf Gröper NeMo: Die Technik hinter der DoS-Abwehrplattform im X-WiN von Michael Krooß eduroam Konfigurieren aber richtig von Ralf Paffrath Sicherheit aktuell Recht Oft büßt das Gute ein, wer Besseres sucht von Florian Klein Vereinheitlichung des EU-Datenschutzrechts? von Lennart Sydow DFN-Verein Übersicht über die Mitgliedseinrichtungen und Organe des DFN-Vereins... 64

6 6 DFN Mitteilungen Ausgabe 90 November 2016 WISSENSCHAFTSNETZ

7 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe 90 7 Wissenschaftsnetz Glasfasern die Lebensadern des X-WiN von Petra Eitner Die DFN-Betriebstagung: Eine Veranstaltung für die Praxis von Michael Röder Föderationsübergreifend vergleichbare Datenqualität von Michael Grabatin, Wolfgang Hommel, Stefan Metzger, Daniela Pöhn Kurzmeldungen

8 8 DFN Mitteilungen Ausgabe 90 November 2016 WISSENSCHAFTSNETZ Glasfasern die Lebensadern des X-WiN Das Glasfasernetz als Grundlage der optischen Plattform hat seit seiner ersten Ausbaustufe von vor 10 Jahren zahlreiche Veränderungen erfahren. Diese Veränderungen sind das Ergebnis der Bestrebungen des DFN-Vereins, den Teilnehmern am Wissenschaftsnetz einen kostengünstigen Dienst bereitzustellen ohne dabei jedoch darauf zu verzichten, das Netz dem rasanten Fortschreiten der Netztechnologien anzupassen und technische Innovationen zu nutzen. Text: Petra Eitner (DFN-Verein) Mit dem Start des X-WiN im Jahr 2006 fand beim Übergang vom Gigabit-Wissenschaftsnetz G-WiN zum X-WiN ein kompletter Wechsel der Netztopologie statt. Wurde das G-WiN über, hauptsächlich von einem Carrier gelieferte, SDH transparente Wellenlängen mit einer Bandbreite von 2,5 bis 10 Gbit/s betrieben, so besteht das X-WiN heute aus zwei tragenden Komponenten, der optischen Plattform und der IP-Plattform. Diese Netztopologie ermöglicht es, hochbandbreitige DFN-Dienste mit bis zu 100 Gbit/s zu schalten und macht das X-WiN zum Hochleistungsnetz für die Wissenschaft. Das Glasfasernetz als Grundlage der optischen Plattform hat seit seiner ersten Ausbaustufe vor 10 Jahren zahlreiche Veränderungen erfahren. Foto tiero / istockphoto

9 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe 90 9 Ein Rückblick 2006: Start des X-WiN mit einem ca km langen Backbone-Glasfasernetz, das 40 Kernnetzknoten miteinander verbindet. Als Ergebnis einer im Jahr 2004 gestarteten europaweiten Ausschreibung des Loses Glasfasern konnte eine deutschlandweite Anordnung der Glasfasern in einer Ringstruktur realisiert werden. In Regionen, in denen keine Glasfasern zur Verfügung standen, wurden Carrier-Wellenlängen angemietet. Diese erste Topologie des X-WiN-Glasfasernetzes ermöglichte die Konfiguration und Schaltung von ca. 80 Verbindungen über diese Glasfasern. Mit dem Startschuss für das X-WiN wurde die Leistung des bis dahin betriebenen G-WiN auf das X-WiN abgebildet und der Wechsel zwischen den Netzgenerationen für die Anwender unbemerkt vollzogen. Eine wesentliche Aufgabe war erfolgreich gemeistert. Beim nächsten Schritt, der Optimierung der Verkehrsflüsse, wurde schnell klar, dass eine Recherche nach neuen Glasfasern zur doppelten Anbindung bestehender oder gar neuer Kern - netz standorte weiteres Optimierungspotenzial bietet. ACC FZJ DUI SAA MUE BIR EWE GSI BIE DES AWI KAI HEI KIT STU KEH KIE DKR BRE MAR GIE FRA KAS HAN HAM BRA GOE WUE ERL AUG ILM ROS GRE POT MAG ZIB LEI JEN BAY ESF GAR X-WiN Kernnetz-Faser km Trassenlänge Wellenlänge CHE REG FFO TUB ZEU HUB ADH DRE BAS 2008: Inbetriebnahme weiterer ca km Glasfaserverbindungen und weiterer Kernnetzknoten. Die neuen Glasfaserverbindungen wurden auf der Nord-Süd- Strecke von Hannover (HAN) über Göttingen (GOE), Kassel (KAS), Marburg (MAR) und Gießen (GIE) bis nach Frankfurt/ Main (FRA) errichtet. Durch eine weitere Ost-West-Verbindung von Jena (JEN) über Kassel (KAS) und Paderborn (PAD) nach Bielefeld (BIE) entstand das sogenannte Faserkreuz. Durch Streckenerweiterungen in Nordrhein-Westfalen avancierten die Standorte Bochum (BOC), Dortmund (DOR), Wuppertal (WUP) und Bonn (BON) zu Kernnetzknoten. Durch diese Maßnahmen wurde es möglich, kürzere Faserwege für die Wellenlängen zu wählen und so die Delayzeiten zahlreicher Verbindungen zu reduzieren. Insbesondere das Core- Netz, also der innere Ring des X-WiN mit den am stärksten benutzten Strecken, profitierte von der stärkeren Vermaschung und den sich daraus ergebenden kürzeren Verbindungszeiten. FZJ ACC X-WiN Kernnetz-Faser km Trassenlänge Wellenlänge SAA MUE EWE BIE DUI BOC DOR WUP BIR BON GSI DES AWI KAI HEI KIT STU KEH KIE DKR BRE PAD MAR GIE FRA KAS HAN HAM BRA GOE WUE ERL AUG ILM ROS GRE POT MAG ZIB LEI JEN BAY ESF CHE REG FHM GAR FFO TUB ZEU HUB ADH DRE BAS

10 10 DFN Mitteilungen Ausgabe 90 November 2016 WISSENSCHAFTSNETZ X-WiN Kernnetz-Faser km Trassenlänge 2012: FZJ/ FJL ACC/AAH Wellenlänge SAA MUE EWE GSI BIE DUI BOC DOR WUP BON BIR DES AWI KAI HEI KIT STU KEH KIE DKR BRE PAD MAR GIE FRA KAS HAN HAM BRA GOE WUE ERL AUG ILM ROS GRE POT MAG ZIB LEI JEN BAY CHE REG FHM GAR FFO TUB ZEU HUB ADH DRE Das Glasfasernetz besteht aus km Glasfaserverbindungen und 60 Kernnetzknoten. Weitere Verbindungen, die noch mit angemieteten Wellenlängen betrieben wurden, konnten in den Jahren bis 2012 durch Glasfasern ersetzt werden. Wichtige Kernnetzstandorte wurden dadurch redundant und hoch performant angebunden. Diese Maßnahmen trugen u. a. dazu bei, die Konnektivität zwischen einzelnen Regionen Deutschlands zu verbessern und stark genutzte Faserverbindungen und Kernnetzknoten zu entlasten. So wurde die Verbindung zwischen dem Norden und dem Osten Deutschlands, insbesondere mit Berlin verbessert, indem die Kernnetzknoten Rostock (ROS), Greifswald (GRE), Frankfurt/Oder (FFO) und Zeuthen (ZEU) doppelt mit Glasfasern angebunden wurden. Mit der fasergestützten Anbindung der Universität Bonn (BON) und der Universität des Saarlandes (SAA) gelang es, einen der am stärksten genutzten Kernnetzknoten in Frankfurt/Main zu entlasten. BAS EWE DUI BOC DUS DOR FZJ/ FJL WUP ACC/AAH BIR BON SAA MUE GSI BIE DES AWI KAI HEI KIT STU KEH BAS KIE DKR BRE PAD MAR GIE FRB FRA KAS HAN WUE HAM BRA GOE ERL AUG ILM X-WiN Kernnetz-Faser km Trassenlänge Wellenlänge HWS ROS GRE FFO PEP TUB ZEU POT HUB MAG MDS ZIB ADH JEN BAY LAP LEI FHM GAR CHE FRE REG DRE/DRN 2016: Heute bilden km Glasfasern und 65 Kernnetzknoten die Basis der optischen Plattform. Neue in das Glasfasernetz eingebundene Kernnetzstandorte in Freiberg (FRE), Frankfurt-Riedberg (FRB), das Universitätsklinikum Magdeburg (MDS) sowie die georedundanten Standorte in Dresden (DRN) und Leipzig (LAP) ermöglichen es, Kosteneinsparungen bei den Teilnehmeranbindungen in den entsprechenden Regionen zu erzielen. Zum Zweck der Kosteneinsparung für die Teilnehmerleitungen als auch zur Erweiterung der Außenanbindungen und Übergänge zu den Wissenschaftsnetzen in und außerhalb Europas wurden die Standorte Hamburg Wendenstraße (HWS) und Interxion in Düsseldorf (DUS) in das Glasfasernetz eingebunden. Der in 2013 in Betrieb genommene Standort Hamburg HWS dient neben Frankfurt/Main (FRA) als zweiter Übergang zum europäischen Forschungsbackbone GÉANT. Die dort eingerichteten Peering-Points gewährleisten komfortable Anbindungen zu anderen Netzwerken wie zum Beispiel Google und anderen ISPs. Zusätzlich zu den Übergängen zum BCIX in Berlin (TUB) und dem DE-CIX in Frankfurt/Main (FRA) nutzt der DFN-Verein seit 2014 einen weiteren Übergang zum ECIX. Dieser befindet sich am Kernnetzknoten DUS in Düsseldorf.

11 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe Herausforderungen bei der Umsetzung neuer Verbindungen Der DFN-Verein verfügt über jahrelange Erfahrungen bei der Bewältigung der verschiedenen Herausforderungen, die der Betrieb eines so komplexen Netzes wie dem X-WiN mit sich bringt. Neben der soliden Planung von Änderungen an der Netztopologie ist in der Phase der Ausführung, die Einhaltung von Terminen und Vereinbarungen für alle Beteiligten enorm wichtig. Doch nicht immer haben die Lieferanten es selbst in der Hand, Terminzusagen einzuhalten. Oftmals sind bei der Schaltung neuer Glasfaserverbindungen zur Anbindung der Kernnetzknoten umfangreiche Bauarbeiten notwendig, um die hohen Ansprüche des DFN-Vereins zu erfüllen. Diese Bauarbeiten dienen dazu, die bei der Anbindung geforderte Trassenredundanz zu erzielen, d. h. jeder Kernnetzstandort muss über mindestens zwei unabhängige Wege erreichbar sein. Gibt es keine Möglichkeit, Glasfasern in unterschiedlichen Trassen verlaufen zu lassen, müssen diese in getrennten Schutzrohren und unterschiedlichen Höhenlagen verlegt werden. Die Dauer von Baugenehmigungsverfahren ist nicht immer vorhersehbar, ebenso wenig wie Wetterbedingungen, die Bauarbeiten behindern oder für eine gewisse Zeit ganz unmöglich machen. Die Fotos auf dieser Seite zeigen durch starke Regenfälle überflutete Baufelder, die u. a. das Verlegen von Kabeln zum geplanten Zeitpunkt unmöglich machten. Solche Situationen sind zwar selten, erfordern jedoch eine hohe Flexibilität von allen Beteiligten. Hier sollten zur Zeit der Aufnahmen die Bauarbeiten für eine Neubautrasse beginnen. Die Übergabe der Glasfaserverbindung musste um 4 Wochen verschoben werden, Technikereinsätze, die zur Inbetriebnahme der Glasfasern bereits bis ins Detail geplant waren, mussten neu koordiniert und die Anwender auf den verzögerten Anschlusstermin eingestimmt werden. Dieses Beispiel zeigt, wie aufwendig die Schaltung neuer Glasfaserverbindungen im Einzelfall sein kann. Nicht nur das Wetter, auch Querungen von Flüssen, Autobahnen oder Bahntrassen können der Optimierung der Netztopologie im Wege stehen. M Foto DFN-Verein

12 12 DFN Mitteilungen Ausgabe 90 November 2016 WISSENSCHAFTSNETZ Die DFN-Betriebstagung: Eine Veranstaltung für die Praxis Zweimal jährlich findet die DFN-Betriebstagung in Berlin statt. Sie bietet ihren Besuchern seit 1987 die Möglichkeit zu einem offenen Informationsaustausch. An zwei aufeinanderfolgenden Tagen treffen sich die Administratoren für Netz und Datendienste der am deutschen Forschungsnetz teilnehmenden Einrichtungen um Erfahrungen auszutauschen, Entwicklungen zu diskutieren und sich weiterzubilden. Text: Michael Röder (DFN-Verein) Der DFN-Verein organisiert die Betriebstagung, um die Teilnehmer am Wissenschaftsnetz aktuell und praxisnah bei der Nutzung seines Netzes und seiner Dienste zu beraten und zu unterstützen. Dabei sind es insbesondere auch die vielen kleineren Einrichtungen im Betriebstagung damals und heute. Foto DFN-Verein DFN, die die Betriebstagung nutzen, um sich beispielsweise über Best-Practice-Methoden auszutauschen. Die Veranstaltung ist aufgeteilt in eine Plenarveranstaltung und mehrere, teilweise gleichzeitig stattfindende, Fachforen. Traditionell eröffnet das Plenum die DFN-Betriebstagung. Hier werden aktuelle Themen von allgemeinem Interesse vorgestellt und in Kurzvorträgen die aktuellen Entwicklungen der DFN-Dienste durch den entsprechenden Dienstverantwortlichen präsentiert. Im Anschluss an das Plenum finden Foren in diversen fachlichen Disziplinen statt. Die Foren gehen jeweils 120 Minuten und beinhalten vertiefende Kurzvorträge und Platz für Diskussionen. Sie werden durch einen Forensprecher moderiert, der auch für die Auswahl der präsentierten Inhalte sorgt. Die Rolle des Forensprechers wird meist durch den Mitarbeiter eines Rechenzentrums besetzt, der selbst, bzw. dessen Einrichtung, besonderes Know-How auf dem jeweiligen Themengebiet entwickelt hat. Es finden immer zwei Fachforen zeitgleich statt. Derzeit werden Foren zu den folgenden Themen angeboten: IP über WiN, DFN-AAI, (IT-) Sicherheit, Mobile IT, Voice-over-IP, Mail-Dienste, Multimedia, Rechtsfragen und Cloud-Dienste. Neben den Veranstaltungen können alle technischen und nichttechnischen Themen während des gemeinsamen Mittag- bzw. Abendessens vertieft werden. Fragen und Unterhaltungen entwickeln sich in der Regel bei der lockeren Stimmung am Abend ganz von allein. Die Idee Die DFN-Betriebstagung ist in der Mitte der 1980er Jahre entstanden. Die Kollegen des britischen Forschungsnetzes (JANET) organisierten damals bereits den halbjährlich stattfindenden Networkshop

13 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe mit dem Ziel, die Community untereinander bekannt zu machen und dabei zur Diskussion gemeinsamer Themen anzuregen. Nachdem Mitarbeiter des DFN-Vereins ebenfalls eine Einladung zum Networkshop erhalten haben, wurde schnell deutlich: Auch unter den Anwendern im DFN gibt es einen entsprechenden Bedarf. Die Betriebstagung des DFN-Vereins fand in den ersten Jahren aufgrund der Vielzahl zu erörternder Grundsatzfragen dreimal jährlich statt. Zwar schreitet der technische Fortschritt heute nicht weniger schnell voran, dennoch sind die Mittel und Wege Informationen auszutauschen zwischenzeitlich vielfältiger und zuverlässiger geworden, so dass die Veranstaltung heute nur noch halbjährlich stattfindet. Damals wie heute standen aktuelle Problemstellungen aus dem betrieblichen Alltag auf der Tagesordnung. Es wurden Kontakte zu anderen Einrichtungen hergestellt und gepflegt, Erfahrungen direkt unter un mittelbar beteiligten Mitarbeitern der unterschiedlichen Einrichtungen ausgetauscht und eigene Errungenschaften mit der Community geteilt. Meilensteine wie beispielsweise die Implementierung des OSI-Modells, als TCP/IP noch weniger verbreitet war, oder die Entwicklung und Verbreitung des WWW ursprünglich entstanden als Bestandteil eines Dokumentationssystems im Auftrag des CERN wurden auf der Betriebstagung vorgestellt und oft Nächste Veranstaltung: März 2017 Mailingliste, über die u. a. Einladungen versendet werden: weiterführende Informationen: Informationen zum Tagungshotel: Seminaris CampusHotel Berlin, Takustraße 39 in Berlin in Anwesenheit der Entwickler selbst ausführlich diskutiert. Ein ständiger Begleiter auf der Tagesordnung ist der Punkt Leistungssteigerung des Wissenschaftsnetzes. Hier werden Leistungseckdaten der Übertragungsstrecken oder absehbare Engpässe frühzeitig aus betrieblicher Sicht zusammengeführt, analysiert und Performanceverbesserungen speziell für die Bedarfe von Wissenschaft und Forschung besprochen. Die Betriebstagung heute Durch ständig steigende Besucherzahlen in den vergangenen Jahren, hat die Betriebstagung kürzlich ihren Standort innerhalb Berlins gewechselt. Während das Johannesstift in Spandau über viele Jahre das Zuhause der Tagung war, sorgen seit 2014 die Mitarbeiter des Seminaris CampusHotel im südlichen Berliner Stadtteil Dahlem für das leibliche Wohl und die Unterkunft der mehr als 250 Veranstaltungsteilnehmer. Für die Teilnahme an der DFN-Betriebstagung wird kein Entgelt erhoben. Mitarbeiter von Einrichtungen aus Wissenschaft und Forschung können auf ein begrenztes Kontingent an Übernachtungen vor Ort zugreifen, für welches besondere Konditionen mit dem CampusHotel verhandelt werden. Sollte das Kontingent bereits erschöpft sein, stehen in der näheren Umgebung weitere Übernachtungsmöglichkeiten zur Verfügung. Generationswechsel Im Laufe der Jahre sind diverse technische Innovationen gekommen, diskutiert und adaptiert, weiterentwickelt oder verworfen worden. Beispielsweise haben sich insbesondere die Vortragswerkzeuge sehr stark verändert. Bis heute unverändert geblieben ist die Idee hinter der Betriebstagung, die Gemeinschaft der Rechenzentrumsmitarbeiter und Netzwerkverantwortlichen aus Wissenschaft und Forschung mit aktuellen Informationen zu versorgen und Erfolge und Ulrich Kähler war 19 Jahre im Organisationsteam Erfahrungen innerhalb der Commu nity zu teilen. In den letzten Jahren vollzieht sich sowohl im Organisationsteam als auch bei den Teilnehmern ein Generationswechsel. Stellvertretend für diesen Vorgang wurde Ulrich Kähler als das Gesicht der DFN-Betriebstagung während der zurückliegenden Herbst-Tagung in den Ruhestand verabschiedet. Ulrich Kähler hat die DFN-Betriebstagung von der 1. bis zur 65. Tagung begleitet und übergibt diese Aufgabe nun an seine Kollegen. M

14 14 DFN Mitteilungen Ausgabe 90 November 2016 WISSENSCHAFTSNETZ Föderationsübergreifend vergleichbare Datenqualität Föderationen wie die DFN-AAI ermöglichen die organisationsübergreifende Nutzung von Diensten. Durch Verlässlichkeitsklassen ist geregelt, welche Mindestanforderungen an die Datenqualität die Heimateinrichtungen der Benutzer erfüllen. Bei föderationsübergreifender Dienstnutzung, z. B. über den edugain-verbund von 40 Föderationen, erweisen sich unterschiedliche Datenqualitätskriterien und Bewertungsverfahren aber schnell als K.-o.-Kriterien. Ein neuer Ansatz wirkt auf eine automatisierte Vergleichbarkeit hin und will die Nutzung von Inter-Föderationen vereinfachen. Text: Michael Grabatin, Wolfgang Hommel (Universität der Bundeswehr München) Stefan Metzger, Daniela Pöhn (Leibniz-Rechenzentrum) Foto Gina Sanders/ Adobe Stock

15 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe Garantierte Qualitäten Die Datenqualität gehört neben technischer Flexibilität zu den wichtigsten Eigenschaften von Identity & Access Management (I&AM) Infrastrukturen. Wie auch alle anderen Organisationen haben Hochschulen und Forschungseinrichtungen ein Eigeninteresse daran, die Qualität ihrer meist in LDAP-basierten I&AM-Systemen gespeicherten Informationen über Studierende, Beschäftigte und Gäste durch gute Verwaltungsprozesse hoch zu halten. Die Zeiten, in denen sich Absolventen auch Jahre nach ihrer Exmatrikulation noch aus der Ferne auf Systemen einloggen konnten, auf denen sie beispielsweise ein Praktikum absolviert haben, sind längst vorbei. Datenqualität wird spätestens dann verbindlich, wenn über Föderationen wie die Authentifizierungs- und Autorisierungsinfrastruktur des DFN-Vereins (DFN-AAI) organisationsübergreifend auf Dienste zugegriffen werden kann. Handelt es sich dabei um kommerzielle Angebote wie beispielsweise den Download lizenzierter Software oder die Teilnahme an E-Learning-Kursen mit Prüfungen, so lassen die zugrundeliegenden Verträge in der Regel nur noch minimale Toleranzen zu, wie lange z. B. ein exmatrikulierter Student von seiner Heimathochschule übergangsweise noch als nach wie vor immatrikuliert ausgegeben werden darf. Datenqualitätskriterien sind definiert Die DFN-AAI teilt die als sogenannte Identity Provider (IDPs) fungierenden Einrichtungen deshalb in Verlässlichkeitsklassen ein: Aktualisierungen müssen in der Klasse Basic innerhalb von drei Monaten, in der Klasse Advanced innerhalb von zwei Wochen erfolgen. Neben der Aktualität sind auch weitere Datenqualitätskriterien definiert. Die Föderationen wie die der DFN-AAI zugrundeliegende Technik SAML, ermöglicht es, dass sich mehrere Föderationen durch ein Zusammenführen ihrer sogenannten Metadaten zusammenschließen. Da jeder SAML-Metadaten-Eintrag im Wesentlichen nur die Angaben zu technischen Kommunikationsendpunkten (URLs und X.509v3-Zertifikate) und ergänzende Kontaktinformationen enthält, existieren auf technischer Ebene keine geographischen oder branchenspezifischen Grenzen für Föde rationen. Die bekannteste, von GÉANT betriebene Inter- Föderation, edugain, umfasst bereits 40 Föderationen. Nutzer von mehr als IDPs können somit weltweit theoretisch bereits mehr als von Service Providern (SP) betriebene Dienste nutzen. Reality Check Diese technisch fast grenzenlos erscheinenden Möglichkeiten werden durch die unterschiedliche Qualität und Interpretation von Benutzerdaten allerdings schnell wieder auf den Boden der Tatsachen zurückgeholt. Andere Föderationen geben Aktuell müssen Diskrepanzen im Einzelfall für jede IDP-SP-Kombination geprüft werden. ihren Mitgliedsorganisationen, falls überhaupt, typischerweise auch andere Qualitätskriterien in anderen Ausprägungen vor. Oftmals kann auch zwischen einer optimistischen Selbsteinschätzung des IDPs und einer objektiv überprüften Datenqualität von außen nicht unterschieden werden. Zudem existieren verschiedene technische Varianten, wie Qualitätszusagen kommuniziert werden: Die DFN-AAI betreibt mit den Verlässlichkeitsklassen technisch betrachtet mehrere einzelne Föderationen, andere Föderationen annotieren ihre einzelnen SAML-Metadaten-Einträge entsprechend, als dritte verbreitete Variante werden Qualitätszusagen individuell pro Nutzer beim Login-Vorgang vom IDP an den jeweiligen SP übermittelt. Aktuell müssen solche Diskrepanzen im Einzelfall, also für jede IDP-SP-Kombination, für die es interessierte Anwender gibt, manuell geprüft und ausgeräumt werden. Eine skalierbare, durchgängig automatisierte technische Unterstützung dieses Vorgangs ist deshalb Grundvoraussetzung für zukünftige globale Inter-Föderationen. Nachfolgend werden die wesentlichen Eckpunkte eines beim 9. DFN-Forum Kommunikationstechnologien präsentierten Lösungsansatzes vorgestellt. Er kombiniert existierende Level-of-Assurance-Ansätze mit dem als IETF Internet-Draft vorliegenden Vectors-of-Trust-Verfahren und lässt sich flexibel sowohl in bestehende Föderationen als auch dynamische Inter- Föderationen, die auf dem Ansatz GÉANT- TrustBroker basieren, integrieren. Nach einer Kurzübersicht über die technische Spezifikation wird dies anhand eines Anwendungsbeispiels veranschaulicht. Levels und Vektoren Verlässlichkeitsklassen werden als einfache Key-Value-Paare beschrieben, wobei die Qualität z. B. im Hinblick auf die folgenden Aspekte festgelegt wird: Identifikation des Nutzers: Bei der Immatrikulation eines Studierenden muss im Regelfall ein amtlicher Lichtbildausweis vorgezeigt werden. Diese Art der Identitätsprüfung gilt als verlässlicher, als wenn sich eine Person beispielsweise per Web-Formular selbst registrieren kann. Datenaktualität: Die Zusicherung, dass die vom IDP gespeicherten Daten über einen Nutzer nicht älter als ein definierter Schwellenwert sind. Authentifizierung: Beim Login eingesetzte Authentifizierungsverfahren des IDP, beispielsweise Passwort oder Zwei-Faktor-Authentifizerung mithilfe von Hardware-Tokens oder Smartcards.

16 16 DFN Mitteilungen Ausgabe 90 November 2016 WISSENSCHAFTSNETZ Sicherheit bei Datenübermittlung an den SP: Mechanismen zur Sicherung der Vertraulichkeit der übertragenen Nutzerdaten. Zuordenbarkeit: Gewährleisten der Datenintegrität und Authentizität, also welche Stelle zeichnet sich verantwortlich und wurden die Daten während der Übertragung nicht versehentlich verändert oder gar bewusst manipuliert. Informationssicherheit in der Organisation: Beschreibung umgesetzter technischer und organisatorischer Sicherheitsmaßnahmen und deren Nachweis in Form von Self-Assessments oder durch von externer Seite durchgeführte ISO/IEC Zertifizierungsaudits. Im Allgemeinen wird jedem dieser Aspekte ein Zahlenwert zugeordnet (0, 1, 2 oder 3). Beispielsweise könnte beim Aspekt Datenaktualität der Wert 1 bedeuten, dass die Daten innerhalb von 3 Monaten aktualisiert werden, der Wert 3, dass sie innerhalb von weniger als 72 Stunden aktualisiert werden. Innerhalb einer Föderation sind sich IDP und SP einig, was der jeweilige Zahlenwert semantisch bedeutet, föderationsübergreifend ist dies jedoch meist nicht der Fall. Deutsche IDPs der Kategorie Basic erfüllen nicht die Anforderungen des amerikanischen Level Bronze Internationale Standards, wie z. B. die der ISO oder des amerikanischen NIST bzw. Frameworks wie das der Kantara-Initiative, aber auch eine Reihe föderationsinterner Bemühungen bieten hierfür einen ersten Lösungsansatz. Während sich in diesen noch alle oben genannten Aspekte wiederfinden, so unterscheiden sie sich doch bei näherer Betrachtung in teilweise nicht unwesentlichen Details. Beispielsweise erfüllt im Hinblick auf die Datenqualität die Verlässlichkeitsklasse DFN-AAI Advanced auch die Anforderungen des Levels Bronze der US-Föderation InCommon, hingegen keine DFN-Klasse des Levels Silber. Deutsche IDPs, die der Kategorie Basic zugeordnet sind, erfüllen hier nicht einmal die Anforderungen des amerikanischen Level Bronze. Eine Nutzung von US-SPs angebotenen Diensten wäre ohne weitere Maßnahmen also ausgeschlossen. Verlässlichkeitsklassen lassen sich technisch auf unterschiedliche Weisen zwischen den beteiligten Providern austauschen. Einerseits können die Metadaten einen URL-Verweis auf ein meist als PDF verfügbares, in natürlicher Sprache verfasstes Dokument, enthalten. Andererseits bieten die Vectors-of-Trust (VoT) die Möglichkeit, die textuelle Beschreibung des jeweiligen Aspekts, z. B. P3 für die Identitätsüberprüfung mithilfe eines amtlichen Lichtbildausweises syntaktisch kompakt auszudrücken. Auch bei der Kommunikation zwischen dem IDP und dem SP können die Informationen im Rahmen der Request-Response-Nachrichten ausgetauscht werden. Integrierter Ansatz Als zentrales Problem ergibt sich damit, dass verschiedene, zueinander nicht unmittelbar kompatible LoA-Spezifikationen und Kommunikationswege für konkrete LoA-Informationen bereits im Einsatz sind. Eine Lösung dafür kann offensichtlich nicht auf der grünen Wiese von vorne anfangen, da ein sanfter Migrationsweg benötigt wird und, wie z. B. die Modellierung von Benutzerdaten (sog. Attributen) in Föderationen zeigt, ein einziger weltweiter Standard utopisch ist. Eine technische Lösung muss letztlich folgende Kernfrage beantworten können: Wie kann automatisiert und effizient entschieden werden, ob ein IDP Datensätze liefert, die den Qualitätsanforderungen eines SP standhalten? Der vorgestellte Ansatz umfasst deshalb drei Teile: 1. Das SAML Identity Assurance Profils (SAML-IAP) wird mit den IETF Vectors of Trust (VoT) kombiniert, um Angaben zur Datenqualität in Form kompakter Text-Strings ausdrücken zu können. 2. Eine Spezifikation, wie SPs ihre Anforderungen und IDPs ihre Garantien zur Datenqualität als Teil ihrer SAML-Metadaten oder im SAML-basierten IDP- SP-Nachrichtenaustausch kommunizieren können. 3. Ein Workflow zum automatisierten Abgleich dieser Anforderungen und Garantien, der sowohl lokal bei IDPs bzw. SPs als auch von einer zentralen Trusted Third Party wie GÉANT-Trust- Broker durchgeführt werden kann. Flexibilität im praktischen Einsatz ergibt sich daraus, dass der Ansatz sowohl auf Ebene ganzer IDPs als auch einzelner Benutzer eingesetzt werden kann und optional durch kryptographische Signaturen die Bestätigung der Einhaltung von Qualitätsgarantien durch unabhängige Dritte ermöglicht. Im Folgenden wird lediglich auf die Grundlagen des Ansatzes eingegangen. Angaben zur Datenqualität, d. h. Anforderungen von SPs bzw. Garantien von IDPs, werden als SAML-IAP-konforme URLs dargestellt. Sie bestehen zur Differenzierung gegenüber anderen SAML-IAP-URLs aus einem konstanten Präfix, für das aufgrund der Entstehungsgeschichte des Ansatzes der Wert Wie von den verwendeten Standards vorhttps://loa.geant.net/gntb gewählt wurde. Dem Präfix folgt die Angabe eines LoA-Identifikators und/oder eines VoT-Strings, z. B. http\%3a\%2f\%2ffoo.example. com\%2fassurance\%2floa1\ &vot=p1.cc.a3

17 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe Der X-WiNner-Award des DFN-Vereins Das DFN-Forum Kommunikationstechnologien ist seit 2008 das neue Format der ehemaligen DFN-Arbeitstagung über Kommunikationsnetze. Dabei versteht sich das Forum als eine wissenschaftliche Tagung, deren primäre Zielgruppe (aber nicht nur!) junge, vielversprechende Nachwuchswissenschaftler aus netznahen Themenkreisen sind. Die adressierten Themenkreise sind Neue Netztechnologien und Infrastruktur, ITC Management und Sicherheit, Infrastrukturen für eresearch und IT Zukunftsperspektiven. Aus den Einreichungen wählt das Programmkomitee aus erfahrenen und etablierten Gutachtern etwa ein Dutzend der besten Beiträge aus, die dann in der Veranstaltung von den Autoren präsentiert werden. Dort müssen sie sich dann kritisch-freundlichen Rückfragen und Kommentaren stellen. Abgerundet wird das Programm durch Invited Speakers, die zu topaktuellen Themen aus der netznahen IT vortragen, und durch ein hochkarätiges Panel, welches in Form einer Podiumsdiskussion tagesaktuelle Themen aufgreift und aus verschiedensten Blickwinkeln beleuchtet. Um den Anreiz für hervorragende Nachwuchswissenschaftler noch zu erhöhen, ihre Beiträge beim DFN-Forum einzureichen, wurde der X-WiNner- Award entwickelt. Der Preis wird für den besten NachwuchswissenschaftlerInnen-Beitrag, dessen Hauptautor bei der Einreichung noch nicht promoviert ist, verliehen. Dabei ist das primäre Auswahlkriterium immer die Qualität des eingereichten Beitrags, über die das Programmkomitee schon bei der Auswahl diskutiert. Die letztendliche Entscheidung wird dann nach der Präsentation des Beitrags getroffen. Der X-WiNner-Award ist neben der immateriellen Ehre und Anerkennung in der Fachcommunity auch mit einem Preisgeld in Höhe von 1000 EUR dotiert. Gesponsort wird dieses Preisgeld von der Firma Dimension Data Germany AG & Co. KG. Dieses Jahr wurde der X-WiNner- Award zum zweiten Mal verliehen. Auf dem 9. DFN-Forum Kommunikationstechnologien in Rostock wurde der hier zusammengefasste Beitrag unter den vielen qualitativ hochwertigen Einreichungen als Bester ausgewählt. Auch im nächsten Jahr auf dem 10. DFN- Forum an der Freien Universität Berlin wird der Nachwuchspreis wieder verliehen. Daniela Pöhn nimmt die Urkunde für den Gewinnerbeitrag des diesjährigen Awards entgegen.

18 18 DFN Mitteilungen Ausgabe 90 November 2016 WISSENSCHAFTSNETZ Umsetzung mit GÉANT- Trust Broker GÉANT-TrustBroker ist ein Dienst, der als vertrauenswürdiger Dritter (Trusted Third Party, TTP) entwickelt wurde, um Metadaten zwischen SAML-Providern benutzerinitiiert auszutauschen. Eines der grundsätzlichen Probleme bei der Verwendung von SAML ist, dass IDP und SP voneinander wissen und dazu Metadaten austauschen müssen. Dieser Prozess wird entweder per Hand von den Administratoren beider Seiten durchgeführt oder durch das Sammeln der Metadaten einer Gruppe von Providern in Föderationsmetadaten, die dann an alle Teilnehmer der Föderation verteilt werden. Foto Big Face/ Adobe Stock gesehen und in der Praxis bereits etabliert, können mehrere solcher URLs parallel eingesetzt werden, wenn mehrere LoAs unterstützt werden es handelt sich um ein klassisches Multi-Value-Attribut für SAML- Metadaten bzw. per SAML übertragene Nutzerprofile. Mindestens eine der beiden Angaben loa oder vot muss enthalten sein. Falls beide vorhanden sind, haben die in vot deklarierten Werte Vorrang und müssen deshalb qualitativ gleichwertig oder höher sein als die im referenzierten loa enthaltenen. Ein typischer Anwendungsfall wäre, mit dem vot-parameter das Übererfüllen von loa-vorgaben auszudrücken, beispielsweise, dass ein IDP in der DFN- AAI Basic-Föderation nicht nur eine Datenaktualität von drei Monaten, sondern z. B. von zwei Wochen zusichert, obwohl er aufgrund anderer Kriterien nicht in die DFN- AAI Advanced-Föderation aufgenommen werden kann. Übertragung und Auswertung Die so erzeugten URLs können zum einen SAML-IAP-konform als assurance-certification in SAML-Metadaten eingebettet werden, so dass der Ansatz ohne Anpassungen an Standards oder vorhandene Implementierungen genutzt werden kann. Zum anderen können sie von IDPs als Benutzerattribute, z. B. über das bereits erwähnte edu- PersonAssurance, kommuniziert werden. Dies ist lediglich mit minimalem Konfigurationsaufwand für die IDP-Betreiber verbunden. Zur Verwendung in individuellen, SP-seitig initiierten SAML-Requests kann wiederum auf das ebenfalls bereits eingesetzte RequestAuthnContext-Element zurückgegriffen werden, so dass insgesamt eine breite Kompatibilität mit etablierten Föderationsinfrastrukturen erreicht wird. Ein automatischer Abgleich von Anforderungen mit Garantien erfolgt durch den Vergleich der einzelnen Qualitätskriterien und ihrer angegebenen Werte. Nur wenn es mindestens ein (IDP SAML-IAP-URL, SP SAML-IAP-URL)-Paar gibt, bei dem der IDP jedes vom SP genannte Kriterium berücksichtigt und erfüllt oder übererfüllt, wird die Nutzung des Dienstes zugelassen. Technisch setzt dies voraus, dass auch die loa- Inhalte als vot-string vorliegen müssen, was derzeit einen einmaligen manuellen Aufwand pro üblicherweise in Fließtext formuliertem LoA bedingt. Da mit zunehmender Größe von Föderationen und Inter-Föderationen auch die Menge der über die Föderationsmetadaten ausgetauschten Provider steigt, ist es das Ziel von GÉANT-TrustBroker, nur zwischen den tatsächlich genutzten IDP-SP- Paaren die notwendigen Metadaten auszutauschen. Dazu verwaltet TrustBroker ein zentrales Repository aller teilnehmenden Provider. Damit ist TrustBroker in der idealen Position auch Vermittlungsarbeiten durchzuführen. Welche Metadaten bei welchen Providern benötigt werden, wird dabei durch die Benutzer gesteuert. Wenn ein Nutzer einen SP nutzen möchte, der noch nicht die Metadaten des IDPs des Nutzers hat, kann der Benutzer über den Discovery Service des TrustBrokers seinen IDP auswählen und damit den Metadatenaustausch zwischen den Providern initiieren. Dieser On-demand -Metadaten-Austausch benötigt neben TrustBroker allerdings auch Erweiterungen für die IDP- und SP-Software, die für Shibboleth implementiert wurden. Damit ist TrustBroker in der idealen Po-

19 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe sition, neben dem reinen Metadatenaustausch zwischen den Providern auch weitere Vermittlungsarbeiten durchzuführen. Eine dieser Zusatzfunktionen ist es, dass TrustBroker durch Konvertierungsregeln den Attributaustausch zwischen IDP und SP erleichtern kann. Dazu kann beispielsweise ein Mapping zwischen in verschiedenen Attributschemata unterschiedlich benannten, aber semantisch äquivalenten Attributen durchgeführt werden. Wenn die angefragten Attribute des SPs nicht zu den vom IDP angebotenen Attributen passen, kann TrustBroker den Verbindungsaufbau auch vorzeitig mit einer Fehlermeldung abbrechen. Auf ähnliche Art und Weise kann TrustBroker auch dazu verwendet werden, die vom SP angeforderten bzw. vom IDP garantierten LoAs zu vergleichen. Da die LoA-Anforderungen bzw. Garantien sowohl in den Metadaten als auch als eigene Attribute übermittelt werden können, kann der Abgleich durch TrustBroker an zwei Stellen erfolgen: wenn die LoA-Spezifikation in den Metadaten angegeben wird, kann TrustBroker vor dem Austausch der Metadaten zwischen den Providern überprüfen, ob diese kompatibel sind wenn die LoA-Spezifikation als Nutzerattribut übertragen wird, kann der Abgleich erst nach einer Authentifizierung des Nutzers erfolgen, eine Authentifizierung des Nutzers durch den von ihm ausgewählten IDP wird generell durch TrustBroker durchgeführt, um nutzlose Verbindungen zwischen Providern zu vermeiden. Beim Vergleich der LoA-Werte kann Trust- Broker wie bei den Attributen wieder ein Mapping zwischen verschiedenen Schemata durchführen bzw. der SP kann den Vergleich selbst implementieren. Da zur besseren Skalierbarkeit TrustBroker nur dann an der Authentifizierung eines Nutzers zwischen zwei Providern beteiligt ist, wenn diese noch keine Metadaten miteinander ausgetauscht haben, kann Trust- Broker nur beim ersten Verbindungsaustausch einen Vergleich der LoAs der Provider durchführen und den Verbindungsaufbau bei nicht passenden LoAs abbrechen. Dies ist aber nur ein erster Filterschritt. Wenn schon eine Verbindung zwischen den Providern besteht, muss der SP lokal die über den IDP vorhandenen LoA-Informationen aus den Metadaten oder dem für den Nutzer übertragenen Attribut verarbeiten. Der SP sollte diese Überprüfung bei jeder Authentifizierung durchführen, da sich eventuell LoA-Angaben des IDPs geändert haben. Gigamove benötigt DFN-Advanced LoA. LMU IDP erfüllt DFN-Advanced. => Verbindung kann hergestellt werden EduGain (Inter-Föderation) Gigamove benötigt DFN-Advanced LoA. University of Sydney übermittelt LoA-Attribut edupersonassurance. => Unter Verwendung der Mapping-Tabelle kann die Verbindung hergestellt werden DFN-AAI (Nationale-Föderation) GÉANT TrustBroker Australian Access Federation (Nationale-Föderation) 2/ 5 5 2/ 5 LMU München IDP 3 1 LMU München Student 1/ 6 Gigamove (File-Storage) 1/ 6 1 University of Sydney Student 3 University of Sydney IDP 6 6 Abbildung 1: Anwendungsbeispiel des LoA-Abgleichs über TrustBroker

20 20 DFN Mitteilungen Ausgabe 90 November 2016 WISSENSCHAFTSNETZ Anwendungsbeispiel Eine exemplarische Anwendung des LoA- Abgleichs unter Zuhilfenahme von GÉANT- TrustBroker ist in Abbildung 1 (S. 19) dargestellt. Dort werden die Authentifizierungsvorgänge zweier Studenten aus verschiedenen nationalen Föderationen gegenüber dem File-Sharing-Dienst des DFN, Gigamove, gezeigt. Der in blau dargestellte Ablauf zeigt, wie ein Student der LMU München auf Gigamove zugreifen könnte: 1. Im ersten Schritt öffnet der Student die Webseite von Gigamove und wählt über TrustBroker seinen IDP aus. 2. TrustBroker erstellt dann einen Authentifizierungsrequest an den ausgewählten IDP. 3. Der Student muss sich nun gegenüber dem IDP authentifizieren. 4. Die LoAs der beiden Dienste werden verglichen. Dabei stellt sich heraus, dass sowohl Gigamove als auch der LMU IDP Teil der DFN-Advanced-Föderation sind, weshalb der Metadatenaustausch sofort fortgesetzt werden kann. 5. Die Metadaten der Provider werden ausgetauscht. 6. Der Student kann den Dienst benutzen, nachdem der SP mit den jetzt vorhandenen Metadaten des IDPs den Nutzer authentifiziert hat. In der Regel muss der Nutzer sich dazu nicht erneut durch eine Passworteingabe authentifizieren, da die Session noch aktiv ist. Der in grün dargestellte Ablauf für einen Studenten der University of Sydney läuft prinzipiell gleich ab. Allerdings ist der in Schritt 4 angestellte Vergleich komplizierter, da ein Mapping zwischen den Anforderungen von DFN-Advanced und der über das edupersonassurance-attribute ausgetauschten LoA-Information des University of Sydney IDPs, hergestellt werden muss. Im Folgenden wird angenommen, dass die University of Sydney für den Studenten das an NIST SP angelehnte und durch die Australian Access Federation (AAF) definierte Level 2 zugesichert hat. Daher müssten zunächst die Anforderungen von DFN-Advanced und der AAF definierten LoAs verglichen werden. Im Rahmen dieses Artikels werden nur die ersten drei Attribute exemplarisch verglichen und davon ausgegangen, dass die restlichen Kriterien einem Metadatenaustausch nicht im Wege stehen. Die DFN-Advanced Föderation bedarf einer persönlichen Identifizierung mit Hilfe offizieller Dokumente, akzeptiert aber auch bereits etablierte Einschreibungsprozesse an Universitäten. Dies wird übersetzt in das Level 2 bei Nutzeridentifikation. Level 2 der AAF Assurance-Definition sieht ebenfalls eine Identifizierung durch offizielle Dokumente, wie einem Pass, vor, bekommt also auch Level 2. Die Vorgaben von DFN-Advanced fordern für die Datenaktualität der IDPs ein Update innerhalb von zwei Wochen, das auf Level 3 gemapped wird. Level 2 der AAF gibt an, dass invalide Daten innerhalb von 72 Stunden aktualisiert werden müssen. Daher wird hier die Vorgabe der DFN-AAI erfüllt. Für die Authentifizierung erlauben sowohl die DFN-Advanced als auch die AAF Level 2 die passwortbasierte Authentifizierung, die auf Level 2 gemapped wird. Die folgende Tabelle zeigt, dass das Level 2 der AAF die Vorgaben der DFN-Advanced- Föderation erfüllt. DFN-Advanced AAF Level 2 Nutzeridentifizierung 2 2 Datenaktualität 3 2 Authentifizierung 2 2 Fazit Dynamische Ansätze wie GÉANT-TrustBroker ermöglichen den nutzerinitiierten Austausch von SAML-Metadaten, können aber auch als vertrauenswürdig eingestufte Drittinstanz für den Vergleich unterschiedlicher Verlässlichkeitsklassen eingesetzt werden. Das wird besonders mit föderationsübergreifenden Szenarien zunehmend wichtig. Die für SPs und IDPs existierenden Erweiterungen der Shibboleth-Software erlauben zudem, diesen Vergleich bis auf Nutzerebene herunter durchzuführen. SPs haben dadurch den Vorteil der Zusicherung wichtiger Datenqualitätsaspekte. Das zur technischen Automatisierung erforderliche LoA-Mapping ist derzeit noch Handarbeit, seine Erstellung ist damit ein wichtiger Schritt auf dem Weg zum Einsatz beispielsweise in edugain. M

21 WISSENSCHAFTSNETZ DFN Mitteilungen Ausgabe Kurzmeldungen 13. Tagung der DFN-Nutzergruppe: Campus 4.0 Unter dem Thema Campus 4.0 findet vom 15. bis 17. Mai 2017 die Tagung der DFN- Nutzergruppe Hochschulverwaltung im Schloss der Universität Münster statt. Organisiert wird sie durch den DFN-Verein in Zusammenarbeit mit dem ZIV (Zentrum für Informationsverarbeitung) der Universität Münster. Vortragende aus Forschung, Verwaltung und Wirtschaft beschäftigen sich mit hochaktuellen Fragen zu Informationssicherheit, Datenaufbewahrung und Softwarebeschaffung/-management. Der Schwerpunkt der 13. Tagung liegt im Themenfeld Digitalisierung der Verwaltung und bietet damit einen Ausblick auf den Campus der Zukunft. In der 1991 gegründeten DFN-Nutzergruppe Hochschulverwaltung werden bundesweit Informationen über Themenbereiche aus der Informations-, Kommunikations- und Medientechnik in direkten Bezug zu Themen der Hochschuladministration gesetzt. Die Informationen und Ergebnisse werden alle zwei Jahre auf einer Tagung den Hochschulen vorgestellt. Weitere Informationen zur Arbeit der Nutzergruppe und zu den Tagungen finden Sie unter: M DFN-Nutzergruppe Hochschulverwaltung: Wir feiern 25 erfolgreiche Jahre! Am 7. Oktober 2016 fand das Treffen der DFN- Nutzergruppe Hoch schulverwaltung aus Anlass ihres 25-jährigen Bestehens statt. Die Nutzergruppe hatte Gelegenheit sich selbst zu reflektieren, den ak tuel len Stand festzuhalten und sowohl rückwärts, als auch vor wärts zu blicken. Dazu gab es Vorträge vom DFN-Verein und von den Nutzer gruppenmitgliedern. Veranstaltungsort war die FH für öffentliche Verwaltung und Rechtspflege in Meißen. Die Sprecherin der Nutzergruppe, Frau Inga Scheler (Universität Kaisers lautern) moderierte das Treffen und gab einen Ausblick. Man war sich einig, dass im Grundsatz die bewährte Arbeit und die selbstdefinierte Zielsetzung beibehalten werden sollen. Dass die Nutzergruppe auch für jüngere Mitglieder attraktiv ist und die zukünftige Arbeitsfähigkeit damit gewährleistet ist, wurde sehr positiv vermerkt. Bevor am Montag die traditionelle Nutzergruppenarbeit fortgesetzt wurde, gab es am Wochenende einen kulturellen Teil mit der Besichtigung von Dresden und Schloss Moritzburg. Letzteres sehr intensiv vom Keller bis zum Dach. M Die Geschäftsstelle war mit Herrn Pattloch und Frau Lenz vertreten. Herr Pattloch würdigte in einem Vortrag die inzwischen langjährigen Verdienste der Nutzergruppe. Angetreten ist die Nutzergruppe Hochschulverwaltung im Jahr 1991 als eine von vielen, aber keine andere hat ein solches Alter erreicht. Der DFN-Vorsitzende, Herr Bungartz, sprach in einer Videobotschaft seinen Dank an die Nutzergruppe aus. Seit der Gründung am fanden 12 Tagungen mit jeweils Teilnehmern und 112 Sitzungen der Nutzergruppe statt. In weiteren Vorträgen ging es um Themen wie Hochschulverwaltungsprogramme, Bibliotheken, Langzeitarchivierung. Die Nutzergruppe unter Dampf auf dem Weg nach Moritzburg

22 22 DFN Mitteilungen Ausgabe 90 November 2016 INTERNATIONAL IntheFieldStories: Forschungsnetze erzählen ihre Geschichten Die Blog-Plattform IntheFieldStories bietet der Forschungsnetz-Commu nity Raum, ihre Erfolgsgeschichten einmal nicht nur im Kontext von Gigabits und Petabytes zu erzählen. Aus den vielfältigen technischen Aktivitäten entstehen auch täglich neue Anwendungen mit Ergebnissen, die auf sehr menschlicher Ebene den Wert der Forschungsnetze unterstreichen. Text: Dr. Jakob Tendel (DFN-Verein)

23 INTERNATIONAL DFN Mitteilungen Ausgabe Die Forschungsnetze bilden eine weltumspannende Netzwerkinfrastruktur genau dort wo sie benötigt wird, so auch an entlegenen Orten. Sie gewährt Teilnehmern Zugang zu Inhalten und Ressourcen, verbindet Menschen, ermöglicht ihnen neue Erfahrungen und fördert internationale und interdisziplinäre Zusammenarbeit. Moderne Kommunikationstechnik bildet den Kern der internationalen Forschungsnetze, doch Glasfasern und Router sind bei weitem nicht alles, was diese globale Infrastruktur für Forschung und Bildung ausmacht. Um die Überschreitung der Grenzen zwischen politischen und technischen Hoheitsgebieten für die Endanwender so transparent wie möglich zu machen, benötigt es umfassender und laufender Koordination auf vielen Ebenen. Von der Abstimmung kompatibler Schnittstellen über den koordinierten Betrieb bis hin zu internationalen Abkommen über Unterseekabel. An jeder Stelle kommen Mitglieder der Community zusammen, um die Leistungsfähigkeit der Netze zu verbessern und so den Wert für alle Teilnehmer zu steigern. Die Anwendergeschichten, die IntheFieldStories zusammenträgt, spiegeln die Vielfältigkeit der Anwendungen auf den Forschungsnetzen wieder und liegen in 19 Kategorien teils weit entfernt von der prominenten Spitzenforschung aus Kernphysik oder Klimaforschung. Auf der einen Seite gibt es beispielsweise das Vorhaben, ein Live-Stream Duett mit zwei 2000 km auseinanderliegenden Kirchenorgeln zu spielen. In einem einmaligen Event zum Anlass der TNC Konferenz in Prag am 20. Juni 2016 kamen die Organisten Jon M. Skogstad in Trondheim, Norwegen und Jaroslav Tuma in Brno, Tschechien zusammen, um ein fein abgestimmtes Orgelkonzert für zwei Instrumente zum Besten zu geben. Die Forschungsnetze ermöglichten eine Übertragung des zur Abstimmung unter den Organisten notwendigen Tonsignals von einem Standort zum anderen in lediglich 27 Millisekunden. Das Publikum im großen Konferenzsaal kam in den Genuss von Ton und Bild beider Teilnehmer in Echtzeit nebeneinander und war begeistert. Ein Beispiel ganz anderer Art bietet die Geschichte von norwegischen Wissenschaftlern, welche riesige Datensätze mit Krebs-Genomsequenzen auf dem Abel Supercomputer in Oslo verarbeiten, um auf den Patienten angepasste Krebstherapien zu entwickeln. Die leistungsfähige Netzwerkarchitektur erlaubt es ihnen, die extrem umfangreichen Datenmengen in praktikabler Zeit von den Genomdatenbanken zum Supercomputer zu übertragen und die Ergebnisse zurückzuführen. Erst diese Datenübertragungsfähigkeit erlaubt eine hinreichende Anzahl von Auswertungen, um ein statistisch aussagekräftiges Ergebnis zu erreichen. Die Forschungsnetze und die darum entstandene Community fördern eine große Vielfalt an Anwendungen mit realen, spürbaren Auswirkungen auf Menschen. Diese Geschichten unterstreichen den gesellschaftlichen und auch wirtschaftlichen Wert der Forschungsnetze und dienen zur Inspiration und Motivation, die Infrastruktur für die Endanwender kontinuierlich weiterzuentwickeln. Die spannenden Geschichten aus der Welt der Forschungsnetze finden Sie unter: M

24 24 DFN Mitteilungen Ausgabe 90 November 2016 INTERNATIONAL Die DFN-Domain für den GÉANT Testbeds Service Im europäischen Wissenschaftsnetz GÉANT wurde ein GÉANT Testbeds Service (GTS) aufgebaut. Die GTS-Architektur stellt voneinander isolierte virtuelle Netze zur Verfügung. Nutzer können sich virtuelle Ressourcen (z. B. Rechnerkapazität, Speicherplatz oder Routingkapazitäten) und virtuelle Netzstrukturen zusammenstellen und damit ein eigenes Software-Defined-Network (SDN) erzeugen. Aktuell wird die Netzdomain GÉANT-GTS durch weitere NREN-GTS-Domains ergänzt und zu einem Multi-Domain-GTS (MD-GTS) ausgebaut. Text: Dr. Peter Kaufmann (DFN-Verein), Dr.-Ing. Susanne Naegele-Jackson (Regionales Rechenzentrum Erlangen) Foto chuyu / istockphoto

25 INTERNATIONAL DFN Mitteilungen Ausgabe In der letzten Ausgabe der DFN-Mitteilungen wurde bereits ein Artikel veröffentlicht, in dem einige wichtige Eigenschaften des SDN und der aktuelle Stand des GÉANT-GTS erläutert wurden (Ausgabe 89 Der neue GÉANT Testbeds Service ). Darauf aufbauend wird nun die Erweiterung des GTS zu einem Multi-Domain- GTS (MD-GTS) und der Aufbau der DFN-GTS-Domain dargestellt. Multi-Domain-Fähigkeit von GÉANT-GTS Die Erweiterung des GÉANT-GTS zu einem Multi-Domain-GTS wird durch mehrere nationale Forschungsnetze (NRENs: National Research and Education Networks) durchgeführt (z. B. CESNET und DFN). Die NREN-Domains werden jeweils mindestens einen GTS- PoP und eine Managementumgebung aufbauen. Die Anbindung an den GÉANT-GTS wird mit 10 Gb-Lambdas durchgeführt. Eine GTS-Erweiterung gestaltet sich für die Nutzung vergleichsweise einfach, da der Ressourcen Manager im GTS multi-domain fähig ist. Das bedeutet, dass der Ressourcen Manager auch bei externen GTS-Domains, außerhalb von der eigenen GTS-Domain, Ressourcen für eine Testbedumgebung anfragen kann. Für den Benutzer hat dies den Vorteil, dass er sein Testbed in einem One- Stop-Shopping (OSS) Verfahren bucht, auch wenn seine Ressourcen möglicherweise im Moment nicht alle komplett in der eigenen GTS-Domain vollzählig zur Verfügung stehen, sondern ergänzungsweise bei anderen GTS Providern reserviert bzw. ausgeliehen werden müssen. Für den Benutzer ist dieser Prozess transparent, d. h. er kontaktiert lediglich seinen GTS Service vor Ort und bekommt dann über diesen Service auch seinen Ressourcenzugang. Es gibt bereits GTS-Erweiterungen in CESNET, HEAnet und NOR- DUnet. Der DFN-Verein bereitet derzeit den Aufbau einer GTS-Domain vor. Dadurch stehen Benutzern nicht nur mehr Ressourcen zur Verfügung, es ist auch möglich, dass sich durch die leicht erweiterbare Architektur NRENs auf bestimmte neue Ressourcen spezialisieren. Es ist außerdem denkbar, dass NRENs nur ausgewählte Ressourcen anbieten, ihre Nutzer aber durch die Multi- Domainfähigkeit auch Zugang zu anderen nicht lokal vorhandenen Ressourcen bekommen. Des Weiteren haben NRENs die Möglichkeit mit einem eigenen GTS-Service (einer eigenen GTS-Domain) zu untersuchen, wie sich virtuelle Netzumgebungen im Allgemeinen durch einen GTS Service automatisch provisionieren lassen. Dabei liegt das Augenmerk nicht nur auf den Testbedumgebungen, sondern generell auf den Anwendungsmöglichkeiten virtueller Netze und wie diese durch automatisierte Provisionierung schnell und flexibel zur Verfügung gestellt werden können. Untersucht wird außerdem die daraus resultierende Ersparnis, die sich für den Netzbetreiber oder das NREN ergibt. Für eine GTS-Domain werden eine GTS-Central-Server-Facility (GTS-CSF) und beliebig viele Knoten-Standorte (GTS-PoPs) benötigt. Das GÉANT-GTS verfügt darüber hinaus noch über eine Laboreinrichtung, die das von der Produktionsumgebung unabhängige Testen neuer GTS Software erlaubt. In diesem Labor in Prag befindet sich nicht nur eine vollständige GÉANT-GTS-CSF, sondern es wurden auch mehrere Teststandorte eingerichtet, um möglichst realitätsnah testen zu können. Aufbau einer DFN-GTS-Domain Die DFN-GTS-Domain wird durch mindestens einen DFN-GTS-PoP und die dazugehörige Central-Server-Facility (DFN-CSF) dargestellt. Funktional sollen folgende Eigenschaften zur Verfügung gestellt werden: Datentransport-Ressourcen Routing/Switching-Komponenten Compute-Ressourcen (VMs) Speicherplatz Managementkomponenten für die DFN-GTS-Domain Managementkomponenten für die virtuellen Netze der Nutzer Für die Umsetzung der funktionalen Anforderungen wird der DFN-GTS-PoP die folgenden konkreten Komponenten umfassen (siehe auch Abbildung 1): drei Dell 530 Server für die Bereitstellung von virtuellen Maschinen (Compute Nodes, 10 Gb-NIC) einen Juniper MX-104 Router (20*1 GE, 8*10 GE) für Data- Plane Verbindungen einen Juniper EX-4200 Switch für das Management der Control-Plane einen CORSA OpenFlow Switch Speicherplatz (file systems, virtual disks, usw.) Die DFN-CSF ist für die Kontrolle und das Management des DFN- GTS-Dienstes zuständig und verwaltet alle DFN-GTS-PoPs. Die Benutzer-Testbeds werden hingegen auf den Servern der DFN- PoPs eingerichtet. Allerdings wird in der CSF das Nutzer-Gateway in das DFN-GTS und die Ablage für die Konfigurationen der Nutzernetze bereitgestellt. Zur CSF gehören drei Dell 530 Server, nämlich ein Server CSF0 für die Orchestration, ein Gateway Server CSF1 für die Internet Access Gateways (IAGW) für Benutzerzugänge ins DFN-GTS und ein Storage Server CSF2, damit die Konfigurationen von Benutzerexperimenten, Input- und Output-Daten gespeichert werden können.

26 26 DFN Mitteilungen Ausgabe 90 November 2016 INTERNATIONAL Der Server CSF0 für die Orchestration ist in vier virtuelle Funktionsserver unterteilt, den CSF0.0 für die GTS Core Services, den OpenStack Controller CSF0.1, den OpenNSA CSF0.2 sowie den CSF0.3, auf dem Open- Stack Network (Neutron) läuft. Da die Provisionierung von virtuellen Maschinen im GTS auf OpenStack basiert, müssen mehrere OpenStack Komponenten installiert und konfiguriert werden (siehe Kasten). Alle CSF-SW-Komponenten, die auf den CSF0/1/2 laufen, können vom GÉANT-GTS übernommen werden. Die Standorte von DFN-GTS-PoP und DFN-GTS-CFS müssen colocated sein und werden am X-WiN-Kernnetzknoten in Erlangen liegen. Im DFN-GTS wird ein Corsa Switch für Open- Flow Testbeds eingesetzt, um es Benutzern zu ermöglichen ihre eigenen Flowspecs mit virtuellen Ports für ihre Testbedumgebung festzulegen, unabhängig von der physikalischen Portbelegung auf dem Switch. Das bedeutet, dass eine Benutzerinstanz mit virtuellen Ports auf dem Switch auf andere physikalische Ports umgezogen werden kann (z. B. bei Maintenance), ohne dass der Benutzer seine Flowspecs und seine Topologie verändern muss. Anbindung der Nutzer an den DFN-GTS-PoP Nutzer des DFN-GTS können den Service über eine Webseite auf dem CSF-Server erreichen und dort ihre Beschreibung für die gewünschte Netztopologie hochladen. Ist die Beschreibung syntaktisch korrekt und können die aufgelisteten Ressourcen reserviert werden, so bekommt man den Zugang zu seinen virtuellen Maschinen (VM) im Testbed über einen Konsolenlink, sobald die VMs vom Nutzer aktiviert wurden. Die Nutzer können so die virtuellen Maschinen einrichten und über ein Internet Access Gateway (IAGW) auch Software von außen in ihre Testbedumgebung. Dazu OpenStack Komponenten auf der DFN-CSF: Keystone: der OpenStack Authentifizierungs- und Authorisierungsservice regelt die interne Kontenzuordnung zwischen GTS und OpenStack internen Referenzen Nova: verwaltet die VMs in den PoPs Glance und Cinder: verwalten die Boot Images mit OS der VMs und ermöglichen Snapshots von laufenden Instanzen Neutron: wird in GTS dazu verwendet, einfache Konnektivität zwischen den VMs herzustellen Private VLAN 1 GE DFN-GTS-PoP 10 GE-Leitung nach Hamburg DataPlane: IP/MPLS im VPLS zwischen allen PE-Routern Juniper MX-104 (Data Plane Router, Provider-Edge-Router) Compute Nodes (3*Dell 530) Private VLAN m*1 GE Private VLAN 1 GE 1 GE n*1 GE OpenFlow-Switch (Corsa) Abbildung 1: Komponenten des DFN-GTS-PoP mit Managementsystem müssen sie einen VPN mit den VPN Informationen, welche sie bei der Projektregistrierung bereits festgelegt haben, anlegen. Juniper EX-4200 Rack Switch (Control Plane Switch) CSF0 Server (Dell 530) Private VLAN DFN-CSF 1 GE CSF0 Server (Dell 530) Private VLAN Private VLAN Nutzerzugang vom X-Win Public Internet 10 GE CSF0 Server (Dell 530) Private VLAN Die Abbildungen 2a, 2b und 2c zeigen die Nutzer-GUI bei der Reservierung und der Aktivierung von Ressourcen. In Abbildung 2a hat der Nutzer bereits eine Testbed-Topologie mit der Bezeichnung HamPrgBratriangle (ein Dreieck zwischen Hamburg, Prag und Bratsilava) in einem DSL-File beschrieben und die Datei über die Webseite hochgeladen. Durch die Betätigung des grünen Icons unter der Spalte Actions kann der Nutzer das Testbed reservieren. Mit dem roten Icon kann das Testbed wieder verworfen und alle Ressourcen komplett freigeben werden. In Abbildung 2b sieht der Nutzer nun in der Spalte mit Überschrift Status, dass sein Testbed reserviert wurde: Es wurden drei

27 INTERNATIONAL DFN Mitteilungen Ausgabe virtuelle Maschinen (Hosts) und drei Links reserviert (Spalte Type ). Die Ressourcen- IDs, die der Ressourcen Manager vergeben hat, sind nun unter der Spalte Provider ID sichtbar. Dort können die jeweiligen Ressourcen auch angeklickt werden, um weitere Informationen und auch den Zugang zu den virtuellen Maschinen abzurufen. In der Spalte ID sieht der Benutzer die Bezeichnungen der Ressourcen, wie er sie selber im DSL Code festgelegt hat. Mit Betätigung des grünen Icons (rechte Spalte Actions ) kann der Nutzer nun die reservierten Ressourcen aktivieren. Abbildung 2a: Die Benutzeroberfläche zur Reservierung eines Testbeds HamPrgBratriangle. In Abbildung 2c sind alle Ressourcen aktiviert (siehe Spalte Status ) und können mit Betätigung des gelben Icons auch wieder deaktiviert werden. Die Ressourcen bleiben dem Benutzer nach einer Deaktivierung aber noch erhalten (d. h. die Ressourcen gehen wieder über in den Zustand reserviert ). Erst eine Komplettfreigabe durch Betätigung des roten Release-Icons stellt die Ressourcen wieder für andere Nutzer zur Verfügung. Abbildung 2b: Die Benutzeroberfläche zur Aktivierung eines Testbeds HamPrgBratriangle. Sobald der Nutzer seinen VPN eingerichtet hat (siehe Abbildung 2d), kann er mit Hilfe eines File Transfer Programmes (z. B. WinSCP oder PuTTY) Software für seinen Host im Testbed hochladen und damit arbeiten. Abbildung 2c: Die Benutzeroberfläche nach der Aktivierung der Ressourcen. Falls ein Nutzer ein externes Labor oder Teile von Projekteinrichtungen mit seiner Testumgebung verbinden möchte, so steht ihm ein External Domain Interface zur Verfügung. Damit kann bereits im DSL Code der Anbindungspunkt nach außen beschrieben werden. Die Anbindung vom DFN-GTS an eine Partnereinrichtung muss jedoch derzeit noch vom DFN NOC manuell geschaltet werden. In der Praxis hat sich gezeigt, dass diese Möglichkeit besonders auch für Demos auf Konferenzen und Tagungen interessant ist, weil der Tagungsort somit leicht in bereits bestehende Testumgebungen mit eingeschlossen und angebunden werden kann. Vor- Abbildung 2d: VPN Informationen findet der Benutzer unter dem blauen Icon i neben dem Projektnamen.

28 28 DFN Mitteilungen Ausgabe 90 November 2016 INTERNATIONAL References Susanne Naegele- Jackson, Jerry Sobieski, Michal Hazlinski, Jakub Gutkowski, Creating Automated Wide-Area Virtual Networks with GTS - Overview and Future Developments, accepted for publication at the 8th IEEE International Conference on Cloud Computing Technology and Science, NetCloud 2016, Luxembourg, Dec 12-15, Foto cuiphoto / istockphoto geführt wurde dies bereits mit Demos über GÉANT-GTS auf der Super Computing Conference SC14 in New Orleans, auf der ONS (Open Networking Summit) 2015 in San Jose und der ONS 2016 in Santa Clara. Mit dieser Funktionalität dient der GTS-Service als Software Defined Exchange (SDX), also als software-basierte Vermittlungszentrale, die zusätzliche Netzressourcen zur Verfügung stellen kann. Soll die lokale Umgebung Teil eines virtuellen Testbeds werden, so kann der Nutzer sich auf der Ebene der DataPlane auf verschiedenen Wegen in das DFN-GTS einkoppeln: über den normalen DFN-IP-Dienst durch den Aufbau virtueller Verbindungen durch feste Kanäle (bei besonders hohem Bedarf) Der DFN-GTS-PoP wird technisch alle drei Möglichkeiten unterstützen. Die Entscheidung über die Art der Anbindung liegt beim Nutzer. Zusammenfassung In GÉANT ist ein Testbed-Service basierend auf dem SDN-Konzept aufgebaut worden, der europäischen Nutzern eine stabile Experimentierumgebung zur Verfügung stellt. Seine Architektur erlaubt auch die (statische) Einbindung andersartiger Netzinseln, sodass der GÉANT-GTS als Software Defined Exchange (SDX), also als software-basierte Vermittlungszentrale, arbeiten kann. Im DFN (und in anderen NRENs) wird eine vergleichbare GTS-Umgebung aufgebaut, die zusammen mit dem GÉANT-GTS eine GTS-Multi-Domain-Umgebung bilden werden. Neben dem Angebot von schnell und umfangreich konfigurierbaren Testbedumgebungen ist die SDN-Technologie auch für den zukünftigen Betriebseinsatz in den operativen Netzen von großem Interesse. Der DFN-Verein kann mit dem GTS-Testbed-Angebot die Stabilität, den Funktionsumfang und das Management dieser Netztechnik in der Praxis kennenlernen, um später damit einfach und schnell konfigurierbare Nutzernetze oder generell virtuelle Netzumgebungen für den betrieblichen Einsatz anbieten zu können. Schon im Cloud-Computing hat sich die Mächtigkeit virtueller Dienstangebote gezeigt und die (vollständige) Virtualisierung von Datennetzdiensten wird dem Nutzer aufgrund der einfachen Handhabung zukünftig völlig neue Anwendungsmöglichkeiten eröffnen. M

29 INTERNATIONAL DFN Mitteilungen Ausgabe European Cloud Initiative: IaaS-Services für Wissenschaft und Forschung 36 europäische Forschungsnetze können ihren Einrichtungen demnächst kommerzielle IaaS-Cloud-Dienste zu verbesserten Konditionen anbieten. Text: Michael Röder, Dr. Jakob Tendel (DFN-Verein) In Zusammenarbeit mit den europäischen Wissenschaftsnetzen hat GÉANT einen wichtigen Meilenstein erreicht, um die European Cloud Initiative der Europäischen Kommission voranzubringen. Mit dem durchgeführten Vergabeverfahren liefern GÉANT und einige nationale Wissenschaftsnetze einen weiteren Beitrag zur Bildung der European Open Science Cloud. Mithilfe kommerzieller IaaS-Lösungen werden Einrichtungen in die Lage versetzt, ihre Serverkapazitäten kurzfristig und flexibel um virtuelle Maschinen bedarfsgerecht zu erweitern. Ähnliche Vergabeverfahren werden derzeit auch von anderen EU-geförderten Projekten wie Helix Nebula Science Cloud (HNSciCloud) oder EGI durchgeführt bzw. konzipiert. Ziel des Vergabeverfahrens sind Rahmenvereinbarungen mit Anbietern im Sinne des Artikels 33 der europäischen Richtlinie 2014/24/EU, unter denen Anwendereinrichtungen, vermittelt durch ihr nationales Wissenschaftsnetz, die IaaS-Dienste beziehen können. Der Abruf der Leistung ist dabei während der gesamten Vertragslaufzeit möglich, aber nicht verpflichtend. Bestandteil der Ausschreibung ist die Sicherung günstiger Konditionen für künftige Abnehmer, wie bspw.: Datenverarbeitung in Übereinstimmung mit der EU Datenschutz-Grundverordnung zusätzliche Mengenrabatte, teils europaweit über alle Abnehmer aggregiert geeignete Abrechnungsverfahren (z. B. quartalsweise Rechnung, Vorauszahlung) statt Kreditkartenzahlung Login mittels akademischer Federated Identity (DFN-AAI, edugain) Erlassung der Daten-Rückführungsgebühr Um die maximale Anzahl an Bietern in dem Verfahren zuzulassen, wurde die Möglichkeit eröffnet, Angebote national zu beschränken. Das Vergabeverfahren ist so europaweit auf ein großes Interesse gestoßen. Mehr als 100 Firmen haben ihr Interesse signalisiert, 26 davon haben Angebote eingereicht. Eine Vielzahl der Bieter hat dabei ihr Angebot auf ein oder mehrere Länder begrenzt, so dass nicht alle Angebote für alle Wissenschaftsnetze verfügbar sind. Für jedes teilnehmende Wissenschaftsnetz liegt jedoch mindestens ein Angebot vor. Die folgenden Anbieter haben sich durch ihre erfolgreiche Teilnahme am Vergabeverfahren dafür qualifiziert, in die Abstimmung über Rahmenvereinbarungen einzutreten: Amazon Web Services durch die Reseller: Arcus, Comparex, Telecom Italia CloudSigma Dimension Data Interoute ItSoft KPN Lattelecom Microsoft durch die Reseller: Atea, Cacttus, Comparex, Dom Daniel, Infosoft, Micromail, Nextsense, Novebase, SoftwareOne, Span und Ymens NTT Europe Telecom Italia T-Systems Vancis Nachdem die Dienstmerkmale und Konditionen durch die verbindlichen Angebote feststehen, werden nun zwischen GÉANT und den Anbietern die Rahmenvereinbarungen abgestimmt. Diese basieren auf einer gemeinsamen Vorlage und haben nach Inkrafttreten eine Gültigkeit von vier Jahren. Nächste Schritte: Verbreitung und Anwendung Sobald für Deutschland verfügbare Rahmenvereinbarungen vorliegen, wird der DFN-Verein die angebotenen Dienste prüfen und mit seinen Teilnehmern ein Verfahren zur Bereitstellung und Nutzung im Rahmen der DFN-Cloud entwickeln. Der DFN- Verein plant hierzu einen Workshop Anfang Im nächsten Schritt entwerfen GÉANT und die NRENs gemeinsam Informationsmaterial, um teilnehmende Einrichtungen künftig dabei zu unterstützen, die IaaS-Dienste für ihre Endanwender bereitzustellen. In diesem Zusammenhang sind ebenfalls Workshops, sowohl online als auch vor Ort, geplant. Der DFN-Verein wird seine Teilnehmer in Zusammenarbeit mit GÉANT über den weiteren Verlauf der Dienstbereitstellung informieren. M

30 30 DFN Mitteilungen Ausgabe 90 November 2016 INTERNATIONAL Congratulations and thanks to the NREN community! 13 June 2016 marks the 30th year that the research and education networking community in Europe has been formally collaborating together through a membership association now known as GÉANT. As this date coincides with day one of this year s networking conference, TNC16, what better than to highlight this milestone during the event and invite the community to suggest how our collaboration should develop in future. Text: Laura Durnford (GÉANT) Foto oatawa / istockphoto

31 INTERNATIONAL DFN Mitteilungen Ausgabe Towards the end of May, some visitors arrived in the GÉANT Amsterdam office. Camille Paloque-Berges (Conservatoire national des arts et métiers, Paris) and Gerard Alberts (University of Amsterdam) are historians who hope to produce an academic study of the early days of computer networking in Europe. Exploring the storeroom archive boxes, they discovered a rich trove of documents dating back to the establishment of the European R&E networking association in 1986, when it was known as RARE (Réseaux Associés pour la Recherche Européenne). Peter Linington (JANET), Klaus Ullmann (DFN), Hans Rosenberg (Utrecht University) and Kees Neggers (SURF) meet the notary on 13 June 1986 Helping to identify the documents and recall key information was Kees Neggers, former Managing Director of the Dutch NREN SURFnet. Thirty years ago he was one of four R&E networking community members who signed RARE into existence. Networks are built by people for people and it s essential they can meet, talk and cooperate together to produce anything on an international level: from the beginning that was a reason to start RARE. When RARE was started, Europe was divided by the iron curtain and the association s statutes defined who could be a member, with fewer than 20 countries named. There was no internet, which made it difficult for organisations to communicate. Although the internet protocol existed, the networks that could support it did not. The protocol started to be used locally within the Netherlands, where the nucleus of the European backbone and various relevant organisations had been beginning to form. Once IP (Internet Protocol) became the dominant protocol, the RIPE (Réseaux IP Européens) Network Coordination Centre was created in 1992 and housed by RARE, later to be incorporated as RIPE NCC. In the first few years of RARE, the main focus was the COSINE (Co-operation for Open Systems Interconnection Networking in Europe) project, which aimed to create an international OSI-based network infrastructure. In its specification phase, the project funding allowed RARE to bring the European community together really for the first time. In parallel, the existing networks within Europe were able to share a common X25 infrastructure, managed by the project. A community task force was established to define an operational unit to run the international network services, which ultimately led to the formation of DANTE. In October 1994, RARE merged with EARN (European Academic and Research Network) and moved on as TERENA (Trans-European Research and Education Networking Association). In October 2014, TERENA and DAN- TE joined forces to become GÉANT. Throughout all these changes, Kees Neggers played various leading roles. As an engineer by background, and being on all the boards and meeting policy makers, funders etc., I could be a link between those two worlds to ensure that what was technically possible was the basis upon which to develop workable visions for the future. But of course I have never worked alone; always in collaboration with other people with shared visions and interests. And the most important aspect of RARE/TERE- NA/GÉANT is to maintain the community collaboration. With this rich personal history in the story of European R&E networking, it is perhaps no surprise that Kees was invited to be half of a pair of keynote speakers in the #GEANT30 GÉANT invites you to help celebrate this long and productive relationship by sharing your perspectives on the past and your ideas for the future R&E networking collaboration. Use the hashtag #GEANT30 to post your stories and suggestions on Twitter Facebook Or blog about it on geant.org (login at the bottom of page, add text and a featured image, save draft) Or your message to and we will share it with the community for you. Later in the year, all input will be passed on to the GÉANT General Assembly of member organisations for their consideration. To help celebrate the community collaboration anniversary, GÉANT invited NRENs to use its exhibition booth to highlight their successes and activities. Visit the booth this week to meet them and GÉANT staff! TNC16 opening plenary session, alongside the GÉANT CEO, Steve Cotter. Set up as a two-way Q&A and with audience participation, the idea was to see what in our history applies to today and sketch a possible future for the community collaboration and GÉANT s role in it. We want to stimulate ideas and make people enthusiastic, and willing to go and experiment. The world is still dynamic; by learning from the past we see that the only way forward is to collaborate, to talk and listen - to each other and especially to the user community we need to serve. M

32 32 DFN Mitteilungen Ausgabe 90 November 2016 INTERNATIONAL Kurzmeldungen Text: Dr. Leonie Schäfer (DFN-Verein) Erste Eastern Partnership E-Infrastructure Conference EaPEC 16 In Tiflis, Georgien, fand Anfang Oktober EaPEC 16, die erste Konferenz zu e-infrastructure und Open Science in den Ländern der östlichen Partnerschaft der EU, statt. EaPEC 16 wurde durch das EU-Project EaPConnect organisiert ( eu). Zu den EaP-Ländern (Eastern Partnership) zählen die östlichen Anrainerstaaten der EU: Weißrussland, Moldawien, Ukraine sowie die Kaukasus-Region mit den Ländern Armenien, Aserbaidschan und Georgien. Der DFN-Verein als assoziierter Partner des EaPConnect-Projekts war als Co-Organisator maßgeblich an der Vorbereitung und Durchführung der Konferenz beteiligt. Die Konferenz wurde mit einem großen Aufgebot an Honoratioren aus Regierung und Politik eröffnet, darunter der Minister für Wissenschaft und Forschung Georgiens Aleksandre Jejelava. Die Ansprachen von Lawrence Meredith (Director, DG NEAR) und Jean-Luc Dorel (Project Officer, DG Connect) wurden per Videokonferenz live von der EU-Kommission aus Brüssel übertragen. Das zweitägige Konferenzprogramm bot einen Blick auf die europäische Forschungslandschaft im Bereich e-infrastructure und hatte zum Ziel, eine Plattform für den Austausch zwischen Forschern und Wissenschaftlern aus Europa und den Ländern der östlichen Partnerschaft zu bilden. Ungefähr 100 Teilnehmer registrierten sich für die Teilnahme an der Konferenz, ca. 60 % der Teilnehmer kamen aus EaP-Ländern. Den Höhepunkt des ersten Konferenztages bildete der Keynote-Vortrag von Prof. Pleiter, Forschungszentrum Jülich, zum Human Brain Project. Prof. Pleiter gab einen Überblick über die Aufgaben und Ziele des Projekts und erläuterte detailliert dessen Herausforderungen im Hinblick auf Big Data. Weitere Themenblöcke des ersten Konferenztages waren e-infrastructure for Open Science mit Beiträgen von Dr. Leonie Schäfer (DFN) zum europäischen Wissenschaftsnetz GÉANT, Per Öster (CSC, Finnland) zu EUDAT und Iryna Kuchma (EIFL) zu OpenAIRE. Auch gab es Beiträge aus dem Umfeld des CERN zum Thema High-Performance-Computing. Der Tag schloss mit einer Panel-Diskussion Möglichkeiten und Herausforderungen in den EaPConnect Partnerländern. Der zweite Konferenztag bot unterschiedliche thematische Schwerpunkte und setzte vor allem auf Beiträge aus den EaP-Partnerländern. Das Themenspektrum reichte von Beiträgen zu ehealth über Erde und Umwelt, Astrophysik bis zu High-Performance-Computing. Ziel der einzelnen Sessions war es, eine Diskussion zwischen den Teilnehmern aus Europa und den EaP-Ländern anzuregen und den wissenschaftlichen Austausch zu fördern. Zu den Beiträgen deutscher Teilnehmer zählte ein Vortrag von Dr. Andreas Küppers vom Geoforschungs Zentrum in Potsdam (GFZ) zu Earth & Environment. Dr. Jochen Klar vom Leibniz-Institut für Astrophysik in Potsdam (AIP) stellte die Herausforderungen der astro-physikalischen Forschung in EaPEC'16 in Tiflis, Georgien Foto Giorgi Tsiklauri

33 INTERNATIONAL DFN Mitteilungen Ausgabe Bezug auf Forschungsdaten-Management dar und bot einen generellen Überblick über die Forschung am AIP. Einen Höhepunkt des zweiten Konferenz- Tages bildete die Verleihung des Enlighten Your Research Awards in EaP Awards). Die Ausschreibung des Awards erfolgte in Anlehnung an den erfolgreichen Wettbewerb EYR Global (für Details siehe net). Die Ausschreibung hatte zum Ziel, Forscher und Wissenschaftler auf die Leistungen ihres Forschungsnetzwerkes (NRENs) aufmerksam zu machen und die Zusammenarbeit von Wissenschaftlern und Forschern über die EAP-Landesgrenzen hinweg zu fördern. Erfolgreichen Antragstellern winkte die Begleitung ihres Projekts durch die beteiligten NRENs und die bevorzugte Bereitstellung von Ressourcen. Die Ausschreibung des Awards fand zum ersten Mal statt. Der Award ging in diesem Jahr an Teilnehmer aus Armenien und aus Weißrussland. Den Ausklang der Konferenz bildete ein Schlusswort von Ramaz Kvatadze (GRE- NA), dem lokalen Gastgeber und Maria Minaricova (EaPConnect/GÉANT) als Pro jekt- Koordinatorin. Die Veranstaltung wurde von den Teilnehmern sehr positiv aufgenommen. Begrüßt wurden vor allem die Präsentationen der europäischen Flaggschiff-Projekte wie HBP, GÉANT, OpenAIRE und EUDAT. Wissenschaftlern und Forschern aus den EaP-Ländern fehlt oftmals aufgrund mangelnder Reisemittel der Zugang zu diesen Projekten und, trotz Internet, das Wissen über aktuelle Forschungsinitiativen aus dem EU-Raum. EaPEC als erste Konferenz dieser Art wird in jährlichem Rhythmus an wechselnden Orten in einem der EaP-Partnerländer stattfinden. Ziel für die Folgejahre ist es, neben der weiteren Förderung des Austausches zwischen Wissenschaftlern und Forschern aus Europa und den EaP-Ländern, auch die europäische Forschungslandschaft für Wissenschaftler und Forscher durch Vorträge und Präsentationen transparenter zu gestalten. Außerdem sollen durch die Konferenz Entscheidungsträger aus den lokalen Universitäten und Forschungseinrichtungen direkt angesprochen und auf Leistungen und Dienste ihres jeweiligen Forschungsnetzes aufmerksam gemacht werden. M GeRDI wird Modell für vernetzte Forschungsdaten-Infrastruktur Das von der Deutschen Forschungsgemeinschaft (DFG) geförderte Projekt GeRDI (Generic Research Data Infrastructure) ist ein deutscher Beitrag zur European Open Science Cloud und hat das Ziel, existierende und zukünftige Forschungsdatenspeicher virtuell zu verknüpfen. So können Wissenschaftler in ganz Deutschland disziplinübergreifend Forschungsdaten recherchieren und nachnutzen. Der DFN-Verein ist Teil dieses Projekts und koordiniert dabei die Arbeiten zu den Bereichen Trainingskonzept und Zukünftiges Betriebsmodell sowie gemeinsam mit dem Koordinator des Projekts, dem ZBW-Leibniz-Informationszentrum Wirtschaft, den Bereich Governance, Projektmanagement und Dissemination. Weitere Projektpartner sind die Christian-Albrechts-Universität zu Kiel, die Technische Universität Dresden sowie das Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften. Das Projekt wird in der ersten Projektphase mit ca. 3 Millionen Euro gefördert. Die Laufzeit des Projekts beträgt 3 Jahre, Projektbeginn war der 01. November M Vertragsunterzeichnung für GN4-2 GÉANT steht für das pan-europäische Wissenschaftsnetz, welches die 37 nationalen Wissenschaftsnetze in ganz Europa miteinander verbindet. Hinter diesem Namen verbirgt sich auch die GÉANT Association, welche das Netz betreibt, ihren Mitgliedern eine Vielzahl von Diensten bietet und eine Reihe von EU-geförderten Projekten koordiniert. Das aktuelle Projekt GN4-2, welches u. a. die Finanzierung von Betrieb und Ausbau des Netzes beinhaltet, startete bereits im Mai 2016 mit einer Laufzeit von 32 Monaten. Der Antrag für GN4-2 wurde, nach der Genehmigung durch die Mitgliederversammlung der GÉANT Association, bereits Ende März der Kommission vorgelegt und von Experten positiv begutachtet. Im nächsten Schritt wurde nun der Antrag in den sogenannten Technical Annex des Projekts umgewandelt. Der Technical Annex ist das Pflichtenheft, welches den Zeitrahmen und die gesetzten Aufgaben innerhalb von GN4-2 beschreibt. Die Unterzeichnung des Vertrags und darauffolgend die Finanzierung der ersten Phase des Projekts durch die EU-Kommission sind nun erfolgt. Der Fortführung der erfolgreichen GÉANT-Projekte steht somit nichts mehr im Wege. M

34 34 DFN Mitteilungen Ausgabe 90 November 2016 CAMPUS VoIP-Centrex in der Praxis Ein Erfahrungsbericht DFNFernsprechen ist nun auch in Lörrach kein unbekannter Begriff mehr. Am 30. Juni 2016 startete die Duale Hochschule Baden-Württemberg in Lörrach mit einer neuen Telefonanlage auf Basis von VoIP-Centrex. In einem Interview berichtet Claus-Peter Donner, Leiter IT.Services an der DHBW Lörrach und verantwortlich für die Umstellung der Telefonanlage, von seinen Erfahrungen. Text: Claus-Peter Donner (Duale Hochschule Baden-Württemberg Lörrach) Endgerät einer Telefonanlage der VEB Messelektronik Berlin (DDR); Foto Heiko Küverling / Adobe Stock

35 CAMPUS DFN Mitteilungen Ausgabe Wie kam es zur Umstellung der Telefonanlage und zur Entscheidung für das Konzept der VoIP-Centrex-Technologie? Das Projekt war seit längerem geplant, da die an unserer Hochschule eingesetzte Telefonanlage teilweise aus dem Jahr 1998 stammte und damit nicht mehr dem heutigen Stand der Technik entsprach. Insbesondere die Wartung war zum Schluss mit unverhältnismäßig hohen Kosten verbunden. Der Ersatz der Telefonanlage erfolgte über speziell dafür genehmigte Mittel des Finanzministeriums. Anfang 2016 führten wir wie bei so großen Projekten üblich zunächst eine Machbarkeitsanalyse durch. Unterstützt durch ein lokales Systemhaus lernten wir die für uns neue Welt der VoIP-Telefonie und die aktuelle Anbietersituation am Telefonmarkt kennen. Mittels einer eigenen IST-Analyse konnten wir daraufhin recht genau den Bedarf inkl. dem zu erwartenden Mengengerüst ab - schätzen. In Zukunft würden wir keine eigene TK-Anlage mehr betreiben Mit Blick auf das weitere Vorgehen erinnerte ich mich an einen Artikel zum DFNFernsprechen aus DFN Mitteilungen Nr. 87 aus dem Jahr 2014, der mich schon damals sehr interessiert hatte. Wir prüften unseren Zugang zum Wissenschaftsnetz und nahmen ersten Kontakt mit Christian Meyer vom DFN-Verein auf. Mit seinen Unterlagen und den Ergebnissen der Machbarkeitsanalyse erstellten wir im März einen Vergleich, der deutlich die Richtung aufzeigte: In Zukunft würden wir keine eigene TK-Anlage mehr betreiben, sondern das Konzept der VoIP-Centrex-Technologie nutzen also nur die Telefonapparate kaufen und den Rest einem Spezialisten überlassen. Was waren aus Ihrer Sicht Gründe für diese Lösung? Der große Charme ist schnell erklärt und beinhaltet verschiedene Aspekte: Es ist jederzeit möglich, auf Bedarfsveränderungen der Hochschule zu reagieren. Fehlentscheidungen hinsichtlich der Dimensionierung einer eigenbetriebenen Anlage entfallen. Die regelmäßige Aktualisierung der Software und Anlagenteile für die Telefonanlage muss von IT.Services nicht noch zusätzlich neben dem Tagesgeschäft übernommen werden. Das i-tüpfelchen aber sind die provisionierten Endgeräte. Sie sind nach dem Kauf bereits in der Cloud-Telefonanlage eingetragen, so dass künftig außer der Zuweisung der Nebenstelle keine weitere Arbeit erforderlich sein wird. Welche Meilensteine hatten Sie sich auf der technischen Seite für das Projekt gesetzt? Nachdem Anfang März durch das Rektorat die Entscheidung für DFNFernsprechen gefallen war, mussten wir zunächst Gespräche mit dem Amt für Vermögen und Bau führen. Anfang April erging dann der Auftrag an den DFN- Verein. Das Zusammenspiel unseres Vertragspartners DFN mit T-Systems und der NFON AG als ausführende Firmen funktionierte sehr gut. Die NFON AG leistete vorbildliche Arbeit und koordinierte hervorragend die Anforderungen im Hintergrund mit allen Partnern. Wir mussten allein 360 Netzwerkdosen austauschen Im nächsten Schritt testeten wir die Telefone verschiedener Hersteller intensiv auf Herz und Nieren. Am 18. April starteten wir mit den ersten 20 Key-Usern eine 4-wöchige Proof-of-Concept-Phase. Drei Wochen später bestellten wir insgesamt 215 VoIP-Telefone der Marke Yealink, um alle Mitarbeiter sowie die Labor- und einzelne Technikräume mit den neuen Geräten ausstatten zu können. Zeitgleich begannen wir ab Mai mit dem Umbau der erforderlichen Netzinfrastruktur. Wir mussten allein 360 Netzwerkdosen austauschen, zwei Netzwerkswitche ersetzen und verschiedene Sonderlösungen z. B. für unsere Aufzüge erarbeiten. Wie wurde die Telefonanlage umgestellt? Haben Sie sie zu einem konkreten Termin oder schrittweise umgestellt? Zusammen mit der NFON AG entwickelten wir ein Migrationskonzept, welches die gleichzeitige Nutzung der alten und neuen Telefone beinhaltete. Dazu stellte uns T-Systems während der Testphase einen zusätzlichen Bereich von 50 Lörracher Ortsnummern bereit. Durch dieses Vorgehen und mit Unterstützung weiterer Proofof-Concept Mitarbeiter konnten wir die Anlage intensiv testen und optimieren. Zu den spezifischen Bedarfen führte einer unserer Auszubildenden eine Umfrage bei allen Mitarbeitern durch, um bereits im Vorfeld die wichtigsten Einstellungen vornehmen zu können. Hierzu gehörten neben der Konfiguration der Nebenstellen auch die Einrichtung von virtuellen Konferenzräumen sowie Sammel-, Pickup- und

36 36 DFN Mitteilungen Ausgabe 90 November 2016 CAMPUS Skill-Gruppen. Weiterhin mussten wir abklären, wie künftig Faxe empfangen und gesendet werden und die Frankiermaschine anzuschließen ist. Der Stichtag für die Umstellung war der 30. Juni Am Morgen schaltete T-Systems auf die Cloud-Anlage der NFON AG um. Durch die Anstrengungen im Vorfeld hatten wir auch die mit einem Fragezeichen besetzten Punkte rechtzeitig lösen können. Die Umstellung verlief reibungslos. Welche Informationen haben Sie für die Mitarbeiter bereitgestellt? Wir haben über das Projekt regelmäßig informiert, aber auch mit einem unterhaltsamen Video die Mitarbeiter am Werdegang teilhaben lassen und ihnen gezeigt, dass eine technische Umstellung nicht immer bierernst verlaufen muss. Daneben boten wir Schulungen an. Über 90 Prozent unserer Mitarbeiter nahmen daran teil mit viel positiver Resonanz! Kurz vor dem Stichtag habe ich gemeinsam mit meinem Team das Projekt noch einmal persönlich im Rat der Professoren und beim Campus Briefing vorgestellt. Ich hatte das Gefühl, in eine andere Welt einzutauchen Damit sich die Kolleginnen und Kollegen mit der neuen Telefonanlage nun nicht allein gelassen fühlen, haben wir einen Spickzettel für den Schreibtisch erstellt. Außerdem können die Mitarbeiter jederzeit detaillierte Informationen im Intranet der DHBW Lörrach nachlesen und -hören. Und natürlich hilft auch unser Helpdesk bei Fragen gerne weiter. Gibt es etwas, was Sie beim nächsten Mal anders machen würden? Also eigentlich bin ich ganz zufrieden mit dem Projektverlauf. Ich denke, ich würde es beim nächsten Mal wieder so machen. Den ambitionierten Umstellungstermin am 30. Juni konnten wir punktgenau erreichen. Wir sind stolz darauf, das gesamte Projekt bis zum ersten großen Meilenstein ohne zusätzlichen externen Partner umgesetzt zu haben. Meines Wissens sind wir zumindest in Baden-Württemberg die erste Hochschule, die DFNFernsprechen komplett für alle Mitarbeiter eingeführt hat. Mit welchen Herausforderungen hatten Sie es im Besonderen zu tun? Als langjähriger IT-Leiter hatte ich zu Beginn das Gefühl, in eine andere Welt einzutauchen und eine neue Sprache erlernen zu müssen. Wenn die Zweidraht-Telefonie in die Welt der Netzwerktechnik überwechselt, müssen die Mitarbeiter im Rechenzentrum in Sachen Telefon- Vokabular einiges nachholen. Außerdem gestaltete die Vielzahl der beteiligten Stakeholder das Projekt komplex. So mussten wir Gespräche mit dem Amt für Vermögen und Bau in Freiburg, mit unserem Rektorat, mit dem örtlichen Personalrat und unserem Datenschutzbeauftragten führen. Neben der Installation der Technik kamen weitere Aufgaben auf uns zu, wie die Erweiterung und Portierung der Rufnummern und die Erarbeitung notwendiger Dienstvereinbarungen und Verfahrensverzeichnisse. Glücklicherweise gab es keinen Gegenwind, sondern alle Projektbeteiligten wirkten intensiv am positiven Vorankommen des Projektes mit. Dafür bin ich sehr dankbar. Was waren aus Ihrer Sicht die wichtigsten Einflussfaktoren für den Erfolg des Projektes? Ich denke, das Projekt wäre ohne die sehr guten Rahmenbedingungen des DFN-Vereins sowie die enge und gute Zusammenarbeit mit dem Rektorat und allen Projektbeteiligten in dieser Form nicht möglich gewesen. Innerhalb meines Teams erlebte ich eine hohe intrinsische Motivation, welche ich nicht zuletzt auf die Testphase zurückführe, während der wir uns intensiv mit der neuen Technologie auseinandersetzten und alle nur denkbaren Fälle konfigurieren und testen konnten. Die zahlreichen Fragen und Probleme, die während des Projektes natürlich entstanden, erörterten wir gemeinsam mit der NFON AG in 14-tägig anberaumten Telefonkonferenzen. Wir hatten immer das Gefühl, gehört und auch ernst genommen zu werden. Bei Problemen ließ die Lösung nie lange auf sich warten. Das persönliche Engagement seitens der NFON AG hat mich sehr beeindruckt. Würden Sie das Projekt nun als abgeschlossen bezeichnen? Frei nach dem Motto Nach dem Spiel ist vor dem Spiel geht es für uns weiter. Auf Grund der Kürze der Zeit für die Umstellung mussten wir uns zunächst auf die Basis- Funktionen der NFON-Anlage konzentrieren. Im nächsten Schritt werden wir die Komfortfunktionen für unsere mobilen Mitarbeiter und Professoren ausbauen. Dazu gehören das Softphone und CTI und zwar möglichst in der Premiumausführung. Hier wollen wir auch weiterhin mit der NFON AG zusammenarbeiten. M

37 CAMPUS DFN Mitteilungen Ausgabe VoIP-Centrex Der DFN-Verein bietet mit dem Dienst VoIP-Centrex die Möglichkeit, alle Funktionen einer VoIP- TK-Anlage zu nutzen, ohne selbst eine Anlage dafür betreiben zu müssen. Teilnehmer benötigen hierfür lediglich entsprechende VoIP-Endgeräte. Diese Endgeräte benötigen einen Zugang zum Wissenschaftsnetz und werden bei Erstnutzung automatisch provisioniert, indem die Geräte an der VoIP- Centrex-Plattform registriert und aktiviert werden. Jedes angeschlossene Endgerät wird als ein aktiver Port gezählt und in einem monatlichen Portpreis abgerechnet. Wie in Abbildung 1 dargestellt, wird die VoIP-Centrex-Plattform per SIP-Trunking mit der zentralen VoIP-Plattform verbunden, um die Konnektivität innerhalb des Forschungsnetzes als auch in die öffentlichen Telefonnetze sicherzustellen. Dieser SIP- Trunk ist gesichert, alle Verbindungen werden TLS/ SRTP verschlüsselt. Auch die Verbindung der Endgeräte mit der VoIP-Centrex-Plattform erfolgt mit dieser Verschlüsselung. Die Infrastruktur der VoIP-Centrex-Plattform wird redundant an zwei Standorten betrieben und ist über zwei Kernnetzknoten an das Wissenschaftsnetz angebunden. Die Verwaltung der Endgeräte erfolgt über eine Webschnittstelle. Hier können alle Endgeräte und Nebenstellen administriert, neue Endgeräte eingetragen oder alte ausgetragen, Rufnummern zugewiesen und zentrale Adressbücher gepflegt werden. Jede Nebenstelle kann zusätzlich noch durch den entsprechenden Nutzer verwaltet werden, um beispielsweise Voic einzurichten, Rufumleitungen zu konfigurieren oder nutzerspezifische Adressbücher zu pflegen. teilnehmende Einrichtung VoIP-Centrex IP IP IP X-WiN SIP Trunk teilnehmende Einrichtung Breakout IP SIP Trunk Öffentliche Telefonnetze IP IP VoIP-TK- Anlage VoIP-Plattform Breakin Abbildung 1: Teilnehmende Einrichtungen müssen keine VoIP-TK-Anlage betreiben. Die Endgeräte der am VoIP-Centrex-Dienst teilnehmenden Einrichtungen verbinden sich direkt mit der VoIP-Centrex-Plattform, welche wiederum über einen SIP-Trunk mit dem öffentlichen Telefonnetz verbunden ist.

38 38 DFN Mitteilungen Ausgabe 90 November 2016 SICHERHEIT

39 SICHERHEIT DFN Mitteilungen Ausgabe Sicherheit DoS-Schutz 2.0 Der Regelbetrieb beginnt von Ralf Gröper NeMo: Die Technik hinter der DoS-Abwehrplattform im X-WiN von Michael Krooß eduroam Konfigurieren aber richtig von Ralf Paffrath Sicherheit aktuell von Ralf Gröper

40 40 DFN Mitteilungen Ausgabe 90 November 2016 SICHERHEIT DoS-Schutz 2.0 Der Regelbetrieb beginnt Angriffe auf die Verfügbarkeit von Netzdiensten (Denial of Service, kurz DoS) haben in den letzten Jahren zugenommen und sind zu einer akuten Bedrohung für den reibungslosen Betrieb in Rechenzentren und IT-Abteilungen geworden. Besonders die volumenbasierten Angriffe stellen Netzwerkprovider wie den DFN-Verein vor neue Herausforderungen, da diese Angriffe häufig aufgrund von überlasteten Zugangsleitungen nicht vom Betroffenen selber abgewehrt werden können. Der DFN-Verein hat daher eine DoS-Abwehrplattform im X-WiN aufgebaut, um sowohl die X-WiN-Infrastruktur selber als auch betroffene Ressourcen der Teilnehmer effektiv schützen zu können. Text: Dr. Ralf Gröper (DFN-Verein) Foto FooTToo / istockphoto

41 SICHERHEIT DFN Mitteilungen Ausgabe Einleitung Der DFN-Verein hilft den Teilnehmern am X-WiN mit vielen Diensten sowohl ihre Netzanbindung selbst, als auch die über das Netz bereitgestellten Dienste, vor Angriffen oder Fehlfunktionen proaktiv und reaktiv zu schützen. Das DFN-CERT verteilt Schwachstellenmeldungen, die dabei helfen, eingesetzte Software proaktiv immer auf einem möglichst aktuellen und fehlerfreien Stand zu halten. Darüber hinaus werden über die automatischen Warnmeldungen erkannte Auffälligkeiten zweimal werktäglich an die Teilnehmer gemeldet, so dass diese schnellstmöglich, Maßnahmen zum eigenen Schutz, aber auch zum Schutz Dritter, einleiten können. Hierbei hilft das Incident Response Team des DFN-CERT bei Bedarf mit Rat und Tat weiter. Diese Kernmaßnahmen werden flankiert und unterstützt von weiteren sicherheitsrelevanten Diensten wie der DFN-PKI, DFN-AAI, eduroam, DFN- Mailsupport und einigen mehr. Schutz des Teilnehmers vor böswillig herbeigeführten Überlastsituationen Mit dem neuen DFN-Dienst DoS-Basisschutz kommt nun eine neue Komponente hinzu: Der Schutz des Teilnehmers vor böswillig herbeigeführten Überlastsituationen auf seinen Ressourcen, die dazu führen, dass diese Ressourcen ihre legitimen Aufgaben nicht mehr erfüllen können. Bekanntestes und häufigstes Beispiel hierfür sind volumenbasierte verteilte Angriffe auf die Verfügbarkeit (volumetric DDoS). Hierbei werden von bis zu hunderttausenden Absendern, zumeist mit Bots befallene Systeme, Datenpakete an den angegriffenen Dienst geschickt. Zunehmend spielen hierbei nicht nur befallene Arbeitsplatz-PCs eine Rolle, sondern auch Geräte aus der Kategorie Internet der Dinge (Internet of Things, IoT) und Kompontenen aus dem Bereich der Gebäudeautomation. Diese verfügen häufig über ein schlecht gesichertes und nicht per Abbildung 1: DFN-NeMo Sicherheitsupdates aktuell gehaltenes Betriebssystem sowie Standardpassworte, die bei Inbetriebnahme häufig nicht geändert werden. Prominentestes Beispiel sind hierfür derzeit IP-Überwachungskameras. Ein weiterer Angriffsvektor für UDP-basierte Angriffe sind sogenannte Amplification Attacken, bei denen schlecht konfigurierte Internetdienste, unter der Verwendung gefälschter Absender-IP-Adressen missbraucht werden (z. B. DNS und ntp). Diese Dienste senden im Vergleich zur Anfrage weitaus größere Antwortpakete an die gefälschte Absenderadresse und sorgen so für eine Vervielfachung der Stärke des Angriffs. Angriffe können sich gegen einen oder mehrere Teilnehmer am X-WiN richten, oder direkt auf die X-WiN-Infrastruktur. Darüber hinaus können auch Angriffe auf Teilnehmer bereits in der X-WiN-Infrastruktur zu Überlastsituationen führen. Zum Schutz vor derartigen Angriffen wurde in den letzten Jahren eine DoS-Erkennungs- und Abwehrplattform für das X-WiN entwickelt und eingeführt. Diese Plattform kann vom Network Operations Center des DFN-Vereins (DFN-NOC) sowohl zum Schutz der X-WiN- Infrastruktur als auch zum Schutz von Teilnehmer-Ressourcen eingesetzt werden. In beiden Fällen muss eine organisatorische und rechtliche Grundlage vorhanden sein, auf deren Basis technisch adäquate und rechtlich abgesicherte Maßnahmen eingeleitet werden können. Technischer Hintergrund Maßnahmen zur Abwehr von DoS-Angriffen beinhalten das Beenden bzw. Abschwächen der hervorgerufenen Überlastsituation durch das Verwerfen von illegitimen IP-Paketen. Die hierzu eingesetzte DoS-Abwehrplattform des DFN- Vereins besteht aus vier übergeordneten Komponenten: Datenerfassung: SNMP- und Netflowkollektoren Erkennung und Analyse: NeMo (Netzwerk Monitor) Grobfilterung: in allen acht Supercore-Routern Feinfilterung: virtuelle Maschinen in allen acht Supercore-Routern Die SNMP- und Netflowkollektoren sammeln Daten von den Netzkomponenten im X-WiN. Die SNMP-Daten beinhalten in erster Linie Informationen zum Betriebszustand und

42 42 DFN Mitteilungen Ausgabe 90 November 2016 SICHERHEIT Lastsituationen auf X-WiN-Komponenten, während die Netflows die Metadaten tatsächlicher Kommunikationsverbindungen im X-WiN beinhalten. Dies sind im Wesentlichen IP-Adressen und Ports von Absendern und Empfängern sowie das Protokoll (TCP oder UDP) von IP-Verbindungen. Aufgrund der immensen Zahl von IP-Verbindungen im X-WiN wird hier ein Sampling eingesetzt, d. h. nur ein Bruchteil der tatsächlichen Verbindungen wird berücksichtigt. Da DoS-Angriffe aber aus einer immensen Zahl von illegitimen Verbindungsversuchen bestehen, ist dies völlig ausreichend, um entsprechende Anomalien zu erkennen und zu analysieren. Der Netzwerk Monitor (NeMo) dient der Erkennung und Analyse von Anomalien, also potenziellen DoS-Angriffen. Hierzu werden die von den Kollektoren bereitgestellten Daten von NeMo gesammelt und statistisch ausgewertet (siehe Abbildung 1). Die Verbindungsdaten werden datenschutzkonform übermittelt und nach einer entsprechenden Frist gelöscht. Dies ist notwendig, da IP-Adressen als personenbeziehbare Daten gelten und somit die Datenschutzgesetze berücksichtigt werden müssen. Das System lernt, Normalzustände zu erkennen Nur die statistischen Auswertungen, welche keine personenbezogenen Daten beinhalten, werden langfristig für die selbstlernenden Algorithmen in NeMo verwendet. Dadurch lernt das System, Normalzustände zu erkennen und bei Verlassen eines entsprechenden statistischen Korridors einen Alarm zu erstellen. Aufgrund der Dynamik des Datenverkehrs im X-WiN ist es aber nicht möglich, jeden Angriff auf Basis von Statistiken automatisiert zu erkennen. Darüber hinaus ist das X-WiN aufgrund seiner Leistungsfähigkeit häufig selbst gar nicht beeinträchtigt, während ein laufender Angriff auf dem Zielsystem durchaus bereits Wirkung zeigen kann. In diesem Fall bietet NeMo die Möglichkeit, manuell erkannte Angriffe bei Kenntnis z. B. der Ziel-IP-Adresse, gezielt zu suchen und zu analysieren. Im Anschluss an eine Analyse ist bekannt, welche Parameter einem Angriff zugrunde liegen. Es können angreifende IP-Adressen, Ziel-IP-Adressen, Quell- und Zielports aber auch TCP-Flags (insbesondere bei sogenannten Syn-Flood-Attacken) sein. Anhand dieser Parameter wird ein Filter definiert, welcher den Angriffsverkehr möglichst genau beschreibt und ihn von legitimen Datenverkehr unterscheidbar macht. Steht dieser Filter fest, kann er zur Erkennung und Behandlung, also in der Regel zum Verwerfen, der unerwünschten IP-Pakete verwendet wer- EWE cr-ham1 ASR9k KIE ROS BRE HAM DES GRE TUB FFO PEP MUE BIE cr-han2 HAN BRA MAG POT ZIB cr-tub2 ASR9k DRE CHE GOE ZIB ZIB LEI cr-dui1 ASR9k BOC DOR KAS BAY cr-lap1 ASR9k MAR DUI WUP cr-fra2 ASR9k GIE FRA cr-erl2 ASR9k ERL JEN LAP AAC BON BIR ILM cr-gar1 ASR9k SAA KAI FZK STU AUG GAR FHM GSI HEI WUE REG Supercore-Router mit Mitigation 10 GE 2 x 10 GE 5 x 10 GE 100 GE Abbildung 2: Standorte der DoS-Mitigation

43 SICHERHEIT DFN Mitteilungen Ausgabe cr-dui1 ASR9k DUI IP phy cr-han2 ASR9k cr-fra2 ASR9k cr-dui1 ASR9k DUI IP phy cr-han2 ASR9k cr-fra2 ASR9k Gründen, so umgestaltet, dass es inhärent widerstandsfähiger gegen DoS-Angriffe wird. Durch die logische Terminierung der IP-Anschlüsse auf den acht Supercore-Routern des X-WiN, statt auf kleineren Routern in den Ketten bzw. Spangen, wird sichergestellt, dass die im Vergleich zum Supercore langsameren Spangen nicht durch Überlast gesättigt werden können (siehe Abbildung 3). Dies stellt sicher, dass jeder Verkehr durch die Supercore-Router läuft und entsprechend für die DoS-Abwehr behandelt werden kann. KR BON phy IP BIR Vorher KR BON phy BIR Nachher IP Der Dienst DFN-DoS- Basisschutz Abbildung 3: X-WiN Vorher und Nachher Terminierung der IP-Anschlüsse auf dem Supercore den. Je nach Komplexität des Filterausdrucks und den verwendeten Parametern wird nun entweder nur die Grobfilterung auf den Supercore-Routern aktiviert (siehe Abbildung 2) oder, wenn dies nicht ausreicht, der grob gefilterte Verkehr in eine virtuelle Maschine direkt im Supercore-Router umgeleitet, in welchem dann die Feinfilterung durchgeführt wird. Die Grobfilterung setzt auf den Standardfunktionen der eingesetzten Routerplattform auf. Es können so beispielsweise Null- Routen gesetzt, oder Datenströme begrenzt werden. Dies entspricht den bisherigen Möglichkeiten, mit denen das DFN-NOC bereits gearbeitet hat, welche allerdings jetzt durch NeMo deutlich effizienter eingesetzt werden können. So war es bisher notwendig, Netflows und andere Daten manuell nach Auffälligkeiten zu durchsuchen, den Angriffsverkehr zu beschreiben und dann manuell per Kommandozeile den Router zu konfigurieren. Dieses Verfahren ist nicht nur deutlich zeitaufwändiger, sondern auch fehleranfälliger als das werkzeuggestützte Vorgehen mit NeMo. Darüber hinaus profitiert NeMo vom Erfahrungsschatz des DFN-CERT mit der Abwehr von DoS-Angriffen und der Behandlung von Sicherheitsvorfällen. Die Feinfilterung dagegen ist eine neue Komponente, welche im X-WiN noch nicht eingesetzt wurde. In den Supercore-Routern aus der Cisco ASR 9000-Serie kann in die Erweiterungs-Steckplätze, die üblicherweise für Line Cards oder Fabric Cards verwendet werden, zusätzlich ein Virtualized Service Module (VSM) eingesteckt werden. Hierbei handelt es sich im Wesentlichen um einen leistungsfähigen Virtualisierungsserver mit 40 X86 CPU-Kernen und 128 GB Arbeitsspeicher. Dieser ist direkt an die Backplane des Routers angebunden und erlaubt das Ausführen von virtuellen Maschinen (VM) mit direkter Routeranbindung. Das DFN-CERT hat hierfür GNU/Linux-basierte VMs entwickelt, welche bei Bedarf aus NeMo heraus gestartet und mit passenden Firewallregeln konfiguriert werden können. Angriffsverkehre können so vom Router aus durch die virtuelle Maschine geleitet werden und dort entsprechend der Firewallregeln behandelt werden. Auf Seite 47 finden sich weitere Details zur Steuerung der Filterkomponenten per BGP-Flowspec sowie Beispiele zu konkreten Abwehrszenarien. Neben dem Einsatz der DoS-Abwehrplattform wird auch die Topologie des X-WiN insgesamt zukünftig aus unterschiedlichen, nicht ausschließlich DoS-abwehrbezogenen Im Rahmen des DFN-DoS-Basisschutzes werden die Ressourcen von teilnehmenden Einrichtungen durch den DFN-Verein vor volumetrischen DoS-Angriffen geschützt. Da hierfür unter anderem illegitime IP-Pakete verworfen werden, müssen einige organisatorische Dienstvereinbarung DFN-DoS-Basisdienst Schutzbereich (SB) DFNInternet Dienst Nr IP-Adressbereich Abbildung 4: Schutzbereich im DoS-Basisschutz

44 44 DFN Mitteilungen Ausgabe 90 November 2016 SICHERHEIT und rechtliche Rahmenbedingungen berücksichtigt werden. Schutzmaßnahmen werden mit dem Teilnehmer abgesprochen Nach einer Prüfung des Sachverhaltes durch die Forschungsstelle Recht im DFN wurde auf dieser Basis eine Dienstvereinbarung entwickelt. Dieser müssen sowohl der DFN-Verein als auch die teilnehmende Einrichtung zustimmen, um den Dienst nutzen zu können. Darauf aufbauend müssen organisatorische Prozesse vorbereitet werden, welche im Falle eines DoS-Angriffes eine eindeutige Zuordnung von Zuständigkeiten und Autorisierungswegen ermöglichen. So kann sichergestellt werden, dass der DFN-Verein nur mit dem Einverständnis und Wissen des Teilnehmers in dessen Netzwerkverkehr eingreift. Dadurch wird zum einen Rechtssicherheit für die Mitarbeiter des DFN-Vereins gewährleistet als auch garantiert, dass nicht ein fälschlich als Angriff erkannter ungewöhnlicher Netzwerkverkehr beeinflusst wird und beispielsweise legitime Experimente im Netz von Forschern verfälscht oder gar verhindert werden. Zu schützende IP-Adressbereiche der Teilnehmer am X-WiN werden durch die DFN- Internet-Dienste referenziert. Ein oder mehrere DFNInternet-Dienste werden zu einem Schutzbereich zugeordnet (siehe Abbildung 4). Dieser Schutzbereich ist somit beim DFN DoS-Basisschutz eingetragen und Angriffe auf Systeme im Schutzbereich können durch das DFN-NOC mit Hilfe der DoS-Abwehrplattform abgewehrt werden. Schutzmaßnahmen werden im Einzelfall mit dem Teilnehmer abgesprochen. Hierzu kann das Incident Response Team des DFN-CERT mit seiner Expertise und Erfahrung hinzugezogen werden. Einen Angriff kann eine Einrichtung an das DFN-NOC melden. Das NOC analysiert dann auf Basis der vom Teilnehmer gemeldeten Daten, ob ein DoS-Angriff vorliegt und konzipiert in Absprache mit dem Teilnehmer eine Gegenmaßnahme. Dies geschieht gegebenenfalls unter Einbeziehung des Incident Response Teams des DFN-CERT, die dem Teilnehmer und dem NOC beratend zur Seite stehen. Wenn die Gegenmaßnahme vorbereitet ist, muss diese noch formal vom Teilnehmer autorisiert werden. Um die rechtsverbindliche und dokumentierbare Autorisierung für die Mitigation eines Angriffs auf einen Teilnehmer einzuholen, wird direkt aus dem NeMo-System eine SMS mit einem Autorisierungsrahmen, einem Start- sowie einem Beendigungscode an eine vorab mit dem Schutzbereich registrierte Mobilfunknummer verschickt. Der Autorisierungsrahmen umfasst einen IP-Adressbereich und einen Zeitraum, in dem der DFN-Verein autorisiert wird, Gegenmaßnahmen inklusive dem Verwerfen von IP-Paketen durchzuführen. Der Weg über SMS ist im Fall einer laufenden DoS-Attacke der zuverlässigste Kommunikationsweg, da signierte s oder (VoIP-)Telefonate bei überlasteter Teilnehmer-Anschlussleitung durch den Angriff nicht mehr möglich sind. Wird die SMS mit dem korrekten Start-Code beantwortet, aktiviert das NOC die Mitigation. Dienstvereinbarung DFN-DoS-Basisdienst Schutzbereich (SB) SMS-Telefonnummer(n) Teilnehmer A DFNInternet Dienst Nr DFNInternet Dienst Nr DFNInternet Dienst Nr Teilnehmer B IP-Adressbereich IP-Adressbereich IP-Adressbereich IP-Adressbereich IP-Adressbereich Abbildung 5: Schutzbereiche im DFN-DoS-Basisschutz

45 SICHERHEIT DFN Mitteilungen Ausgabe Das DFN-CERT wird über jede Mitigation informiert, da dort ein übergreifendes Sicherheitslagebild vorliegt und auftretende Angriffe mit bekannten und im Angriff ausgenutzten Sicherheitslücken korreliert werden können. Außerdem kann das DFN-CERT über seine nationalen und internationalen Verbindungen die entsprechenden CERTs der verursachenden Quellnetze kontaktieren und versuchen, so den Angriff an der Wurzel zu beenden. Dies ist freilich nur möglich, wenn die Quellnetze bekannt sind und auch über ein aktives CERT verfügen leider ist dies nicht immer der Fall. Bei einigen Konstellationen, etwa bei Clusteranschlüssen, kann es sinnvoll sein, die DFNInternet-Dienste mehrerer Teilnehmer in einem Schutzbereich zusammenzufassen oder aber auch einen DFNInternet-Dienst in mehreren Schutzbereichen anzumelden (siehe Abbildung 5). Die Teilnahme am Dienst DFN-DoS-Basisschutz ist denkbar einfach: Einrichtungen, die ihre Infrastruktur am X- WiN-Anschluss über den neuen Dienst absichern möchten, können die entsprechende Dienstvereinbarung durch eine kurze Interessensbekundung mit dem Namen der Einrichtung per Mail an anfordern. Ein zusätzliches Entgelt fällt nicht an, die Teilnahme am Dienst ist im DFNInternet-Entgelt enthalten. Ausblick Die Komponenten der DoS-Abwehrplattform werden in den kommenden Jahren kontinuierlich durch das DFN- CERT gepflegt und weiterentwickelt. Neue oder häufig vorkommende Angriffsmuster werden integriert, so dass eine Art Bausatz für weitgehend vorkonfigurierte Gegenmaßnahmen verfügbar ist. Der Dienst DFN-DoS-Basisschutz bietet wie der Name schon sagt einen Basisschutz. Bei einigen Teilnehmern am X-WiN ist allerdings ein erweiterter Schutzbedarf erkennbar. Kernbestandteil eines erweiterten Schutzes kann beispielsweise die Vorabmodellierung des Teilnehmernetzes sein, so dass im Gegensatz zum Basisdienst eine 24/7-Alarmierung des Teilnehmers durch den DFN- Verein möglich ist. Der DFN-Verein arbeitet an einer Lösung, die auf Basis der DoS-Abwehrplattform auch solche erweiterten Schutzbedarfe abdecken kann. mit Datenraten jenseits der 1 Terabit/Sekunde berichtet. Auch wenn die seriöse Messung von weltweit verteilten Angriffsverkehren kaum möglich ist, wird doch deutlich, dass Angriffe in einer Größenordnung, die nicht mehr innerhalb des X-WiN behandelt werden können, potenziell möglich sind. Derzeit verfügt der Supercore des X-WiN im inneren Ring über 200 Gigabit/Sekunde, die Peerings mit anderen Netzen (außer dem europäischen Wissenschaftsnetz GÉANT) liegen darunter. Es besteht also in Zukunft die Gefahr, dass ein solcher Angriff bereits beim Eintritt ins X-WiN über die Peerings eine Überlast erzeugt und somit nicht mehr innerhalb des X-WiN behandelt werden kann. Hierfür müssen mit den Peeringpartnern und Global Upstreams in Zukunft Lösungen angestrebt werden, die es ermöglichen, aus NeMo heraus illegitime Verkehre bereits außerhalb des X-WiN zu mitigieren. Derzeit sind hierfür noch fallbezogene Absprachen mit den jeweiligen Partnern notwendig, die dann zum Schutz des X-WiN tätig werden können, z. B. durch Setzen von Null-Routen. Wie schon bei der DoS-Behandlung im X-WiN vor der Einführung der DoS-Abwehrplattform, ist dies derzeit schon durch manuelle Prozesse möglich. Die Reaktionszeiten, Mächtigkeit der Filterung sowie die Vermeidung von Fehlern werden allerdings durch die Werkzeugunterstützung durch ein Tool wie NeMo noch einmal deutlich verbessert. Mit der DoS-Abwehrplattform ist der DFN-Verein mit dem X-WiN und seinen Teilnehmern auf heutige und zukünftige Herausforderungen bei der Abwehr von DoS-Angriffen gut vorbereitet. Auf Basis der Abwehrplattform kann der DFN-Verein das X-WiN schützen und Dienste für die Teilnehmer realisieren, die normale und erweiterte Schutzbedarfe abdecken. Durch die Vorbereitung auf die kontinuierliche Weiterentwicklung sowohl der technischen Basis als auch der darauf aufbauenden Prozesse und Dienste ist eine Plattform geschaffen worden, die auch in Zukunft mit den dynamischen Anforderungen mitwachsen kann und somit die DFN-Infrastruktur als auch die wichtigen Systeme der Teilnehmer effektiv vor entsprechenden Angriffen schützen kann. M Durch die Medien wird in jüngster Zeit über DoS-Angriffe mit immer neuen Rekorden in der vermeintlichen Gesamtstärke der Angriffe berichtet. Kurz vor Fertigstellung dieses Artikels wurde das erste Mal von einem Angriff

46 46 DFN Mitteilungen Ausgabe 90 November 2016 SICHERHEIT NeMo: Die Technik hinter der DoS-Abwehrplattform im X-WiN Mit dem Netzwerkmonitoring-Tool NeMo wurden die Voraussetzungen für die Erkennung und Analyse von DoS-Angriffen geschaffen. In den letzten Monaten wurden Möglichkeiten zur Abwehr von DoS-Angriffen in NeMo integriert. Text: Michael Krooß (DFN-CERT Services GmbH) Foto DFN-Verein

47 SICHERHEIT DFN Mitteilungen Ausgabe Einleitung Die Struktur des Netzwerkmonitoring- Tools NeMo wurde bereits in den DFN- Mitteilungen vorgestellt (Ausgabe 88, Mai 2015). Darauf aufbauend werden nun die technischen Details der in NeMo integrierten Möglichkeiten zur Abwehr von DoS- Angriffen vorgestellt. Wird im Rahmen eines DoS-Angriffs eine Gegenmaßnahme eingeleitet, erfolgt die Durchsetzung dieser Gegenmaßnahme direkt auf den Routern, an denen die Peerings angeschlossen sind. Damit die X-WiN-Infrastruktur nicht mit dem Transport der zu einem DoS-Angriff gehörenden Datenpakete belastet wird, erfolgt die Durchsetzung der entsprechenden Gegenmaßnahme direkt auf den Border- Routern, wo der Angriffsdatenverkehr in das X-WiN eintritt. Wäre die DoS-Abwehr an einer einzelnen zentralen Komponente im X-WiN platziert, müsste der zu einem DoS-Angriff gehörige Datenverkehr zunächst über das X-WiN dorthin transportiert werden. Einsatz von BGP-Flowspec Die bei der DoS-Abwehr eingesetzte Technik wird oft kurz als BGP-Flowspec bezeichnet. Sie wird im Standard RFC5575 beschrieben. Es handelt sich um eine Erweiterung des BGP (Border Gateway Protocol), welches eingesetzt wird, um Aktualisierungsinformationen über das Routing im Internet zu verteilen. Die Erweiterung BGP-Flowspec beschreibt, wie Regeln, die einen Netzwerkflow beschreiben (vereinfacht: ein Tupel der Werte aus einem oder mehreren Feldern des Headers von IP-Paketen), zusammen mit einer Aktion per BGP verteilt werden können. Ein IP- Paket erfüllt eine Regel, wenn die Werte im Header des Pakets den Werten in der BGP-Flowspec-Regel entsprechen. Die einer Regel zugehörige Aktion wird auf all jene Datenpakete angewandt, welche diese Regel erfüllen. RFC5575 umfasst außerdem die Abarbeitungsreihenfolge der BGP-Flowspec-Regeln. Dies ist in den Fällen relevant, in denen ein IP-Paket mehrere Regeln erfüllt, denen unterschiedliche Aktionen zugeordnet sind. In diesen Fällen muss eindeutig sein, in welcher Reihenfolge die Regeln angewandt werden, damit nachvollziehbar ist, welche Aktion angewandt wird. Die Grundregel hierbei ist, dass spezifischere Regeln in der Abarbeitungsreihenfolge vor weniger spezifischen Regeln angewandt werden. Die Abarbeitungsreihenfolge der Regeln wird jedoch nicht bei jedem Paket erneut ermittelt. Beim Einfügen einer neuen Regel wird einmalig bestimmt, an welcher Stelle in dem Regelwerk die einzufügende Regel einzuordnen ist. Für die DoS-Abwehrlösung in NeMo können die folgenden Felder aus den Headern von IP-Paketen verwendet werden: IPv4- und IPv6-Netzbereiche für Quelle und Ziel das IP-Protokoll Quell- und Ziel-Portbereiche Als Aktionen stehen in NeMo zur Verfügung: Verwerfen des Datenverkehrs Einrichtung eines Bandbreitenlimits (rate limit) Weiterleiten des Datenverkehrs (transmit) Umleiten des Datenverkehrs (redirect) Die Aktion Weiterleiten des Datenverkehrs wird eingesetzt, wenn Ausnahmen umgesetzt werden müssen. Dies kann z. B. in Situationen auftreten, in denen für einen Ziel-Netzbereich sämtlicher Datenverkehr verworfen werden soll, der über das IP-Protokoll UDP übertragen wird, es aber eine Ausnahme für den autoritativen DNS- Server in diesem Netzbereich geben muss. In einem derartigen Fall würde eine Regel für den autoritativen DNS-Server mit der Aktion Weiterleiten eingefügt werden, die vor der Regel für den Netzbereich (Verwerfen des über UDP übertragenen Datenverkehrs) angewandt werden würde, da sie spezifischer ist. Die Abwehrkomponente von NeMo In Fällen, in denen der zu einem Angriff gehörende Datenverkehr nicht eindeutig durch BGP-Flowspec-Regeln beschrieben werden kann, erfolgt eine differenziertere Weiterbehandlung auf Abwehrkomponenten, welche im Rahmen der NeMo-Entwicklung vom DFN-CERT implementiert wurden. Zum Beispiel bei TCP-SYN-Flood-Angriffen, bei denen Angreifer das Angriffsziel mit vielen TCP-SYN-Anfragen zu überlasten versuchen, kann eine Unterscheidung von dem zum Angriff gehörenden Datenverkehr und legitimen Anfragen nicht auf Ebene von BGP-Flowspec-Regeln erfolgen. In solchen Fällen wird eine BGP-Flowspec- Regel eingefügt, die den Angriffsdatenverkehr umfassend beschreibt, die aber wie erwähnt auch durch legitime Anfragen erfüllt wird. Dieser Regel wird die Aktion Umleiten des Datenverkehrs (redirect) zugeordnet. Das Ziel der Umleitung sind Instanzen der oben erwähnten Abwehrkomponente. Auf dieser Abwehrkomponente wurden Gegenmaßnahmen implementiert, die einen Status pflegen können, um zu einem Angriff gehörende Quell-IP-Adressen zu ermitteln und diese in Listen von zu blockenden Quell-IP-Adressen einzutragen. Die Bedienung sowohl der einzurichtenden BGP-Flowspec-Regeln als auch der zu aktivierenden Gegenmaßnahmen auf den Abwehrkomponenten erfolgt einheitlich über die Mitigationsoberfläche, die in NeMo integriert wurde. Hier können, aufbauend auf der im NeMo durchgeführten Analyse eines DoS-Angriffs, Abwehrmaßnahmen eingerichtet, ihre Auswirkungen überwacht, die Abwehrmaßnahmen ggf. angepasst, sowie diese schließlich beendet werden. Die Steuerung der verschiedenen an der DoS-Abwehr beteiligten Router

48 48 DFN Mitteilungen Ausgabe 90 November 2016 SICHERHEIT und Abwehrkomponenten erfolgt durch NeMo. Manuelle Änderungen der Konfiguration, die u. U. auf mehreren Kompontenen durchgeführt werden müssen, werden dadurch vermieden. Zur Veranschaulichung sollen im Folgenden zwei Beispiele für die Abwehr von bekannten und häufig auftretenden Angriffsarten aufgezeigt werden. Dargestellt werden soll die Abwehr von sog. UDP-Amplification-Attacks und TCP-SYN-Flooding. Abwehr von UDP- Amplification-Attacks Bei UDP-Amplification-Attacks senden Angreifer die Datenpakete nicht direkt an das anzugreifende Ziel. Stattdessen werden im Vorfeld in Netzen Dritter platzierte UDPbasierte Dienste identifiziert, die auf Anfragen mit einer um einen möglichst hohen Faktor größeren Antwort reagieren. Die Angreifer erzeugen Anfragen an für einen solchen Angriff ausnutzbare Dienste, wobei sie als anfragende IP-Adresse die des anzugreifenden Ziels angeben. Die ausgenutzten Dienste erhalten die Anfragen und schicken eine entsprechend größere Antwort an das anzugreifende Ziel. Dabei Lessons learned Bei der Abwehr von UDP-Amplification-Attacks ergeben sich große Vorteile, wenn bereits im Vorfeld eine Trennung nach verbindungslosen (basierend auf z. B. UDP-Protokollen) und verbindungsorientierten (basierend auf z. B. TCP-Protokollen) Diensten durchgeführt wurde. Eine derartige Trennung ist besonders für Dienste zu empfehlen, die über das Internet erreichbar sein sollen bzw. Anfragen ins Internet stellen müssen. Sind verbindungslose und verbindungsorientierte Dienste im selben Netzbereich platziert aber an verschiedene IP-Adressen gebunden, so können bei der Einrichtung von Abwehrmaßnahmen spezielle Regeln für die Behandlung dieser Dienste eingefügt werden. Sind verbindungslose und verbindungsorientierte Dienste im selben Netzbereich platziert und an dieselben IP-Adressen gebunden, ist es technisch zwar häufig möglich eine passende differenzierte Gegenmaßnahme zu erstellen. Voraussetzung hierfür ist aber, dass entsprechendes Detailwissen über die verschiedenen Dienste zur Verfügung steht. Ist das erforderliche Detailwissen nicht unmittelbar abrufbar, kann dies zu Verzögerungen bei der Einrichtung der Gegenmaßnahme und im schlimmsten Fall zum Verwerfen von legitimem Datenverkehr führen. haben sie keine Möglichkeit zu verifizieren, dass die Anfrage nicht von der im Feld für die Quelle angegebene IP-Adresse gestellt wurde. Für Angreifer ergeben sich die Vorteile der Anonymität weder der ausgenutzte Dienst, noch das angegriffene Ziel erhalten Kenntnis über die IP-Adresse des Angreifers und der Verstärkung der beim Angriffsziel belegten Bandbreite. Diese Art von Angriffen zielt darauf ab, Leitungen oder Interfaces bzgl. der zur Verfügung stehenden Bandbreite zu überlasten, so dass legitimer Datenverkehr nicht mehr oder nur noch eingeschränkt übertragen werden kann. Sofern auf den angegriffenen IP-Adressen keine UDP-basierten Dienste genutzt werden, ist die Abwehr einfach technisch umzusetzen. Mit einer BGP-Flowspec-Regel wird sämtlicher UDPbasierter Datenverkehr mit dem Ziel-Netzbereich verworfen. Da in diesem Fall auf den angegriffenen IP-Adressen keine UDPbasierten Dienste genutzt werden, ergeben sich keine Einschränkungen für legitimen Datenverkehr. Abwehr von TCP-SYN-Floods Foto DFN-Verein Bei TCP-SYN-Floods werden an das Angriffsziel sehr viele TCP-Pakete mit gesetzten

49 SICHERHEIT DFN Mitteilungen Ausgabe SYN-Flag sendet, mit einem TCP-Paket stellvertretend für das Zielsystem. Die Antwort enthält gesetzte SYNund ACK-Flags und darüber hinaus eine protokollkonforme Challenge für das Quellsystem. Antwortet das Quellsystem protokollkonform auf diese Challenge, wird es als vollständig implementierter Netzwerkstack und damit als legitimes Quellsystem erkannt. Die IP- Adresse wird auf eine Liste mit erkannten legitimen IP-Adressen eingetragen. Die Verbindung zwischen Quellsystem und Abwehrkomponente wird mit einem Reset beendet, die erneut aufgebaute Verbindung zum Zielsystem wird auf Basis des Eintrags in der Liste mit den authentisierten IP-Adressen ohne weitere Prüfung weitergeleitet. Foto DFN-Verein SYN-Flag gesendet. Derartige Datenpakete sind nicht sehr groß, es handelt sich hierbei nicht um einen Angriff durch Überlasten der Bandbreite von Leitungen oder Interfaces. Pakete mit gesetztem SYN-Flag zeigen an, dass eine neue TCP-Verbindung aufgebaut werden soll. Das Zielsystem empfängt diese Pakete und hält für jedes einen Zustand der aufzubauenden Verbindung (State) vor. Gleiches gilt für ggf. vor dem Zielsystem platzierte Firewalls, die den Zustand von TCP- Verbindungen verfolgen. Das Ziel dieses Angriffs ist, so viele dieser States zu erzeugen, dass eine Überlastung erfolgt und legitime Verbindungen nicht mehr aufgebaut werden können. Fazit Die Einrichtung der technischen Plattform der DoS- Abwehr wurde ebenso abgeschlossen, wie die Integration in die Oberfläche des NeMo. Damit wurden die technischen Voraussetzungen geschaffen, einen Dienst zur Abwehr von DoS-Angriffen anbieten zu können. Sowohl die Abwehr über BGP-Flowspec-Regeln als auch von Gegenmaßnahmen der NeMo-Abwehrkomponente konnten bereits bei der Abwehr von echten DoS-Angriffen erfolgreich eingesetzt werden. Abwehrmaßnahmen auf Basis von BGP-Flowspec sind nach dem Aktivieren in der Oberfläche in deutlich weniger als einer Minute umgesetzt, während die Umsetzung von Gegenmaßnahmen mit den Abwehrkomponenten prinzipbedingt regelmäßig bis zu zwei Minuten benötigt. M Bei der Abwehr solcher TCP-SYN-Floods ist es nicht möglich, auf Basis von Feldern aus den Headern der IP-Pakete eine Unterscheidung zwischen Angriffsverkehr und legitimen Anfragen zu treffen. Alleine mit BGP-Flowspec-Regeln kann ein solcher Angriff somit nicht abgewehrt werden. Bei einem solchen Angriff wird daher der TCP-basierte Datenverkehr an das Angriffsziel mit einer BGP-Flowspec-Regel mit der Aktion Umleiten des Datenverkehrs (redirect) an eine Instanz der Abwehrkomponente gesendet. Dort antwortet die Gegenmaßnahme TCP-Handshake-Validator für jede noch nicht bekannte IP-Adresse, die ein TCP-Paket mit gesetztem

50 50 DFN Mitteilungen Ausgabe 90 November 2016 SICHERHEIT eduroam Konfigurieren aber richtig eduroam ist der Roaming-Dienst des DFN-Vereins für reisende Wissenschaftler und Studierende in Deutschland. Im Moment nutzen ca. 400 Einrichtungen im DFN den Dienst eduroam, an dem sich täglich ca Geräte anmelden. Der Dienst kann weltweit in 80 Regionen genutzt werden und realisiert eine der weltweit sichersten AAI (Authentifikations- und Autorisierungs-Infrastruktur). Damit eduroam auch sicher verwendet werden kann, ist eine korrekte Konfiguration der eduroam Supplikanten unabdingbar, denn jede Sicherheitsinfrastruktur kann nur dann auch sicher verwendet werden, wenn die Sicherheitsstandards eingehalten werden. Damit die Konfiguration der eduroam Supplikanten so einfach wie möglich und dennoch sicher ist, wurde im europäischen Wissenschaftsnetz GÉANT ein Sicherheitsportal geschaffen. Dieses Portal unterstützt eduroam Administratoren sowie die Nutzer des Dienstes bei der sicheren Konfiguration von eduroam. Text: Ralf Paffrath (DFN-Verein) Foto Artem Shadrin / fotolia.de Verfahren in eduroam EAP-TTLS & PEAP Grundsätzlich werden eduroam Nutzer in ihrer Heimateinrichtung authentifiziert. Für die Authentifizierung in der Heimateinrichtung ist die Konfiguration eines Radius Servers erforderlich. Die meisten Einrichtungen bieten ihren Nutzern die beiden Tunnelverfahren EAP-TTLS und PEAP an. Diese beiden Verfahren ermöglichen eine passwortgestützte Authentifizierung der Nutzer. Damit die Passwörter und die Kennungen sicher übertragen werden, bekommt der Radius Server ein Client/Server Zertifikat. Wenn nun die Anfrage eines eduroam Nutzers beim Radius Server der Heimateinrichtung aufschlägt, antwortet dieser in der Regel mit seinem Client/Server Zertifikat, welches u. a. den öffentlichen Schlüssel des Radius Servers enthält. Der eduroam Supplikant verwendet den vom Radius Server gesendeten öffentlichen Schlüssel und verschlüsselt damit die eduroam Kennung und das Passwort. Bevor der öffentliche Schlüssel zur Verschlüsselung der sensiblen Daten (Passwort und Kennung) verwendet wird, muss geprüft werden, ob der Radius, der vorgibt der Radius Server der Heimateinrichtung zu sein, auch tatsächlich der besagte Radius Server ist. Bleibt diese Prüfung aus, so kann der Nutzer nicht sicher sein, welchem Radius Server er seine eduroam Kennung und Passwort zusendet. Daher muss jeder eduroam Supplikant so konfiguriert sein, dass das Client/Server Zertifikat des Radius Servers validiert werden kann. Um eduroam sicher zu konfigurieren, muss das Root-CA Zertifikat des Radius Server Zertifikats auf dem jeweiligen Gerät installiert sein und für das Netzwerkinterface, in der Regel das WLAN, aktiviert sein.

51 SICHERHEIT DFN Mitteilungen Ausgabe Ein Werkzeug für viele Betriebssysteme Im Rahmen des europäischen Projekts GÉANT GN3 ist der Konfigurationsassistent CAT entstanden, welcher dem eduroam Nutzer die sichere Konfiguration der Root-CA auf den gängigen Betriebssystemen ermöglicht (siehe Abbildung). Mithilfe des Konfigurationsassistenten können eduroam Administratoren die eduroam Profile für die Nutzer ihrer eigenen Einrichtung anpassen und Nutzer können diese Profile zur Konfiguration ihrer Geräte für die Verwendung von eduroam herunterladen. Der Konfigurationsassistent steht den Nutzern unter dem Link: cat.eduroam.de in der aktuellen Version zur Verfügung. Registrierung als CAT Administrator Um das Konfigurationstool nutzen zu können, müssen sich die für eduroam verantwortlichen Personen einer Einrichtung als CAT Administrator registrieren. Dazu sendet der befugte Administrator eine mit einem gültigen Nutzerzertifikat der DFN-PKI (Global) signierte an Der Administrator erhält daraufhin einen Einladungstoken. Mit dem Nutzerzertifikat im Browser kann er sich dann im System registrieren. Einrichten des Identitätsproviders Das Interface zur Administration ist selbsterklärend gestaltet. Dort findet man unter anderem die globale Einstellung, Details zur Institution, Angaben zum Helpdesk, Netzzugangsmedien (z. B. kabelgebundene Netze, WLAN) und die Vorgaben für die Profile des Identitätsproviders. Neben den Realm, mit dem sich der Nutzer anmeldet, ist hier zu beachten, dass das Root-CA Zertifikat und wenn erforderlich die Zwischen-CAs hochgeladen werden. Die Eingabe des CN (Common Name) des Radius Servers ist ebenfalls wichtig. Die unterstützten EAP Typen lassen sich per Drag & Drop dem Profil hinzufügen. Wurden alle Angaben wie gewünscht und korrekt eingegeben, kann das Profil zur Veröffentlichung freigeschaltet werden (siehe Abbildung). Erst danach können die eduroam Nutzer ihre Profile herunterladen.

52 52 DFN Mitteilungen Ausgabe 90 November 2016 SICHERHEIT Testen der Erreichbarkeit beliebiger Realms Der eduroam Administrator hat die Möglichkeit über die Übersichtsseite des Identitätsproviders die Erreichbarkeit beliebiger Realms zu testen. So kann der eduroam Administrator auch den Realm der eigenen Einrichtung testen. Profile für den eduroam Nutzer Für den eduroam Nutzer gestaltet sich der Zugriff auf die Profile in der Regel sehr einfach, eine Ausnahme bilden Geräte mit dem Betriebssystem ANDROID. Bei Geräten mit den Betriebssystemen von Microsoft und Apple muss der Nutzer lediglich unter dem Link das eduroam Installationsprogramm herunterladen. Dies geschieht mit Betätigung des unten aufgeführten Buttons eduroam Benutzer: Laden Sie Ihr eduroam Installationsprogramm hier herunter (siehe Abbildung). Der Nutzer wählt dann nur noch seine Heimateinrichtung aus. Der Konfigurationsassistent findet automatisch das Betriebssystem des Gerätes heraus und bietet dem Nutzer das Profil zum Herunterladen an. Auf Geräten mit dem Betriebssystem ANDROID ist das Herunterladen der App eduroamcat erforderlich. Diese App ist im Google Play Store verfügbar. Nachdem die App installiert wurde, greift diese auf den CAT-Server zu und installiert das korrekte Profil. Fazit Der Konfigurationsassistent CAT in der Version bietet eine gute Unterstützung für eduroam Nutzer, um eduroam auf verschiedenen Geräten sicher zu konfigurieren. Der eduroam Administrator kann über die Übersichtsseite des eigenen Identitätsproviders beliebige Realms auf ihre Erreichbarkeit testen. Der Aufwand die Seiten zu pflegen, ist für den eduroam Administrator gering, da die Profile entsprechend den Vorgaben automatisch generiert werden. Aus der Sicht der Entwickler gestaltet sich jedoch die Anpassung der Profil-Templates an die verschiedenen Betriebssysteme schwierig, da Änderungen der Betriebssystemhersteller manchmal kurzfristig mitgeteilt werden. M Copyright eduroam

53 SICHERHEIT DFN Mitteilungen Ausgabe Sicherheit aktuell Redaktion: Dr. Ralf Gröper (DFN-Verein), Texte: Jürgen Brauckmann, Martin Waleczek (DFN-CERT) Einführung der neuen Generation der DFN-PKI Die bestehende DFN-PKI wird seit 2007 mit dem Wurzelzertifikat Deutsche Telekom Root CA 2 betrieben. Dieses ist bis zum 09. Juli 2019 gültig. In dieser Zertifizierungshierarchie kann es kein Zertifikat, ob für Server oder für Nutzer, mit längerer Gültigkeit geben. Für den Betrieb über den 09. Juli 2019 hinaus bietet die DFN-PKI ein neues Wurzelzertifikat an: T-TeleSec GlobalRoot Class 2 mit einer Gültigkeit, die bis 2033 reicht. Das Zertifikat ist auf folgender Übersichtsseite einzusehen: de/root/globalroot2/. Die Einführung des neuen Wurzelzertifikats geschieht schrittweise, insbesondere kann die bestehende DFN-PKI unverändert weiter genutzt werden. Allerdings verkürzen sich automatisch die Laufzeiten der ausgestellten Nutzer- und Serverzertifikate durch das feste Ablaufdatum des alten Wurzel zertifikats auf den 09. Juli Weitere Informationen zur Migration unter die neue Root-CA findet sich unter tion-der-dfn-pki/. M Bewertung zeitgesteuerter Passwortrichtlinien Die Kombination aus Benutzername und Passwort ist in vielen Bereichen der Informationstechnologie der Standard zur Authentifizierung von Benutzern und Zuweisung der zugehörigen Benutzerrechte. Als Teil vieler Passwortrichtlinien hat sich eine zeitgesteuerte Änderung von sensitiven Passwörtern etabliert: Passwörter müssen beispielsweise alle n Tage geändert werden, wobei n Tage üblicherweise in der Größenordnung von einem bis mehreren Monaten liegt. Diese Richtlinie liegt in der Möglichkeit begründet, dass ein Angreifer Zugriff auf Passwörter oder Passwort-Hashes erhält und diese direkt oder durch Erraten ( Brute-Force oder Cracking) einsetzen kann, um sensible Systeme zu kompromittieren. Das DFN-CERT hat eine Bewertung zeitgesteuerter Passwortrichtlinien mit entsprechenden Handlungsempfehlungen erstellt und unter veröffentlicht. M SHA-2-Migration der DFN-PKI abgeschlossen Die DFN-PKI hat seit 2013 eine Migration des Hash-Algorithmus, mit dem Signaturen unter Zertifikaten, Sperrlisten und OCSP-Antworten erstellt werden, vorgenommen. Da bei der Migration berücksichtigt werden musste, dass Altanwendungen und -geräte unter Umständen nicht sofort mit dem neuen Algorithmus SHA-2 umgehen können, konnte der Prozess erst jetzt abgeschlossen werden. Die Umstellungsdaten in der DFN-PKI: Herbst 2013: Umstellung der ersten CAs auf SHA-2 (Grid, SLCS, DFN-eigene CAs) Februar 2014: neu signiertes PCA-Zertifikat mit SHA-2 Mai-August 2014: Neu-Signatur der Sub-CA-Zertifikate mit SHA-2 Bis August 2014: Umstellung der Standard-Profile für Nutzer- und Server-Zertifikate auf SHA-2 Mitte 2015: Begrenzung der Laufzeit von SHA-1-Zertifikaten für Altgeräte auf Dezember 2016 Dezember 2015: Abschaltung der Möglichkeit, für Altgeräte SHA-1-Zertifikate zu beziehen März 2016: Umstellung der Signatur von OCSP-Antworten auf SHA-2 April 2016: Umstellung der Signatur von Zeitstempeln auf SHA-2 August 2016: Umstellung der Signatur von Sperrlisten (CRLs) auf SHA-2 Damit wird jetzt für die Erstellung von Signaturen in der DFN- PKI ausschließlich SHA-2 verwendet. Weitere Informationen zur Umstellung gibt es unter M Kontakt Wenn Sie Fragen oder Kommentare zum Thema Sicher heit im DFN haben, schicken Sie bitte eine an sicherheit@dfn.de.

54 54 DFN Mitteilungen Ausgabe 90 November 2016 RECHT Oft büßt das Gute ein, wer Besseres sucht Europäischer Gerichtshof konkretisiert Haftungsprivilegierung für WLAN-Betreiber Hatten WLAN-Betreiber gehofft, durch ein Urteil des Europäischen Gerichtshofs (EuGH) endlich die Gewissheit zu bekommen, dass sie für Rechtsverletzungen ihrer Nutzer in keiner Weise haften, wurden sie von dessen kürzlich ergangener Entscheidung hierzu (EuGH, Urteil vom , Rs. C-484/14) bitter enttäuscht. Auf einen Schutz vor teuren Abmahnungen können sie sich demnach nur verlassen, wenn der WLAN-Zugang nicht frei, sondern passwortgesichert ist und die Nutzer ihre Identität offenbaren müssen, sodass eine anonyme Nutzung des Internetzugangs nicht möglich ist. Doch auch dies gilt nur für Anbieter, die damit zumindest mittelbar einen geschäftlichen Zweck verfolgen. Text: Florian Klein (Forschungsstelle Recht im DFN) Foto steveball / 123RF Lizenzfreie Bilder

55 RECHT DFN Mitteilungen Ausgabe I. Einordnung der Problematik Die Haftung von WLAN-Betreibern für Rechtsverletzungen ihrer Nutzer wurde in der Vergangenheit vielfach diskutiert, ohne dass endgültige Klarheit erreicht wurde, in welchem Umfang eine solche Haftung tatsächlich besteht. Das Hauptaugenmerk war dabei auf die für Nichtjuristen häufig mysteriös anmutende Störerhaftung gerichtet, die auch solche Personen zur Unterlassung von Rechtsverletzungen verpflichten kann, die mit den rechtsverletzenden Tätigkeiten nur mittelbar in Verbindung stehen. Diese Störerhaftung steht im Spannungsfeld mit den sogenannten Haftungsprivilegierungen für bestimmte Diensteanbieter der Informationsgesellschaft. So hat der Gesetzgeber erkannt, dass beispielsweise die Internetzugangsanbieter ( Access-Provider ) eine gesellschaftlich sehr wichtige Leistung erbringen. Geschäftsleute verzichten sicherheitshalber auf die Einrichtung eines freien WLAN-Zugangs Diese beschränkt sich auf die rein technische Übermittlung von Datenpaketen, ohne dass der Diensteanbieter eine besondere Beziehung zu den übermittelten Inhalten hat. Deshalb wäre es unangemessen, ihn für die übermittelten Informationen voll verantwortlich zu machen. An dieser Stelle setzen die Haftungsprivilegierungen der 8-10 Telemediengesetz (TMG) an und sehen unter bestimmten Voraussetzungen vor, dass die jeweiligen Diensteanbieter für Rechtsverletzungen über ihre Dienste nicht verantwortlich sind. Dennoch wurde in der Rechtsprechung in den letzten Jahren davon ausgegangen, dass eine Störerhaftung von der Haftungsprivilegierung unberührt bleibt. Diese Unsicherheiten über die Haftungsrisiken und die Angst vor einer teuren Inanspruchnahme für Rechtsverletzungen Dritter führten dazu, dass viele Geschäftsleute sicherheitshalber auf die Einrichtung eines freien WLAN-Zugangs verzichteten und Deutschland daher im Hinblick auf die Verbreitung freier WLAN-Netze eher einem Entwicklungsland gleicht. Dies hat mittlerweile auch die Politik erkannt, die sich offen dafür ausgesprochen hat, diesen Missstand beseitigen und die Störerhaftung abschaffen zu wollen, um eine flächendeckende Verbreitung offener WLANs zu ermöglichen. Aus diesem Grunde wurde ein darauf gerichtetes Gesetz erlassen, das am in Kraft getreten ist (s. dazu Sydow, Privilegierte Störer?, in: DFN-Infobrief Recht 06/2016). Allerdings hat der Gesetzgeber dabei handwerklich unsauber gearbeitet, sodass dem Wortlaut des geänderten Gesetzes keineswegs eindeutig entnommen werden kann, dass die Störerhaftung und damit Unterlassungsansprüche gegen WLAN-Anbieter abgeschafft sein sollen. Eine entsprechende deutliche Absichtserklärung findet sich nur in der Gesetzesbegründung. Die Hoffnungen auf eine endgültige Klarstellung der Rechtslage ruhten deshalb auf dem EuGH, bei dem ein Verfahren anhängig war, in dem es um die Haftung eines WLAN-Anbieters ging. II. Die Entscheidung des EuGH Ausgangspunkt des Verfahrens beim EuGH war ein Rechtsstreit vor dem Landgericht (LG) München I, in dem ein Urheberrechtsinhaber versucht hatte, den Inhaber eines Geschäfts für Lichtund Tontechnik auf Unterlassung in Anspruch zu nehmen. Denn dieser hatte als zusätzlichen Service für seine Kunden ein frei zugängliches WLAN betrieben, über das dann von einem Nutzer eine Urheberrechtsverletzung begangen worden war. Die Münchener Richter sahen die Voraussetzungen und Reichweite der Haftungsprivilegierung für Zugangsvermittler als maßgeblich für die Beurteilung des Falles an. Da diese jedoch auf einer europäischen Richtlinie, der Richtlinie 2000/31/EG, beruhen, legten sie dem EuGH zehn Fragen vor, mittels derer geklärt werden sollte, wie das europäische Recht in dem Fall zu verstehen sei. Nach fast genau zwei Jahren hat der EuGH nun am sein ziemlich ernüchterndes Urteil verkündet. Es dreht sich im Kern um zwei Fragen: Welche Voraussetzungen muss ein WLAN-Anbieter erfüllen, um in den Genuss der Haftungsprivilegierung kommen zu können, und wovor schützt diese dann konkret? Adressaten der Haftungsprivilegierungen Damit das Angebot eines WLANs ein haftungsprivilegierter Dienst der Zugangsvermittlung zu einem Kommunikationsnetz sein kann, muss es sich um einen Dienst handeln, der in der Regel gegen Entgelt erbracht wird. Diese Voraussetzung ist jedoch auch dann erfüllt, wenn das WLAN von seinem Anbieter unentgeltlich zu Werbezwecken für von ihm verkaufte Güter oder angebotene Dienstleistungen bereitgestellt wird, da die Kosten dann vom Anbieter in die Verkaufspreise einkalkuliert werden. Ist dies der Fall, reicht es aus, dass die Vermittlung des Zugangs zum Kommunikationsnetz und die Übermittlung der Informationen im Rahmen eines rein technischen, automatischen und passiven Vorgangs erfolgt. Denn erst diese vollkommen inhaltsneutrale Tätigkeit rechtfertigt es, den Anbieter von der Verantwortlichkeit für die Inhalte zu entbinden. Von dem Anbieter ist also zu verlangen, dass er weder die konkrete Übermittlung veranlasst, noch den Adressaten der übermittelten Informationen oder die übermittelten Informationen auswählt oder verändert. Darüber hinausgehende Voraussetzungen muss der Anbieter jedoch ausdrücklich nicht erfüllen. Insbesondere können die für Host-Provider geltenden Wertungen nicht auf reine Zugangsvermittler übertragen werden. Host-Provider müssen unverzüglich den Zugang zu bei ihnen gespeicherten Informationen sperren oder die Information entfernen, sobald sie

56 56 DFN Mitteilungen Ausgabe 90 November 2016 RECHT von deren Rechtswidrigkeit Kenntnis erlangen, wenn sie in den Genuss der Haftungsprivilegierung kommen wollen. Dazu sind sie aber auch in der Lage, weil sich ihr Dienst der Speicherung von Informationen über eine gewisse Dauer erstreckt, während Access- Provider nur im Zeitpunkt der Übermittlung Kontrolle über die Informationen haben, sodass sie die Informationen nicht mehr entfernen können, wenn sie nach Abschluss der Übermittlung von deren Rechtswidrigkeit Kenntnis erlangen. Reichweite der Haftungsprivilegierung Nachdem die Richter geklärt haben, wann ein WLAN-Anbieter als Zugangsvermittler von der Haftungsprivilegierung profitieren kann, wenden sie sich der heiklen Frage nach der Reichweite dieser Freistellung von der Verantwortlichkeit zu. Ausgeschlossen sei insofern, dass ein Urheberrechtsinhaber von dem Diensteanbieter Schadensersatz dafür verlangen könne, dass Dritte das Kommunikationsnetz zur Verletzung von dessen Rechten benutzt haben. Deshalb könnten auch die mit dem Schadensersatzbegehren zusammenhängenden Abmahn- und Gerichtskosten nicht beansprucht werden. Eine Schadensersatzhaftung muss ein privilegierter Zugangsvermittler deshalb nicht befürchten. Möglicher Inhalt der behördlichen oder gerichtlichen Anordnung Als letztes beschäftigen sich die Richter noch mit der Frage, welchen Inhalt eine solche behördliche oder gerichtliche Anordnung gegen einen WLAN-Anbieter haben kann. Hierbei werden aber nur die drei Maßnahmen geprüft, die das LG München I in seinen Vorlagefragen vorgeschlagen hatte. Die Anordnung einer Überprüfung sämtlicher übermittelter Informationen scheide aus, weil das europäische Recht es verbiete, den Anbietern eines Zugangs zu einem Kommunikationsnetz eine allgemeine Verpflichtung zur Überwachung der von ihnen übermittelten Informationen aufzuerlegen. Ebenso wenig sei es zulässig, eine vollständige Abschaltung des Internetanschlusses anzuordnen, da dies in unverhältnismäßiger Weise in die unternehmerische Freiheit des WLAN-Betreibers eingreife. Einen angemessenen Ausgleich der betroffenen Grundrechte gewährleiste aber die Si- In jedem Fall lasse es das europäische Recht aber zu, dass jemand, der durch eine über den Internetzugang begangene Rechtsverletzung geschädigt wurde, bei einer nationalen Behörde oder einem nationalen Gericht beantragen könne, es dem Zugangsanbieter zu untersagen, die Fortsetzung dieser Rechtsverletzung zu ermöglichen. Dabei geht es also um die Durchsetzung eines Unterlassungsanspruchs mittels einer gerichtlichen oder behördlichen Anordnung. Darüber hinaus sei es außerdem mit europäischem Recht vereinbar, dass der Geschädigte von dem Anbieter die Zahlung der hinsichtlich dieses Unterlassungsbegehrens aufgewendeten Abmahn- und Gerichtskosten verlangen könne. Aus der exakten Formulierung [ ( ) sofern diese Ansprüche darauf abzielen oder daraus folgen, dass eine innerstaatliche Behörde oder ein innerstaatliches Gericht eine Anordnung erlässt, ( ), Randnummer 79 des Urteils] lässt sich erkennen, dass es nicht europarechtswidrig ist, dem Anbieter die Abmahn- und Gerichtskosten sogar schon bei der ersten Rechtsverletzung aufzuerlegen, obwohl zu diesem Zeitpunkt noch gar keine Unterlassungspflicht angeordnet ist, sondern diese gerade erst durch die Anordnung begründet werden soll. Europäischer Gerichtshof in Luxemburg Foto Christian Mueller / istockphoto

57 RECHT DFN Mitteilungen Ausgabe cherung des Internetanschlusses durch ein Passwort, sofern die Nutzer dieses Passwort nur erhielten, wenn sie ihre Identität offenbaren und dadurch nicht mehr anonym handeln können. Eine solche Maßnahme könne deshalb Gegenstand der Anordnung sein. Die Passwortsicherung halten die Richter für eine marginale technische Modalität, die die Ausübung der Tätigkeit des WLAN- Anbieters nicht erheblich beeinträchtigt. Das Urteil des EuGH ist ein Paukenschlag Auch die Informationsfreiheit der Nutzer sei nicht in ihrem Wesensgehalt verletzt, weil sie sich nur ein Passwort geben lassen müssten und zudem noch über andere Wege Zugang zum Internet erhalten könnten. Auch der Zugang zu rechtmäßigen Inhalten werde dadurch nicht beeinträchtigt, sodass die Maßnahme streng zielorientiert sei. Außerdem sei die Maßnahme wirkungsvoll, da die Pflicht zur Offenbarung der Identität eine Abschreckungswirkung generiere, die den Nutzer von der Begehung von Rechtsverletzungen abhalte. Schließlich müsse auch berücksichtigt werden, dass dem Urheberrechtsinhaber jeder Schutz entzogen würde, wenn eine Sicherungspflicht abgelehnt würde, was dem Gedanken eines angemessenen Gleichgewichts der Grundrechte zuwiderliefe. III. Fazit und Konsequenzen für die Hochschulpraxis Das Urteil des EuGH ist ein Paukenschlag. Beobachter des Verfahrens hatten erwartet, dass der EuGH sich wie häufig üblich den Schlussanträgen seines Generalanwalts anschließen würde. Dieser hatte jedoch in Abweichung zum EuGH noch die Ansicht vertreten, dass das Gemeinschaftsrecht nicht nur Schadensersatzansprüche gegen WLAN-Betreiber ausschließe, sondern auch der Pflicht entgegenstünde, für die Durchsetzung von Unterlassungsansprüchen Abmahn- oder Gerichtskosten zu zahlen. Zwar sollten generell gerichtliche Anordnungen möglich sein, doch wurde der Maßnahme der Sicherung des WLANs mittels eines Passworts eine Absage erteilt. So kam also einiges anders als erwartet. Auswirkungen auf WLAN-Betrieb an Hochschulen Bietet jemand ein WLAN an, kann nach einer Rechtsverletzung auf Antrag des Rechteinhabers gerichtlich angeordnet werden, dass er sein WLAN mit einem Passwort sichern muss. Außerdem muss sichergestellt werden, dass Nutzer das Passwort nur gegen Offenbarung ihrer Identität erhalten und dass eine anonyme Nutzung ausgeschlossen ist. Der EuGH verkennt hier die erhebliche faktische Abschreckungswirkung einer solchen Maßnahme, die eben nicht nur eine marginale technische Modalität darstellt, sondern dazu führt, dass viele potenzielle Nutzer auf den WLAN-Zugang verzichten, weil ihnen der Aufwand zu groß ist. Denn nimmt man die Pflicht zur Offenbarung der Identität ernst, erfordert dies die Kontrolle anhand eines amtlichen Ausweisdokuments oder ähnlich zuverlässige Maßnahmen. Eine bloße Registrierung unter Angabe einer -Adresse oder eines beliebigen Namens, deren Echtheit nicht überprüft wird, kann dafür gerade nicht ausreichen. Wer aber nur schnell auf dem Weg etwas nachschauen oder aus Bequemlichkeit oder Langeweile ein bisschen im Netz surfen möchte, wird sich meist nicht die Mühe machen, sich vorher per Ausweis zu registrieren. Darüber hinaus bedeutet dies auch einen erheblichen adminis trativen Aufwand für den Betreiber des WLANs, der im Übrigen gar nicht weiß, welche Daten er konkret erheben muss und wie lange er diese speichern muss oder darf, um den Anforderungen des EuGH gerecht zu werden. Schließlich kann das Ziel der Verhinderung einer anonymen Internetnutzung allein durch Offenbarung der Identität gar nicht erreicht werden. Stattdessen müsste der gesamte Verkehr, der über das WLAN stattfindet, protokolliert werden, wofür es, zumindest im deutschen Recht, jedoch keine Rechtsgrundlage gibt. Der WLAN- Anbieter wüsste zwar, wer in seinem Netzwerk unterwegs ist, aber nicht, wer konkret für eine etwaige Rechtsverletzung verantwortlich ist. Somit kann diese Registrierungspflicht nicht gezielt von der Begehung von Rechtsverletzungen abschrecken, sondern bestenfalls gänzlich von der Nutzung des WLANs. Zwar werden dadurch im Ergebnis auch Rechtsverletzungen verhindert, sodass diese Maßnahme effektiv ist, von Effizienz kann dann aber keine Rede sein. Dies kommt einer partiellen Abschaltung des Internetanschlusses gleich, die selbst der EuGH nicht für grundrechtskonform hält. Darüber hinaus verfängt sein Argument nicht, durch einen Passwortschutz werde die Möglichkeit der Nutzer, Zugang zu rechtmäßigen Informationen zu erhalten, nicht beeinträchtigt. Hier liegt es ja auf der Hand, dass dann auch der Zugang zu rechtswidrigen Informationen nicht beeinträchtigt wird, sodass die Sicherung des WLANs mittels eines Passworts völlig ungeeignet ist, um Rechtsverletzungen zu verhindern. Trotz Passwortschutzes sind die rechtswidrigen Inhalte weiterhin uneingeschränkt abrufbar. Dem nationalen Gesetzgeber bleibt ein Spielraum, die Haftung weiter einzuschränken Es gibt viele Gründe, das Urteil des EuGH zu kritisieren, doch lautet die gute Nachricht für Hochschulen in diesem Fall, dass sich die negativen Auswirkungen für sie sehr in Grenzen halten. Denn dem Urteil lässt sich entnehmen, dass ein WLAN-Betreiber sich jeder Haftung entziehen kann, wenn er einen Passwortschutz implementiert und die Identifizierung der Nutzer gewährleistet. Dies ist bei Hochschulen jedoch schon lange gängige Praxis, um zu gewährleisten, dass nur Mitglieder der Hochschule und Gäste aus

58 58 DFN Mitteilungen Ausgabe 90 November 2016 RECHT Wissenschaft und Forschung den Zugang zum Hochschulnetz erhalten. Deshalb müssen auch keine mit hohen Kosten verbundenen Abmahnungen oder gerichtliche Anordnungen befürchtet werden, da bereits alle Anforderungen erfüllt sind und entsprechende Forderungen somit unberechtigt wären. In diesem Zusammenhang kann außerdem davon ausgegangen werden, dass mit der Bereitstellung des Internetzugangs zumindest mittelbar Werbezwecke im Hinblick auf die von der Hochschule angebotenen Dienstleistungen des Studiums und der Forschung verfolgt werden, was Voraussetzung ist, um überhaupt dem Anwendungsbereich der europarechtlichen Haftungsprivilegierung zu unterfallen. Der Internetzugang für Studierende erfüllt zwar nicht zuvorderst werbliche Zwecke bei der Akquise von neuen Studierenden, sondern soll primär Studierende und Mitarbeiter bei der Erfüllung ihrer Aufgaben unterstützen. Dennoch ist kaum zu bestreiten, dass eine flächendeckende WLAN-Versorgung an Hochschulen durchaus ein nicht unerhebliches Entscheidungskriterium bei der Wahl der Hochschule ist. Heutzutage wird sie von Studierenden nahezu als selbstverständlich vorausgesetzt, sodass jedenfalls ihr Fehlen einen negativen Werbeeffekt hätte. Konsequenterweise ist daher auch die von der Hochschule für ihre Studierenden finanzierte Versorgung mit WLAN-Zugängen ein mittelbares Werbemittel. Verhältnis zum nationalen Recht Fraglich ist außerdem, wie sich die Entscheidung des EuGH zum jüngst geänderten Telemediengesetz verhält, das ja gerade Unterlassungsansprüche gegen den WLAN-Betreiber ausschließen und damit die Störerhaftung abschaffen sollte. Dies ist kaum zuverlässig zu prognostizieren. In großen Teilen seines Urteils verkündet der EuGH nur, welche Art der haftungsrechtlichen Inanspruchnahme eines Diensteanbieters nicht gegen das europäische Recht verstößt, nicht aber welche zwingend geboten ist. Dem nationalen Gesetzgeber bleibt also ein Spielraum, die Haftung weiter einzuschränken. Zumindest zweifelhaft ist, ob dafür die angesprochene Gesetzesänderung ausreicht, da diese letztlich nur in ihrer Begründung zum Ausdruck bringt, was eigentlich gewollt ist. Darin bezieht sich der Gesetzgeber jedoch an wesentlichen Stellen auf die Schlussanträge des Generalanwalts, von denen der EuGH nun abgewichen ist. Deutet man dies so, dass der Gesetzgeber sich an der Auslegung des Rechts durch die Gerichtsbarkeit der EU orientieren wollte, fällt das Votum für eine Abschaffung der Störerhaftung sehr viel weniger deutlich aus, da sich der EuGH gar nicht so strikt gegen eine Inanspruchnahme ausspricht. Deutsche Gerichte könnten deshalb dazu tendieren, Anbietern freier WLANs trotz des neuen Gesetzes Abmahn- und Gerichtskosten für Unterlassungsansprüche aufzuerlegen. Endgültige Sicherheit kann hier nur ein beherzteres und deutlicheres Einschreiten des Gesetzgebers bringen. Auswirkungen auf die Verpflichtung zur Einrichtung von Netzsperren Spannend wird das Urteil des EuGH auch aus Hochschulsicht, wenn man es von den Pflichten für WLAN-Anbieter abstrahiert und die Erwägungen auf herkömmliche Internetzugangsanbieter und deren Verpflichtung zur Einrichtung von Netzsperren überträgt. Die zugrundeliegenden europäischen Regelungen gelten nämlich nicht nur speziell für WLAN-Anbieter, sondern vielmehr generell für alle Dienste, die darin bestehen, von einem Nutzer eingegebene Informationen in einem Kommunikationsnetz zu übermitteln oder Zugang zu einem Kommunikationsnetz zu vermitteln. Auch ein Access- Provider, der unabhängig vom WLAN-Betrieb Internetzugänge bereitstellt, muss deshalb keine Schadensersatzhaftung befürchten. Es können jedoch gerichtliche Anordnungen (ggf. verbunden mit den entsprechenden Abmahn- und Gerichtskosten) gegen ihn erlassen werden, mittels derer er verpflichtet wird, die Rechtsverletzung abzustellen oder zu verhindern. Inhalt einer solchen Anordnung kann insbesondere die Einrichtung von Netzsperren sein, mittels derer der Zugang zu bestimmten Seiten mit rechtswidrigen Inhalten verhindert oder zumindest erschwert wird. Schon im Jahr 2014 hat der EuGH entschieden, dass Netzsperren generell mit dem europäischen Recht vereinbar sind (s. hierzu Kuta, Bis hierhin und nicht weiter!, in: DFN-Infobrief Recht 06/2014). Auch der Bundesgerichtshof (BGH) hat mittlerweile entschieden, dass es nach deutschem Recht sogar eine Pflicht von Internetzugangsanbietern geben kann, Netzsperren einzurichten (s. Klein, Den Letzten beißen die Hunde, in: DFN-Infobrief Recht 04/2016). Dies kann für Hochschulen relevant werden, weil der Betrieb des Hochschulnetzes und die dahinterstehende Infrastruktur häufig eher mit einem klassischen Internetzugangsanbieter vergleichbar sind als mit einem Inhaber eines kleinen Ladens, der für seine Kunden als Komfortleistung ein WLAN anbietet. Insofern sind die konkreten Auswirkungen dieses Urteils des EuGH aber gering, da es gerade keine weiteren Hürden für Netzsperren durch Internetzugangsanbieter aufstellt. Demnach bleibt es wohl bei den Standards, die der BGH im November 2015 auf Basis der Störerhaftung etabliert hat. So kann eine Verpflichtung zur Einrichtung von DNS-, IP- oder URL-Sperren zumutbar sein, wenn der dies einfordernde Rechteinhaber vorher alle zumutbaren Schritte ergriffen hat, um gegen die tatnäheren Verletzer (in der Regel Content- und Host-Provider) vorzugehen, wozu insbesondere die Einschaltung der staatlichen Ermittlungsbehörden oder privater Ermittler gehören soll. Dabei ist aber stets auch der mit der Einrichtung von Netzsperren einhergehende administrative, technische und finanzielle Aufwand für die Hochschule als Access-Provider zu beachten, der im Einzelfall eine Unzumutbarkeit begründen kann. Nicht zuletzt ist der besondere Wert der Wissenschaftsfreiheit zugunsten der Hochschule zu berücksichtigen, wobei diese möglicherweise auch dadurch ge-

59 RECHT DFN Mitteilungen Ausgabe Foto stockcam / istockphoto wahrt werden kann, dass im Einzelfall Ausnahmen für einzelne Forscher zugelassen werden, die auf einen unbeschränkten Netzzugang angewiesen sind. Nicht zuletzt ist der besondere Wert der Wissenschaftsfreiheit zugunsten der Hochschule zu berücksichtigen Obwohl der EuGH die Auferlegung von Abmahnkosten im Vorfeld der gerichtlichen Durchsetzung eines auf die Einrichtung von Netzsperren zielenden Unterlassungsanspruchs zuzulassen scheint, gilt im nationalen Recht die Einschränkung, dass für den ersten Hinweis eines Rechteinhabers auf eine Seite mit rechtswidrigen Inhalten in keinem Fall Abmahnkosten zu zahlen sind. Denn mangels einer allgemeinen Überwachungspflicht entsteht die Prüfpflicht der Hochschule erst durch diesen Hinweis, sodass vorher keine Pflichtverletzung vorliegt, die eine Kostentragungspflicht begründen könnte. Verweigert die Hochschule dann jedoch die Einrichtung von Netzsperren und kommt es nachfolgend zu einem Gerichtsverfahren, in welchem sie unterliegt, wird sie voraussichtlich die entstandenen Prozesskosten tragen müssen. Somit sollte ein entsprechendes Verlangen stets sorgfältig geprüft werden. Angesichts der schwierigen Abwägungsfragen, die im Hinblick auf die Zumutbarkeit und die Berechtigung eines solchen Begehrens bestehen, ist die Einbeziehung des Hochschuljustiziariats wohl unverzichtbar. Da es sich bei der Zumutbarkeit der Sperranordnung um eine sogenannte anspruchsbegründende Voraussetzung handelt, muss deren tatsächliche Grundlage vom Anspruchsteller dargelegt werden. Insbesondere die Darlegungslast für das Verhältnis von rechtmäßigen zu rechtswidrigen Inhalten auf der betroffenen Webseite dürfte deshalb den Rechteinhaber treffen, der die Einrichtung der Netzsperren einfordert. Denn zumutbar kann eine Sperranordnung nur sein, wenn sich auf den betroffenen Webseiten rechtmäßige Inhalte nur in einer Größenordnung befinden, die gegenüber den rechtswidrigen Inhalten nicht ins Gewicht fällt. Doch selbst wenn der Rechteinhaber schlüssig aufzeigt, dass ein solches Overblocking legaler Inhalte nur in geringem Maße stattfindet, ist offen, bis zu welcher Grenze der Anteil rechtmäßiger Inhalte nicht ins Gewicht fällt, sofern der vom BGH für unerheblich gehaltene Wert von 4 % überschritten wird. Außerdem wird man vom Rechteinhaber verlangen können, dass dieser darlegt, welche Schritte er gegen die tatnäheren Akteure ergriffen hat, da eine Prüfung der Zumutbarkeit unter diesem Gesichtspunkt für die Hochschule sonst unmöglich ist. Insgesamt werden die Hochschulen deshalb von Rechteinhabern, die Netzsperren verlangen, fordern können, dass diese zunächst substantiiert darlegen, warum die Netzsperre auch im konkreten Fall für die jeweilige Hochschule zumutbar ist. Soll dem Wunsch nach Netzsperren unter Berufung auf einen unzumutbar großen Aufwand nicht stattgegeben werden, empfiehlt es sich, konkret und detailliert aufzuschlüsseln, welcher Aufwand für deren Einrichtung erforderlich wäre. Gerade weil für eine Hochschule mit einigen Tausend oder Zehntausenden Mitgliedern ein anderer Zumutbarkeitsmaßstab gelten wird als für einen Access- Provider mit Hunderttausenden oder gar Millionen Kunden, für den die Bereitstellung des Internetzugangs zudem Hauptgeschäftstätigkeit ist, scheint im Einzelfall eine Berufung auf die Unzumutbarkeit des Aufwands nicht völlig aussichtslos zu sein. Deshalb sollte solchen Begehren auch nicht vorschnell gefolgt, sondern stattdessen detailliert geprüft werden, ob insgesamt eine Zumutbarkeit gegeben ist. Dennoch lassen sich Netzsperren durch Hochschulen auch nicht pauschal ausschließen. Wieder einmal steht der Rechtsanwender also im Einzelfall vor zahlreichen schwierigen Fragen und Abwägungsprozessen, ohne dass ihm eine einfache Handlungsempfehlung an die Hand gegeben werden kann. Insofern können die Hochschulen nur hoffen, nicht als erste in den Fokus der Rechteinhaber zu geraten, sondern eventuell Entscheidungshilfen durch andere Präzedenzfälle gegen größere Anbieter zu bekommen, bei denen ein Vorgehen der Rechteinhaber ohnehin eine deutlich größere Wirkung erzielen könnte. M

60 60 DFN Mitteilungen Ausgabe 90 November 2016 RECHT Vereinheitlichung des EU- Datenschutzrechts? Die Datenschutz-Grundverordnung als anwendbares Recht für die DFN-Mitglieder Mit der Verabschiedung der Datenschutz-Grundverordnung durch das Europäische Parlament ging am ein fast vier Jahre langer Gesetzgebungsprozess zu Ende. Bis zum Geltungsbeginn der neuen Vorschriften am stellt sich nun, bevor die inhaltlichen Änderungen im Einzelnen betrachtet werden können, zunächst die Frage, wie weit die neuen Vorschriften gelten und wo gegebenenfalls doch weiterhin die bisher geltenden Regelungen oder aber neue nationale Gesetze anzuwenden sein werden. Dieser Beitrag soll daher den Anwendungsbereich der Datenschutz-Grundverordnung und etwaige Ausnahmen davon darstellen. Text: Lennart Sydow (Forschungsstelle Recht im DFN) Foto tomloel / istockphoto

61 RECHT DFN Mitteilungen Ausgabe I. Hintergrund und Ziele der Datenschutzreform Die Entstehung der Datenschutz-Grundverordnung (DS-GVO) hängt eng mit der Kritik an der zuvor bestehenden Rechtslage im EU- Datenschutzrecht zusammen. Den ersten und bisher wichtigsten Rechtsakt zum Datenschutzrecht auf EU-Ebene stellte die Datenschutzrichtlinie (95/46/EG) aus dem Jahr 1995 dar. Dazu kamen in der Folgezeit die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) und die EG-Datenschutz-Verordnung (VO EG 45/2001) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr. Große Technologieunternehmen haben sich bevorzugt in Irland niedergelassen Trotz dieses Regelungsrahmens auf EU-Ebene wurde lange kritisiert, dass innerhalb der EU kein einheitliches Datenschutzniveau besteht. Solange dies aber der Fall ist, haben datenverarbeitende Unternehmen die Möglichkeit, sich innerhalb der EU immer das Land auszusuchen, welches die für sie günstigsten Regelungen, im Regelfall also das niedrigste Datenschutzniveau, vorsieht (sogenanntes Forum-shopping ). In der Praxis führte dies dazu, dass insbesondere große Technologieunternehmen sich bevorzugt in Irland niedergelassen haben. Der Grund für diese Unterschiede im Datenschutzniveau war vor allem, dass die bestehenden Regelungen für die Mitgliedstaaten einen erheblichen Spielraum ließen. Diese Handlungsspielräume beruhen darauf, dass sowohl die allgemeine Datenschutzrichtlinie als auch die Richtlinie für den Bereich der elektronischen Kommunikation als Richtlinie und nicht als Verordnung ausgestaltet waren. Anders als eine Richtlinie stellt eine Verordnung direkt und unmittelbar geltendes Recht in den Mitgliedstaaten dar. Richtlinien hingegen haben keine direkte Wirkung, sondern müssen von den einzelnen Mitgliedstaaten in nationales Recht umgesetzt werden. Durch Richtlinien werden lediglich die gesetzgeberischen Ziele vorgegeben, die von den Mitgliedstaaten zu erreichen sind. Den Mitgliedstaaten wird aber bei der Wahl und Ausgestaltung der konkreten Regelungen ein Umsetzungsspielraum gelassen. Diese unmittelbare Wirkung ist der entscheidende Unterschied zwischen den beiden Mitteln der Rechtssetzung des EU-Gesetzgebers. Durch die Wahl des Mittels der Verordnung für die neuen Regelungen zum EU-Datenschutzrecht wurde daher ein großer Schritt in Richtung eines einheitlichen Datenschutzniveaus gemacht, da die Regeln der DS-GVO unmittelbar geltendes Recht in allen Mitgliedstaaten sein werden. Bis sich die zuständigen Organe der EU aber auf die finale Fassung der DS-GVO einigen konnten, dauerte es, trotz großer Einigkeit über die Nachteile der alten Rechtslage, fast vier Jahre. II. Gesetzgebungsverfahren Nach einem ersten Entwurf der EU-Kommission im Jahr 2012 wurde der Entwurf sowohl im Rat der Europäischen Union als auch im Europäischen Parlament diskutiert und jeweils eine vom Ursprungsentwurf abweichende Version erstellt. Das Parlament verabschiedete diesen geänderten Entwurf nach fast 4000 Änderungsanträgen der Delegierten im April 2014, während der Ministerrat bis zum Juli 2015 brauchte, um sich auf eine Verhandlungsposition zu einigen. Als dann die drei unterschiedlichen Entwürfe vorlagen, begann im Herbst letzten Jahres der sogenannte Trilog. Darunter sind informelle Verhandlungen zu verstehen, bei denen die Vertreter der EU-Kommission, des EU-Parlaments und des Ministerrats unter Ausschluss der Öffentlichkeit verhandeln und sich so auf einen einheitlichen Entwurf einigen, noch bevor das eigentliche Gesetzgebungsverfahren eingeleitet wird. Grund für diese, teils stark kritisierte, Vorgehensweise ist, dass so die Vorgaben für das Vorgehen im formellen Gesetzgebungsverfahren, wie z.b. Beratungsfristen, umgangen werden können. Die Verordnung gilt ab dem Nachdem die Trilogverhandlungen im Dezember 2015 abgeschlossen wurden, wurde der ausgehandelte Entwurf dann zur Abstimmung gestellt und am vom Rat und am vom Parlament angenommen. Damit ist die Verordnung beschlossen und tritt 20 Tage nach der Verkündung im Amtsblatt der EU am in Kraft. Da die DS-GVO aber eine Übergangsfrist von 2 Jahren ab Verkündung enthält, erlangen die Vorschriften erst am Geltung. III. Verhältnis zum bisher geltenden Recht Es bleibt daher noch Zeit, sich auf die neuen Regelungen einzustellen. Bevor aber im Einzelnen für die verschiedenen Bereiche der Datenverarbeitung beurteilt werden kann, welche Änderungen sich ergeben, ist zunächst zu klären, für wen und in welchen Datenverarbeitungssituationen die Regelungen der DS-GVO überhaupt anwendbar sind und wie sich die Geltung der DS-GVO auf bestehende Regelungen auswirkt. Für die Datenschutzrichtlinie ist dies eindeutig geregelt, da die DS-GVO in Art. 94 bestimmt, dass diese aufgehoben wird und somit ihre Geltung ab dem Geltungsbeginn der DS-GVO verliert.

62 62 DFN Mitteilungen Ausgabe 90 November 2016 RECHT Komplizierter ist dies aber für die Gesetze in den Mitgliedstaaten, die zur Umsetzung der Vorgaben der Datenschutzrichtlinie von den Mitgliedstaaten erlassen wurden. Da die EU keine Kompetenz hat, Gesetze der Mitgliedstaaten aufzuheben, bleiben diese grundsätzlich bestehen. Allerdings besteht ein sogenannter Anwendungsvorrang zugunsten des Unionsrechts. Das bedeutet, dass die nationalen Gesetze zwar bestehen bleiben, allerdings im Anwendungsbereich der DS-GVO keine Anwendung mehr finden. Diese auf den ersten Blick einfache Regel kann im Einzelfall zu erheblichen Schwierigkeiten bei der Frage führen, welche Gesetze noch anwendbar sind und welche hinter der DS- GVO zurücktreten. 1. Anwendungsbereich Um festzustellen, welche Gesetze nicht mehr anwendbar sind, muss daher der Anwendungsbereich der DS-GVO bestimmt werden. In sachlicher Hinsicht ist die DS-GVO auf jede automatisierte Verarbeitung personenbezogener Daten anwendbar. Für die nichtautomatisierte Verarbeitung gilt sie dagegen nur, wenn die Daten in einer Datei gespeichert werden. Auch der räumliche Anwendungsbereich wurde ausgedehnt und umfasst jede Verarbeitung, die im Rahmen der Tätigkeiten einer Niederlassung in der Union erfolgt (Art. 3). Darauf, dass die Datenverarbeitung in der EU stattfindet, kommt es nicht an. Von diesem grundsätzlich weiten Anwendungsbereich gibt es aber einige Ausnahmen. Ausgenommen bleiben neben rein privater Datenverarbeitung sowohl die Bereiche der justiziellen Zusammenarbeit sowie das Handeln von Polizei und Ordnungsbehörden bei der Strafverfolgung und der Gefahrenabwehr. Auch die Stellen der EU, deren Datenverarbeitung in einer eigenen Verordnung geregelt ist, sind nicht von der DS- GVO erfasst. Besonders hervorzuheben ist zudem, dass die DS-GVO gemäß Art. 95 Telekommunikationsanbietern keine über die bisher bestehende Richtlinie (s. o.) hinausgehenden Verpflichtungen auferlegt, sodass die auf dieser Richtlinie beruhenden nationalen Vorschriften bestehen bleiben könnten. Dies dürfte dazu führen, dass die Datenschutzvorschriften des Telekommunikationsgesetzes (TKG) weiter anwendbar bleiben, soweit sie auf der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) beruhen. Dies gilt aber ausschließlich für Anbieter von Telekommunikationsdiensten. Die Datenschutzvorschriften des Telemediengesetzes treten hinter der DS-GVO zurück und sind daher ab 2018 nicht mehr anwendbar. Für die Foto Grecaud Paul / Adobe Stock DFN-Teilnehmereinrichtungen von besonderem Interesse ist zudem, ob Vorschriften der Landesdatenschutzgesetze weiterhin anwendbar sind. Anders als dies im Entstehungsprozess, insbesondere von deutschen Regierungsvertretern, gefordert wurde, enthält die DS-GVO keine weitgehende Bereichsausnahme für die Datenverarbeitung durch Behörden und öffentliche Einrichtungen (abgesehen von den oben genannten Bereichen). Daher werden grundsätzlich auch die Landesdatenschutz gesetze verdrängt, sodass auch Hochschulen in Zukunft die DS-GVO zu beachten haben. 2. Öffnungsklauseln Eine gewisse Unsicherheit bezüglich der Anwendbarkeit der Vorschriften der DS-GVO besteht allerdings noch aufgrund des nicht abschließend geklärten Geltungsbereichs der zahlreichen Öffnungsklauseln innerhalb der DS-GVO. Öffnungsklauseln sind Vorschriften in der DS-GVO, die den Mitgliedstaaten für gewisse Bereiche ausdrücklich einen Spielraum für eigene Regelungen zugestehen. Neben dem Auftrag, bis 2018 Regelungen über die Datenschutzaufsicht und zum Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit zu schaffen, finden sich zahlreiche Vorschriften, die es den Mitgliedstaaten ermöglichen, in Teilbereichen bestehende Regelungen beizubehalten oder neue zu erlassen. Dabei können meist nur speziellere Regelungen getroffen werden, ohne dass dabei von den verhältnismäßig abstrakten Regelungen der DS-GVO abgewichen wird. Teilweise

63 RECHT DFN Mitteilungen Ausgabe sind aber auch Abweichungen und Ausnahmen oder strengere Vorschriften möglich. Aus Sicht der DFN-Teilnehmer könnte diesbezüglich insbesondere Art. 6 Abs. 2 und 3 DS-GVO bedeutsam sein. Danach können die Mitgliedstaaten spezifischere Bestimmungen zur Anpassung der Anwendung der DS-GVO erlassen, wenn die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Unsicherheiten bestehen derzeit bei der Interpretation der neuen Regelungen Wie weit in diesem Zusammenhang die Wahrnehmung öffentlicher Aufgaben zu verstehen ist und was noch unter spezifischere Bestimmungen fällt, wird nicht weiter erläutert, was Spielraum für Interpretationen lässt. So vertritt der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen die Auffassung, dass dies eine so weitgehende Öffnung für die Datenverarbeitung im öffentlichen Raum darstelle, dass die Landesdatenschutzgesetze weiter anwendbar blieben, soweit sie nicht gegen die DS-GVO verstoßen und die DS-GVO daher letztendlich für die Datenverarbeitung im öffentlichen Bereich ledig lich Richtliniencharakter habe. Diese Einschätzung und Auslegung der Vorschriften scheint mit dem Ziel der DS-GVO, die Rechtsgrundlage für die Datenverarbeitung innerhalb der EU so weit wie möglich zu vereinheitlichen, kaum vereinbar. Es zeigt aber, welche Unsicherheiten derzeit bei der Interpretation der neuen Regelungen noch bestehen und dass abzuwarten bleibt, wie der deutsche Gesetzgeber auf Bundes- und Landesebene und schlussendlich der Europäische Gerichtshof diese auslegt. Es ist daher notwendig, den weiteren Verlauf zu beobachten und gegebenenfalls die Prozesse bei der Datenverarbeitung an weitere Vorschriften anzupassen. Wann und wie die Bundes- und Landesgesetzgeber in Deutschland reagieren, ist derzeit noch nicht absehbar. Jedenfalls ist zu erwarten, dass in den nächsten Jahren sogenannte Ausführungsgesetze zur DS-GVO verabschiedet werden, die hoffentlich weitgehend klarstellen, welche Regelungen aus Sicht der nationalen Gesetzgeber weiterhin Anwendung finden sollen. Dass dies aber in Deutschland bis zum Geltungsbeginn der DS-GVO gelingt, erscheint mit Blick auf die Bundestagswahlen im Herbst 2017 zumindest höchst fraglich. IV. Fazit für Hochschulen und Forschungseinrichtungen Für Hochschulen und Forschungseinrichtungen bedeutet dies, dass sie sich keineswegs auf die Aussage verlassen können, dass die bisherigen Landesdatenschutzgesetze größtenteils fortgelten, sondern stattdessen eine Überprüfung und Anpassung der bestehenden Datenverarbeitungsprozesse an die geänderte Rechtslage vorgenommen werden muss. Dabei ist zunächst die Datenschutzgrundverordnung heranzuziehen und nur im Ausnahmefall, wenn eine Öffnungsklausel besteht, weiterhin nationales Recht zu beachten. Da einige dieser Ausnahmen in für DFN-Mitglieder relevanten Bereichen bestehen, muss auch beobachtet werden, inwieweit die Bundes- und Landesgesetzgeber tätig werden. Zwar bleibt noch bis Mai 2018 Zeit, die neuen Vorgaben umzusetzen. Da es sich aber teilweise um tiefgreifende Änderungen handelt, die vermutlich einen hohen Verwaltungsaufwand verursachen (insbesondere die Gewährleistung der Betroffenenrechte) und bei Missachtung deutlich verschärfte Sanktionen drohen, sollte die Umsetzung möglichst bald beginnen. Die Forschungsstelle Recht im DFN wird in den nächsten Monaten an dieser Stelle zu verschiedenen Bereichen der DS-GVO Informationen zur Verfügung stellen. M Weitere Handlungsmöglichkeiten für die Mitgliedstaaten in Form von Öffnungsklauseln bestehen insbesondere noch für die Verarbeitung von biometrischen, genetischen und Gesundheitsdaten (Art. 9 Abs. 4), den Zugang zu amtlichen Dokumenten (Art. 86), die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber (Art. 88), zu Archivzwecken, wissenschaftlichen und historischen Forschungszwecken und statistischen Zwecken (Art. 89) und für die Datenverarbeitung durch Geheimhaltungspflichtige (Art. 90). Die insgesamt erhebliche Anzahl von Öffnungsklauseln führt nicht nur dazu, dass die verfolgte Vereinheitlichung des Datenschutzrechts in der EU wieder unterlaufen wird, sondern auch dazu, dass die Gesetzgeber der Mitgliedstaaten die bestehenden nationalen Regelungen überprüfen und gegebenenfalls tätig werden müssen.

64 64 DFN Mitteilungen Ausgabe 90 November 2016 DFN-VEREIN Übersicht über die Mitgliedseinrichtungen und Organe des DFN-Vereins (Stand: 11/2016) Laut Satzung fördert der DFN-Verein die Schaffung der Vo r- aussetzungen für die Errichtung, den Betrieb und die Nutzung eines rechnergestützten Informations- und Kommunikationssystems für die öffentlich geförderte und gemeinnützige Forschung in der Bundesrepublik Deutschland. Der Satzungszweck wird verwirklicht insbesondere durch Vergabe von Forschungsaufträgen und Organisation von Dienstleistungen zur Nutzung des Deutschen Forschungsnetzes. Als Mitglieder werden juristische Personen aufgenommen, von denen ein wesentlicher Beitrag zum Vereinszweck zu erwarten ist oder die dem Bereich der institutionell oder sonst aus öffentlichen Mitteln geförderten Forschung zuzurechnen sind. Sitz des Vereins ist Berlin.