Deutsches Forschungsnetz Mitteilungen Ausgabe 83 | November 2012

www.dfn.de

Mitteilungen

Wherever You Go

500.000 Eduroam-Access-Points in Europa

Light Fever!Eine neue DWDM-Plattform für das X-WiN

Crossing the Equator

a new high-speed link connects African radio astronomers to Europe

Impressum

Herausgeber: Verein zur Förderung

eines Deutschen Forschungsnetzes e. V.

DFN-Verein

Alexanderplatz 1, 10178 Berlin

Tel.: 030 - 88 42 99 - 0

Fax: 030 - 88 42 99 - 70

Mail: dfn-verein@dfn.de

Web: www.dfn.de

ISSN 0177-6894

Redaktion: Kai Hoelzner (kh)

Fotos: Torsten Kersting

Gestaltung: Labor3 | www.labor3.com

Druck: Rüss, Potsdam

© DFN-Verein 11/2012

Fotonachweis:

Titel © BeTa-Artworks - Fotolia.com

Seite 6/7 © Donatella Tandelli - Fotolia.com

Seite 24/25 © Dr. Michael Gaylard

Data-intensive science, as currently represented by the Large Hadron Collider (LHC), depends on

the smooth movement of vast amounts of data to a worldwide collaboration. Other, next genera-

tion science facilities will come on-line in the next 2-7 years and each of these will generate data

volumes comparable to the LHC that must be moved around the world: The Square Kilometer Ar-

ray (SKA) radio telescope, the Large Synoptic Survey Telescope (LSST), the Belle II physics experi-

ment at the Japanese high energy accelerator KEK, the global array of genome sequencers, com-

munity analysis of climate simulation data, the international fusion energy experiment ITER, etc.

This traffic is not at all typical of general Research & Education (R&E) network traffic, and must

be managed separately in order to ensure that both the science and the general network use will

perform as needed.

This situation has generated an unprecedented level of cooperation among the R&E networks

of the world.

New network infrastructure, such as the LHCONE science overlay network that supports the LHC

Tier 2 traffic, results from close cooperation and resource sharing among many R&E networks

around the world. Next generation technologies such as 100 Gb/s transport, switching, and rou-

ting equipment have been discussed among the R&E networks, tested, and deployed.

Multi-domain services are critical for supporting global collaboration, and require close coope-

ration of the R&E networks. One successful example of this is the end-to-end, guaranteed virtual

circuits prototype jointly developed by ESnet and Internet2 (US), CANARIE (Canada), and GÉANT

and the NRENs. Version 2 of this service is now being developed in the Open Grid Forum and the

Global Lambda Integrated Facility (GLIF) as the Network Service Interface (NSI).

GÉANT and it‘s GÉANT Expert Group GEG have displayed an exceptional level of recognition of the

importance of cross-domain services of all sorts, and the embrace of these, and their implemen-

tation progress, lead to an „excellent“ rating at the recent EC project review.

Driven in no small part by the importance that our societies place on understanding the univer-

se - from the cosmological to the quantum scale - and how it all relates to human life, has lead to

global scientific collaborations which both requires, and has gotten, new levels of cooperation

in R&E networking community.

Data-Intensive Science and R&E

Network Cooperation

William E. Johnston

Senior Scientist, Energy

Sciences Network (ESnet)

Lawrence Berkeley National

Laboratory, Berkeley,

California, USA

4 | DFN Mitteilungen Ausgabe 83 | November 2012

13 14

2

6

2

10

15

4

8

12

3

7

11

1

9

5

Unsere Autoren dieser Ausgabe im Überblick

1 Kai Hoelzner, DFN-Verein (hoelzner@dfn.de); 2 Ralf Paffrath, DFN-Verein

(paffrath@dfn.de); 3 Dr. Holger Beck, Gesellschaft für Wissenschaftliche

Datenverarbeitung mbH Göttingen, GWDG (holger.beck@gwdg.de);

4 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de); 5 Bettina Kauth,

DFN-Verein (kauth@noc.dfn.de); 6 Bruno Hoeft, Karlsruher Institut für Technologie

(bruno.hoeft@kit.edu); 7 Paul Müller, TU Kaiserslauten

(pmueller@informatik.uni-kl.de); 8 Heike Ausserfeld, DFN-Verein (ausserfeld@dfn.de);

9 Julian Fischer, Forschungsstelle Recht im DFN (recht@dfn.de);

10 Kevin Kuta, Forschungsstelle Recht im DFN (recht@dfn.de); 11 (o. Abb.) Reimer

Karlsen-Masur, DFN-CERT Services GmbH (karlsen-masur@dfn-cert.de).

5DFN Mitteilungen Ausgabe 83 |

Wissenschaftsnetz

Light Fever

Eine neue DWDM-Plattform für das X-WiN

von Kai Hoelzner ................ .............................................. 8

Wherever You Go – 500.000 Eduroam-Access-Points

in Europa

von Ralf Paffrath und Kai Hoelzner ................................ 12

Doppelpunkt! Das künftige Internet-Protokoll

verstehen

von Dr. Holger Beck ........................................................ 14

Kurzmeldungen ............................................................. 21

Campus

Uhrenvergleich – Synchronisation von Atomuhren

über das Glasfasernetz .................................................. 22

International

Museo Intercontinental – Live-Kollaboration von

MuseumspädagogInnen in Europa und Südamerika

über das Wissenschaftsnetz

von Kai Hoelzner ........................................................ ..... 26

eduPKI – Supporting Trust Requirements in Europe’s

Research Networks

von Reimer Karlsen-Masur und Dr. Ralf Gröper ............. 28

Europa und der Orient

von Bettina Kauth ...................................................... ..... 31

Eine Autobahn in 5 Minuten

von Bruno Hoeft ...................................................... ..... . 32

Future Internet

von Paul Müller ........................................................ ..... . 37

Global Research & Education Network Leaders

identify and work on top-challenges .................... ..... . 40

Crossing the Equator – New high-speed link connects

African radio astronomers to Europe ................... ..... . 41

Sicherheit

Sicherheit aktuell

von Heike Ausserfeld, Dr. Ralf Gröper,

Ralf Paffrath .................................................................... 43

Recht

Es bleibt alles anders!

von Julian Fischer ..................... ...................................... 44

Rapidshare vs. Rechteinhaber –

Ende einer unendlichen Geschichte?

von Kevin Kuta ................................................................ 47

DFN-Verein

Übersicht über die Mitgliedseinrichtungen

und Organe des DFN-Vereins ......................................... 51

Inhalt

6 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ

7WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |

WissenschaftsnetzLight Fever

Eine neue DWDM-Plattform für das X-WiN

von Kai Hoelzner

Wherever You Go

500.000 Eduroam-Access-Points in Europa

von Ralf Paffrath, Kai Hoelzner

Doppelpunkt! Das künftige Internet-Protokoll

verstehen

von Dr. Holger Beck

Kurzmeldungen

8 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ

Foto: © Tips Images

Light Fever – Eine neue DWDM-Plattform für das X-WiNMehr als 100 Standorte im Wissenschaftsnetz werden seit Sommer auf eine neue optische

Plattform migriert. Dabei wird die gesamte DWDM-Infrastruktur des Wissenschaftsnetzes

ausgetauscht – ein Wechsel, der neben gewaltigen Kapazitätssteigerungen auch einen enor-

men Zuwachs an Flexibilität und ein wesentlich komfortableres Management der unter der

IP-Ebene liegenden Schichten des Netzes mit sich bringt. Kern der Migrationsstrategie ist

ein Verbund parallel zu den zentralen Verbindungen des Wissenschaftsnetzes verlaufender

Faser-Verbindungen, der für die knapp dreimonatige Migrationszeit etabliert wurde. Anfang

2013 sollen sämtliche Teilstrecken des X-WiN in die neue optische Plattform integriert sein.

Text: Kai Hoelzner (DFN-Verein)

9WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |

Bei laufendem Betrieb

Keine Minute Ausfall der Internetverbindungen im X-WiN – so

lautet die Maxime aller Planungen, wenn es um die derzeit durch-

geführte Migration der optischen Plattform des Wissenschafts-

netzes geht. Und das ist kein leichtes Unterfangen angesichts

der Tatsache, dass keiner der neuen optischen Transmitter mit

den bisher genutzten DWDM-Geräten kompatibel ist. Und so be-

darf es also einiger Tricks und sehr viel Planung, um das Netz un-

terbrechungsfrei umzurüsten. Bildlich gesprochen gilt es, ein

komplettes Schienennetz auf eine neue Spurbreite upzugraden,

während der Zugverkehr ungehindert weiterrollt.

Voraussetzung für eine solche Migration ist, dass Teile des X-WiN

während des drei Monate dauernden Zeitraums der Migration

mit parallel bereitgestellten Glasfasern ausgestattet werden. Der

Kern dieser Parallelinstallation erstreckt sich zwischen Berlin,

Dresden, Erlangen, Frankfurt, Bonn, dem Ruhrgebiet und Hanno-

ver (siehe Abb. 1). Ausgehend von diesen parallel bereitgestell-

ten Fasern werden die einzelnen Spangen des Kernnetzes suk-

zessive mit neuen optischen Komponenten ausgerüstet, so dass

das X-WiN Ring für Ring um das parallele Fasersystem herum auf

die neue Plattform migriert werden kann. Überall dort, wo das

neue DWDM-System bereits installiert ist, laufen alte und neue

Technik parallel, bis am Ende der Migration der alte, nun red-

undant gewordene Optik-Backbone abgeschaltet werden kann.

Spange für Spange wird das Netz umgerüstet

Die Strategie der spangenweisen Umstellung ist unumgänglich,

weil es zum einen logistisch und technisch unmöglich wäre, sämt-

liche Kernnetzstandorte des X-WiN bei Weiterlaufen des alten

Systems mit neuer Technologie auszustatten, um dann am „Tag

X“ den Schalter umzulegen und das gesamte Netz in einem Mo-

ment auf die neue DWDM-Plattform umzuleiten. Zum anderen

lässt sich das X-WiN auch nicht Hop für Hop migrieren, in dem

Sinne, dass Strecke für Strecke einzelne Kernnetzstrecken zwi-

schen zwei Routern umgestellt werden, bis man bei den Migra-

tionsarbeiten irgendwann wieder dort ankommt, wo man mit

der ersten Streckenerneuerung begonnen hat.

Dass die Migration nur spangenweise erfolgen kann, liegt da-

ran, dass eine Vielzahl von Verbindungen auf optischer Ebene

durchgeschaltet werden. Dies betrifft sowohl die VPN einzelner

Anwender wie die logische Vermaschung der Standorte inner-

halb des X-WiN. So werden etwa die Strecken des SuperCore, al-

so dem inneren Gerüst des X-WiN, das sich zwischen Hannover,

Berlin, Erlangen und Frankfurt erstreckt, über mehrere Knoten

hinweg optisch geschaltet. Weil der Datenstrom an den einzel-

nen auf der Strecke liegenden Router-Stationen nicht auf die

Router-Ebene hochgereicht wird und der Transport auf der opti-

schen Ebene nur sortenrein vonstatten gehen kann, muss hier

also die gesamte Strecke in einem Zuge umgeschaltet werden.

Immer in zwei Schritten...

Die Umrüstung bei laufendem Betrieb des Netzes und die koor-

dinierte Inbetriebnahme ganzer Spangen in einem kurzen Zeit-

fenster muss im Detail sehr präzise geplant werden und sollte

in der Praxis absolut reibungslos ablaufen. Vor allem bedarf es

eines hohen Maßes an zeitlicher Synchronisation der einzelnen

Gewerke. Bis zu 13 Teams sind während der Migration der ein-

zelnen Stränge des Netzes gleichzeitig unterwegs, um entlang

der Faserverbindungen des X-WiN Kernnetzstandorte und Ver-

teilerstationen umzurüsten.

Die Migration der einzelnen Standorte findet dabei immer in zwei

Schritten statt. Im ersten Schritt wird die gesamte Hardware der

DWDM-Systeme montiert und verkabelt, im zweiten, der in der

Regel eine Woche nach der Installation erfolgt, wird der neue

Standort gemeinsam mit einer Reihe ebenfalls bereits umge-

rüsteter Standorte entlang einer Spange in Betrieb genommen.

Entlang eines solchen Pfades müssen dabei an allen Standorten

sprichwörtlich in einer Sekunde die Schalter umgelegt werden.

Dennoch bleiben die einzelnen Kernnetzstandorte nach vollen-

deter Installation der neuen DWDM-Technik für den Rest der Mi-

grationszeit an zwei optische Plattformen des Kernnetzes ange-

schlossen. Die Gesamthochschule Kassel etwa, die bereits rela-

tiv früh in der parallelen Faserinstallation mit „neuer“ Konnek-

tivität versorgt wird, bleibt bis Ende 2012 weiterhin auch über

die „alte“ optische Plattform erreichbar, über die benachbarte

Standorte wie die Universität Paderborn angeschlossen sind.

Die einzelnen Spangen können, wie etwa im Testgebiet in Ham-

burg, nur einige Kilometer lang sein, oder sie erstrecken sich über

hunderte von Kilometern und etliche Kernnetzknoten und Ver-

stärker-Standorte, wie auf der Strecke zwischen Garching und

Karlsruhe. Allen Spangen gemein jedoch ist, dass sie mit der pa-

rallelen Faserstruktur im Kernnetz verbunden werden, wodurch

sukzessive das alte Netz durch das neue ersetzt wird.

Planung ist das halbe Kernnetz

Damit dieser Ablauf reibungslos klappt, wurde unmittelbar nach

Zuschlagsvergabe an den künftigen DFN-Ausrüster ECI Telecom

im Mai 2012 damit begonnen, die ersten Vorbereitungen für die

Migration zu treffen. Sämtliche Schränke wurden an den Stand-

orten angeliefert, so dass sofort bei Eintreffen der ersten DWDM-

Systeme mit der Installation begonnen werden konnte. Anders

als bei den bisher verwendeten DWDM-Systemen hat sich der

DFN-Verein entschlossen, DWDM-Geräte und Schränke separat

10 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ

1

2

3

4

5

5

6

6

6

7

Glasfaser-Patchfeld für VPNs und X-WiN Kernnetz (hier noch unverkabelt)

Patchfelder für Remote-Management der Schränke oder für Kupfer-Verbindungen

Redundant abgesicherte Strom-versorgung mit Gleichspannungs-netzteilen:

Obere Reihe Standard-Stom

Untere Reihe Unterbrechungs-freie Stromversorgung

Gehäuse zur Aufnahme von passiven Modulen wie bspw. optischen Splittern

Fibre-Spooler und Cable Guidesfür die saubere Führung von Glasfaserkabeln

DWDM-Multiplexer Apollo OPT 9624

1

2

3

4

5

6

7

zu beschaffen, so dass zur restlichen Installation der Kernnetz-

knoten passende Schränke für die Unterbringung der Multiple-

xer-Anlagen installiert werden konnten. Motiviert war diese Ent-

scheidung durch den Wunsch, Zugriffe auf die Anlagen zukünf-

tig besser überwachen zu können.

Nachdem Ende August 2012 die ersten parallelen Glasfasern be-

reitgestellt wurden, konnte Mitte September mit der Implemen-

tierung der ECI-Technik an den ersten drei Standorten in Ham-

burg begonnen werden. Der DFN-Verein hat dabei bewusst eine

sehr kurze Spange mit nur drei Standorten gewählt, da auf der

Grundlage dieser Erst-Installation die Anleitungen für eine stan-

dardisierte Installation an allen übrigen Standorten erstellt wer-

den konnten. Am 27. September konnte schließlich „First Light“

vermeldet werden: Die erste Verbindung des X-WiN, die über die

neue DWDM-Technik realisiert wurde, war funktionstüchtig!

Erstmal aufräumen!

Insgesamt 54 Kernnetzknoten, 12 VPN-Knoten des Deutschen

Wetterdienstes und 45 Verstärker-Standorte werden bis Ende

November 2012 umgerüstet sein. Eine besondere Herausforde-

rung besteht unter anderem darin, dass früher oder später an

allen Standorten sowohl die bisherige DWDM-Technologie von

Huawei als auch die neuen ECI-Geräte betriebsbereit sein müs-

sen. Bei dem nicht immer üppigen Platzangebot in den einzel-

nen Standorten war also bereits vor Beginn der Ausschreibung

im Herbst des vergangenen Jahres ein gründliches Aufräumen an-

gesagt. Vorhandene Schränke mussten versetzt, teilweise nicht

mehr genutzte Schränke und Geräte entsorgt oder von ihren Lie-

feranten oder Providern abgeholt werden. Insgesamt galt es, die

architektonische Gesamtsituation kritisch auf die Frage hin zu

prüfen, ob das Migrationskonzept des DFN-Vereins durchführ-

bar ist. Gegenüber einem Austausch von Routern, bei dem un-

ter Umständen nur ein neues Chassis in einen schon vorhande-

nen Schrank eingeschoben werden muss, gestaltet sich der Aus-

tausch optischer Multiplexer um einiges komplizierter. Nicht nur

Schrankmaße, sondern auch die Anforderungen an die Stromver-

sorgung sind von Hersteller zu Hersteller unterschiedlich. Bei

der Migration der X-WiN-Optik kam hinzu, dass der DFN-Verein

die Schränke zur Aufnahme der DWDM-Technik bewusst separat

beschafft hat und künftig auch selbst managen wird. Dadurch

kann nicht nur der Zugang zu den Anlagen besser kontrolliert

werden als bisher, sondern der DFN-Verein gewinnt zusätzlich

die Hoheit über die Stromversorgung sämtlicher Geräte, was in

vielerlei Hinsicht sinnvoll ist. Zum einen kann so das Aufstel-

len mehrerer Netzteile vermieden werden, da bereits bei der Be-

schaffung auf mögliche künftige Anforderungen an die Strom-

versorgung Rücksicht genommen werden kann. Auch kann der

DFN-Verein flexibler bei eventuell notwendig werdender Orga-

nisation von Ersatzstrom agieren. Ein eigenes Schrankmanage-

ment durchzuführen bedeutet aber auch, umfassende Kontrol-

le über elektronische Türschlösser und die zu vergebenden Zu-

gangs-Codes auszuüben. Vor allem aber – und dies erweist sich

insbesondere während der laufenden Migrationsarbeiten als im-

mer wieder notwendig – ist das geschickte Ausnutzen von Platz-

vorgaben vor Ort an vielen Standorten ein dringendes Gebot.

Nach Abbau alter, nicht mehr benötigter Technik und der Instal-

lation der neuen Schränke wurden zunächst die Patchfelder für

die Multiplexer sowie die Verkabelung in den Räumen vorberei-

tet, um später während der eigentlichen Migrationsphase wert-

volle Zeit bei den Installationsarbeiten zu sparen. Schlussendlich

müssen alle Installationsarbeiten akribisch dokumentiert wer-

den, um bei Austausch oder Erweiterung von Komponenten und

sonstigen Eingriffen in das DWDM-System nachvollziehbare Un-

terlagen für Planung und Durchführung bereitstellen zu können.

Ausbau der Faserplattform

Parallel zur Migration der optischen Plattform hat der DFN-Ver-

ein die Faserplattform weiter ausgebaut, wodurch bisherige Car-

rier-Verbindungen durch geschlossene Faserringe ersetzt wer-

den konnten. Dies betrifft die Anbindung des Standortes Saar-

brücken, der bislang nur durch eine Faser an Kaiserslautern an-

gebunden war, die mit einer redundanten Carrier-Verbindung

nach Frankfurt/Main abgesichert werden musste. Künftig wird

Abb. 1 Blick in einen Kernnetzknoten

11WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |

hier eine Faser von Saarbrücken nach Bonn einen Ring schlie-

ßen, der die notwendige Ausfallsicherheit garantiert. Der Stand-

ort Zeuthen wurde in die Verbindung zwischen TU Berlin und

Frankfurt/Oder integriert. Von Frankfurt/Oder führt künftig ei-

ne Faserstrecke über Greifswald nach Rostock.

Im Ergebnis dieser Ausbauarbeiten sind Carrier-Verbindungen

im Kernnetz des X-WiN im kommenden Jahr nur noch sehr ver-

einzelt anzutreffen. Der Standort Kiel, der per Faser mit Ham-

burg verbunden ist, bleibt auch im kommenden Jahr mit einer

redundanten Carrier-Verbindung nach Rostock abgesichert. Der

Standort Augsburg konnte als einziger Kernnetzstandort bislang

nicht per Faser versorgt werden und ist mit zwei Carrier-Verbin-

dungen nach Erlangen und Garching in das Kernnetz des X-WiN

integriert. Trotz eines Faserringes, der vom Karlsruher KIT über

Kaiserslautern und Saarbrücken nach Bonn läuft, bleibt die re-

dundante Carrier-Verbindung von Kaiserslautern nach Frankfurt/

Main vorerst bestehen, da die beiden Fasertrassen, die nach Kai-

serslautern führen, aufgrund der dortigen geografischen Ver-

hältnisse räumlich gesehen auf einigen Kilometern zwischen

Kaiserslautern und Landstuhl im gleichen Schacht verlaufen.

Mehr Bandbreite!? Mehr Flexibilität!

Die Potenziale der Leistungssteigerung, die im X-WiN mit der

neuen optischen Plattform zur Verfügung stehen, sind beein-

druckend. Bei 88 möglichen Wellenlängen pro Faser und Über-

tragungsraten von bis zu 100 Gbit/s je Wellenlänge liegt die Ka-

pazitätsobergrenze einer einzelnen Faser bei 8.800 Gbit/s. Über

die Übertragungsrate hinaus aber hat die neue optische Platt-

form von ECI weiteres Potenzial, mit dem der Betrieb und die

Weiterentwicklung des X-WiN unterstützt werden. In weit um-

fänglicherem Maß als bisher ermöglichen die Multiplexer, Be-

triebs- und Überwachungsaufgaben selbst wahrzunehmen. Der

DFN-Verein kann also seine Betriebsstrategie in den kommenden

Jahren flexibler gestalten und bei Bedarf schneller an die Anfor-

derungen seiner Anwender anpassen. So wird es für künftige Ver-

bindungen möglich sein, aus der Ferne optische Pfade zu schal-

ten, um etwa zu stark ausgelastete Kernnetzstrecken zu entlas-

ten oder Wellenlängen für VPNs zu realisieren. Bisher musste

dafür an den Standorten manuell konfiguriert und gemessen

werden, was meist mehrere Wochen ab Beauftragung dauerte.

Aber nicht nur das Remote-Management der neuen optischen

Plattform ist deutlich moderner als das bisherige System. Gegen-

über den bisher eingesetzten Geräten sind die ECI-Multiplexer

auch deutlich kleiner und in Relation zu ihrer Leistungsfähig-

keit wenig energiehungrig. Größter Vorteil ist aber der modula-

re Aufbau der Geräte. So stehen an den Verstärker-Standorten

zwar kleinere Chassis, die in diesen Chassis verbauten Module

sind aber vollständig kompatibel zu den Chassis an den Kern-

netzknoten. Das alles ist für den DFN-Verein als Kunden sehr

transparent und ermöglicht daher bessere Abstimmung, Kont-

rolle der Dienstleister und nicht zuletzt auch eine bessere Pla-

nung und Durchführung künftiger Erweiterungen oder Kapazi-

tätssteigerungen des Netzes. M

BON

ZEU

LEI

KEH

KIE

SAA

STB

GAR

ERL

BAY

FZJ

AAC BIR

POT

TUB

FZK

BRE

HAN

BRA MAGBIE

FRA

HEI

STU

REG

DRE

CHE

ZIB

ILM

JEN

ESF

HUB

ADH

AWI

BAS

KAI

HAMDES

DKR ROS

KAS

PAD

GIEMAR

GOE

DORWUP

FHM

AUG

EWE

ENS

WUE

GRE

DUI

MUE

FFO

BOC

GSI

SLU

Wellenlänge Glasfaserpaar

Parallel bereit-gestellte Faser

neues Glasfaser-paar (Q IV/12)

BON

ZEU

LEI

KEH

KIE

SAA

STB

GAR

ERL

BAY

FZJ

AAC BIR

POT

TUB

FZK

BRE

HAN

BRA MAGBIE

FRA

HEI

STU

REG

DRE

CHE

ZIB

ILM

JEN

ESF

HUB

ADH

AWI

BAS

KAI

HAMDES

DKR ROS

KAS

PAD

GIEMAR

GOE

DORWUP

FHM

AUG

EWE

ENS

WUE

GRE

DUI

MUE

FFO

BOC

GSI

SLU

Wellenlänge Glasfaserpaar

Parallel bereit-gestellte Faser

neues Glasfaser-paar (Q IV/12)

Abb. 2: Während der Migration auf die neue Optische

Plattform werden Teile des X-WiN über einen parallel zu

den bislang genutzten Fasern etablierten zweiten Back-

bone verknüpft, der bereits mit den neuen optischen

Komponenten beleuchtet wird. „Spange für Spange“ wer-

den dann die „alten“ Strecken auf die neue Technik um-

gerüstet.

12 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ

Wherever You Go – 500.000Eduroam-Access-Points in Europa

Text: Ralf Paffrath (DFN-Verein), Kai Hoelzner (DFN-Verein)

Vorbei die Zeit, da DFNRoaming nur von einer kleinen Zahl Reisender und zudem tech-

nisch versierter Wissenschaftler genutzt wurde. Mehr als eine halbe Million Endgeräte

waren im vergangenen Jahr mit DFNRoaming bzw. eduroam im Wissenschaftsnetz

unterwegs. Vom Erstsemester bis zum Professor nutzt etwa jeder Sechste den mobile-

IP-Dienst des DFN-Vereins. Höchste Zeit, mit Roaming-Maps und Tools für eine auto-

matisierte Konfiguration von Laptops und Smartphones etwas für die Usability zu tun.

Nachdem bereits seit Anfang des Jahres die eduroam-App verfügbar ist, geht nun der

eduroam-Konfigurationsassistent an den Start.

thentifiziert, wobei zu berücksichtigen ist,

dass der eine oder andere Nutzer sich nicht

nur mit einem Laptop, sondern zusätzlich

auch mit seinem Smartphone oder einem

Tablet-PC einloggt, so dass die Zahl nur be-

dingt Aufschluss über die absolute Nut-

Jeder Sechste nutzt DFNRoaming

Der Startschuss für den Dienst DFNRoa-

ming/eduroam fiel am 01.01.2004 . Seitdem

entwickelte sich eduroam von einem „zar-

ten Pflänzchen zu einem kräftigen Baum“.

Mittlerweile ist der Dienst aus dem Alltag

vieler Studierender und Wissenschaftler

nicht mehr wegzudenken. Im Versorgungs-

gebiet des Deutschen Forschungsnetzes

nehmen heute 255 Einrichtungen am DFN-

Roaming teil, die an mehr als 400 Standor-

ten fast 50.000 Access Points zur Verfügung

stellen. Monat für Monat authentifizieren

sich hier 380.000 Roaming-Nutzer, nach wie

vor mit stark steigender Tendenz: Im Jahr

2012 war ein Nutzerzuwachs von fast 50

Prozent zu verzeichnen. Bemerkenswert

sind dabei auch die Zahlen internationa-

ler Roaming-Aktivitäten. Allein 12 Prozent

der Nutzer kommen aus ausländischen Wis-

senschaftsinstitutionen, und ebenfalls 12

Prozent der Nutzer „roamen“ von Deutsch-

land aus ins Ausland.

Insgesamt haben sich im vergangenen Jahr

über 560.000 verschiedene Endgeräte au-

zerzahl des Dienstes gibt. Dennoch: Mehr

als eine halbe Million Endgeräte deuten

angesichts der knapp 2,4 Millionen Studie-

renden und etwa 600.000 MitarbeiterInnen

an Hochschulen auf eine enorme Verbrei-

tung des Dienstes. Trotz massiv gestiege-

Einen schnellen Überblick über vorhandene eduroam-Zugänge bietet seit kurzem die eduroam-App.

13WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |

Der DFN-Verein hat sich im vergangenen

Jahr intensiv bemüht, die Peripherie des

Dienstes mit sinnvollen Add-Ons wie der

„eduroam Map“ auszustatten, mit der sich

Nutzer über die in der Nähe befindlichen

Access-Points informieren können. Vor al-

lem aber galt es, ein geeignetes Tool zu

entwickeln, mit dem die Rechenzentren in

Fragen der Endnutzer-Betreuung effektiv

entlastet werden und mit dem sich die Er-

folgsquote beim Konfigurieren für jeden

Studierenden erhöhen lässt.

Konfiguration OnTheFly

Mittels eines Konfigurations-Assistenten

wird Nutzern künftig ein weitgehend auto-

matisiertes Konfigurieren ihres Rechners

oder Smartphones möglich sein. Das Kon-

figTool funktioniert nach dem Prinzip, dass

Rechenzentren die Konfigurationsdaten

ihrer Einrichtung in einer Datenbank beim

DFN-Verein hinterlegen und im weiteren

Verlauf auch selbst verwalten. Endnut-

zer können über ein Web-Frontend oder

über die Nutzung eines QR-Codes die für

ihr Betriebssystem passende Konfigura-

tionsdatei herunterladen. Dabei wird ein

Programm generiert, das entweder auto-

matisch ausgeführt oder als ausführbare

Datei durch einen simplen Doppelklick ge-

startet wird.

Anschließend werden die Nutzer durch ein

interaktives Installationsmenü geführt, in

dem sie, sofern die Einrichtung nicht an der

DFN-PKI teilnimmt, ihre individuelle Ken-

nung und ihr Passwort für DFNRoaming/

eduroam eingeben können. Diese Login-

Daten werden den Studierenden in vielen

Einrichtungen heute bereits bei der Imma-

trikulation bereitgestellt.

Für die Studierenden und Mitarbeiter der

Hochschulen ist die Nutzung des Konfigu-

rationstools in der Regel mit dem Scan-

nen eines QR-Codes oder einem Doppel-

klick bewerkstelligt. Doch auch für die Re-

chenzentren ist das Einpflegen der Daten

kaum komplizierter als die Konfiguration

eines einzelnen Gerätes. Pro Betriebssys-

tem müssen Daten, die dann unter Um-

ständen von hunderten von Windows-

Systemen übernommen werden, nur ein

einziges Mal über eine Web-Schnittstelle

eingegeben werden. Unterstützt werden

dabei derzeit die Systeme Windows ab XP

SP3 aufwärts, MacOS X 10.7 sowie die gän-

gigen Linux-Systeme. In Vorbereitung be-

findet sich die Unterstützung von Andro-

id-Smartphones und weiterer Generatio-

nen von Windows bzw. Mac OS X.

Weiterhin kann das Rechenzentrum auf

der Konfigurations-Web-Seite Help-Desk-

Angaben und besondere Hinweise hinter-

legen, etwa, wenn keine DFN-PKI genutzt

wird und darum für das Management der

Zertifikate ein alternatives Verfahren an-

geboten wird.

Der Pilotbetrieb für den eduroam Konfi-

gurationsassistenten läuft seit November

und ist offen für jede Einrichtung, die In-

teresse am DFNRoaming/eduroam hat. M

ner Nutzerzahlen deutet der Nutzungszu-

wachs von 50 Prozent allein im vergange-

nen Jahr nicht darauf hin, dass ein Ende der

Fahnenstange bislang in Aussicht stünde.

eduroam-App und One-Klick-Konfiguration

So erfreulich die absoluten Zuwachszah-

len bei DFNRoaming/eduroam für die vie-

len engagierten Mitarbeiter in den Rechen-

zentren sind, die den Dienst an ihren Hoch-

schulen zur Verfügung stellen, so bringen

sie auch neue Aufgaben mit sich. Längst

kann nicht mehr davon ausgegangen wer-

den, dass hauptsächlich technisch versier-

te Studierende, denen die Konfiguration

ihrer Rechner und Smartphones leicht von

der Hand geht, roamen. Nicht vergessen

werden darf auch, dass die meisten Stu-

dierenden erst seit sehr kurzer Zeit über

einen Laptop oder ein Smartphone verfü-

gen und bei Konfigurationsvorgängen kei-

nesfalls über die Erfahrung eines Informa-

tikers verfügen.

Der Konfigurationsassistent ist ein Tool zum Einrichten von eduroam. Rechenzentren können in weni-

gen Schritten Installer für die verschiedenen Betriebssysteme ihrer Endnutzer erstellen. Diese können

bei Bedarf als QR-Code heruntergeladen werden.

14 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ

Text: Dr. Holger Beck (Gesellschaft für Wissenschaftliche Datenverarbeitung mbH Göttingen, GWDG)

Doppelpunkt! Das künftige Internet-Protokoll verstehenImmer mehr Hochschulen arbeiten heute an der Einführung von IPv6 in ihren Einrichtungen und

betreiben immer größer werdende Rechner-Pools als IPv6-Inseln. Auch die gängigen Betriebssyste-

me für PCs werden inzwischen IPv6-fähig ausgeliefert. Vorreiter-Dienste wie Google oder heise.de

werden so von vielen Nutzern längst unwissentlich über IPv6 angesprochen. Höchste Zeit also,

sich Schreibweise und Struktur des neuen Adressraums genauer anzuschauen und mit den neuen

Adressen Freundschaft zu schließen.

Foto: © manun / photocase.com

15WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |

(momentane) IPv6-Adresse des Computers

des Autors lautet 2001:0638:060f:1000:bd6

e:fd3d:0ccb:de5b.

Die Adresse des Servers enthält sehr vie-

le Nullen, einige davon sind ‚führende‘, al-

so vorangestellte Nullen in den einzelnen

Adressteilen (warum die Adresse des Ar-

beitsplatzrechners kaum Nullen enthält,

wird sich später zeigen, wenn die Struktur

der Adressen erläutert wird). Für Adressen

mit vielen Nullen haben sich die IPv6-Ent-

wickler zwei Vereinfachungen ausgedacht:

• Führende Nullen in den 16 Adress-

teilen können weggelassen werden.

Damit vereinfacht sich die Adres-

se von ftp5 zu 2001:638:60f:110:0:0:1:1

• Mehrere Adressteile, deren Wert 0 ist,

können zusammengefasst werden,

indem man den ganzen Bereich weg-

lässt und nur noch :: schreibt, für ftp5

also 2001:638:60f:110::1:1. So sieht die

Adresse dann schon etwas übersicht-

licher aus.

Die Zusammenfassung mit :: kann man al-

lerdings in einer Adresse immer nur ein-

mal machen. Andernfalls wäre die Schreib-

weise der Adresse nicht mehr eindeutig.

Welche Folge von Nullen man ersetzt, ist

dem Schreiber freigestellt. Meist wird man

sinnvollerweise die längste Folge ersetzen.

Wer die beiden Adressen des Servers und

des Arbeitsplatzrechners aufmerksam ver-

glichen hat, dem wird vielleicht aufgefal-

len sein, dass die ersten drei Adressteile

gleich sind (jeweils 2001:638:60f). Wer da-

rin wieder eine Art Vorwahl vermutet, hat

richtig mitgedacht.

Adressstrukturen – Identifizie-rung und Lokalisierung

Tatsächlich hat eine IPv6-Adresse wie schon

die IPv4-Adresse eine hierarchische Struk-

tur analog zu Telefonnummern, von de-

nen wir ja auch die Gliederung in Landes-

vorwahl, Ortsvorwahl, Telefonanlage und

Zunächst einmal definitiv nicht einfach

als Dezimalzahl mit 39 Stellen. Schon bei

IPv4 hatte man eine spezielle Strukturie-

rung gewählt, nämlich die Aufteilung in 4

Bytes, von denen jedes einzelne dezimal

geschrieben wird. Jedes Byte kann einen

Wert zwischen 0 und 255 haben. Zwischen

zwei Bytes schreibt man dabei jeweils ei-

nen Punkt. Die IPv4-Adresse des WWW-

Servers der GWDG wird also nicht dezimal

als 2.253.130.287, sondern in vier Bytes ge-

trennt als 134.76.10.47 geschrieben. Diese

„Dotted Decimal Notation“ vereinfacht den

Umgang mit den Adressen erheblich, wenn

man bedenkt, dass 134.76. so etwas wie

die „Vorwahl“ für das Göttinger Netz GÖ-

NET, die 10 die „Nebenstelle“ für des Netz

der Server der GWDG und nur die 47 al-

so die „Durchwahl“ des Servers ist. Wenn

man in dieser Analogie mit der Telefonie

bleibt, ist z. B. die „Durchwahl“ des Mail-

servers die 26, die Adresse also vollstän-

dig 134.76.10.26.

Würde man bei IPv6 wieder eine „Dotted

Dezimal Notation“ verwenden, bestän-

de die Adresse aus 16 Bytes. Die IPv6-Ad-

resse von ftp5.gwdg.de würde sich dann

32.1.6.56.6.15.1.16.0.0.0.0.0.1.0.1 schreiben.

Die IPv6-Entwickler haben sich aber nicht

für eine solche Schreibweise entschieden.

Vielmehr hat man sich entschlossen, die

Adresse nicht in 16 Teilen zu je 8 Bit oder ei-

nem Byte zu schreiben, sondern in 8 Teilen

zu je 16 Bit oder 2 Byte. Als Trennzeichen

werden statt einfachen Punkten Doppel-

punkte verwendet. Jeder Teil der Adresse

wird zudem nicht als Dezimal-, sondern

als Hexadezimalzahl geschrieben. Letzte-

res ist für den Durchschnittsbürger eher

ungewöhnlich. Computer mögen dage-

gen eher Zahlen, deren Basis eine Zwei-

erpotenz ist. Aber wie später noch gezeigt

wird, ist die Idee, Hexadezimalzahlen zu

verwenden, nicht nur ein verrückter Ein-

fall von Nerds, die es Normalsterblichen

mal zeigen wollen.

Die IPv6-Adresse des Servers ftp5.gwdg.de

schreibt sich in dieser Darstellungsweise

2001:0638:060f:0110:0000:0000:0001:0001, die

Mehr Adressen – lange Adressen

Der Hauptgrund für die Einführung von

IPv6 ist die Knappheit der IPv4-Adressen.

Man benötigt mehr Adressen, als IPv4 mit

32 Bit bzw. 4 Byte langen Adressen bereit-

stellen kann. Damit sind maximal 232, al-

so 4.294.967.296 (ca. 4 Milliarden) Adressen

möglich. Das ist noch nicht einmal eine

für jeden Menschen auf dieser Erde und

leider benötigen die modernen Rechner-,

Pad- und Smartphone-Besitzer gleich meh-

rere für ihre vielen Geräte.

IPv6 verwendet 128 Bit bzw. 16 Byte lange

Adressen. Der Adressraum enthält also 2128

Adressen oder in Gänze ausgeschrieben

340.282.366.920.938.463.463.374.607.431.76

8.211.456 oder ca. 340 x 1036 Adressen. Eine

solch große Zahl zwingt dann schon ein-

mal nachzulesen, wie man diese benennt

und was denn nach Billiarden oder Trilliar-

den kommt: Nach europäischer Benennung

sind das 340 Sextillionen IPv6-Adressen.

Wenn die Angabe in Wikipedia stimmt und

die Erde eine Oberfläche von 510 Millionen

km2 hat, dann bietet IPv6 66,7 Trillionen

Adressen pro Quadratzentimeter Erdober-

fläche. Adressknappheit ist da auf lange

Sicht nicht zu erwarten.

Einen Nachteil hat der große Adressraum

aber: Während IPv4-Adressen dezimal ge-

schrieben maximal 10-stellig sind, würde

man für eine IPv6-Adresse nun bei Dezi-

malschreibung 39 Stellen benötigen. Auf

uns kommt ein ähnliches Problem wie mit

den Telefonnummern zu, die früher drei-

bis fünfstellig und halbwegs merkbar und

wählbar waren. Heute sind (ohne Vorwah-

len) acht Stellen normal und wenige kön-

nen sich die mal so eben merken. Zum

Glück werden beim Telefonieren zum Wäh-

len immerhin keine Drehscheiben mehr

verwendet und Telefone mit großen Ad-

ressbüchern lassen einen fast vergessen,

dass es überhaupt Telefonnummern gibt.

Zurück zu IPv6: Wie schreibt man nun ei-

ne 39-stellige IPv6-Adresse?

16 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ

den oben genannten Adressen mit den-

selben Ziffern beginnen. Das ist vielmehr

zwingend.

Noch ein kleiner Exkurs: Wegen der Weg-

ermittlung hat man sich schon bei IPv4

entschieden, Adressen nicht den Geräten

als solchen, sondern den Netzwerkschnitt-

stellen der Geräte zuzuordnen. Denn bei

einem Gerät, das über mehrere Netzwerk-

schnittstellen mit mehreren Netzen ver-

bunden ist, gibt es auch mehrere Wege zu

diesem Gerät, die über verschiedene Ad-

ressen des Geräts unterschieden werden.

Wenn man die Adressen verschiedener

deutscher Universitäten und Forschungs-

einrichtungen vergleicht, wird man bei den

meisten feststellen, dass deren Adressen

alle mit 2001:638 beginnen (jedenfalls bei

allen, die am Wissenschaftsnetz X-WiN an-

geschlossen sind und ihre Adressen vom

DFN-Verein als X-WiN-Betreiber erhalten

haben). Aus der weiten Welt des Internets

betrachtet, ist ja auch der Weg zu deut-

schen Forschungseinrichtungen im DFN

eben fast gleich. Nur der letzte Schritt ist

ein wenig unterschiedlich – wie eben auch

die Adresse.

In der IPv4-Welt gab es keine so konsequen-

te hierarchische Strukturierung (wohl weil

man zu Anfang ein so rasantes Wachstum

des Netzes nicht erwartet hatte). X-WiN-

Teilnehmer waren an IPv4-Adressen kaum

von vielen anderen Netzteilnehmern zu

unterscheiden. Bei der IPv6-Entwicklung

hat man von Beginn an bedacht, dass bei

einem Netz mit potentiell 340 Sextillionen

Teilnehmern die Lokalisierung der teilneh-

menden Geräte und damit die Zustellung

von Daten enorm aufwändig werden dürf-

te, wenn man nicht von Anfang an eine

konsequente Strukturierung des Adress-

raumes vornimmt.

Adressstrukturen – Netz und Interface

Unterteilung der Adressen

Beschreibt nun die ganze IPv6-Adresse die

Lokalität eines Gerätes am Netz?

So weit sind die Entwickler nicht gegan-

gen. Das wäre bei heutigen Netzen auch

nicht sinnvoll, denn moderne lokale Netze,

seien es kabelgebundene LANs (Lokal Area

Networks) oder drahtlose WLANs (Wireless

Local Area Networks) sind relativ unstruk-

turierte Gebilde, in denen eine Hierarchi-

sierung bis zum letzten Netzteilnehmer

gar nicht möglich ist. Man hat sich daher

entschlossen, nur einen Teil der Adresse

für die Lokalisierungsfunktion zu verwen-

den und damit das Netz zu bezeichnen, an

dem ein Gerät angeschlossen ist.

Sinnvollerweise bezeichnen jeweils die Zif-

fern am Beginn der Adresse die jeweils hö-

heren Hierarchiestufen im Netz.

Der Standard unterteilt die Netzwerkbe-

zeichnung in einen „Global Routing Pre-

fix“, der über die Internet Assigned Num-

ber Authority (IANA) der ICANN, über eine

Regional Internet Registry (RIR) und über

eine Local Internet Registry (LIR) vergeben

wird, sowie in eine Subnet ID, die inner-

halb des Netzes des Endkunden festgelegt

werden kann. Beide Teile zusammen bele-

gen (in den meisten Fällen) die ersten 64

Bit der IPv6-Adresse. Die restlichen 64 Bit

bilden dann die Interface ID, die weiter un-

ten noch beschrieben wird.

Schreibweise von Netzwerkbezeichnun-

gen

Für die Bezeichnung eines Netzes gibt man

normalerweise nur die dafür signifikanten

Teile der Adresse an. Für das Netz der GWDG

also nur 2001:638:60f::. Nicht jedes Netz

lässt sich in der Hexadezimalschreibwei-

se eindeutig bezeichnen, wenn die Netz-

Nebenstelle kennen (auch wenn es neuer-

dings ein paar Aufweichungen der Struk-

tur durch Rufnummernmitnahme gibt).

IPv6 ist hier noch konsequenter als IPv4

in dem Versuch, hierarchische Strukturen

der Verkehrsflüsse in den Adressen abzu-

bilden. Warum darauf Wert gelegt wird,

dazu später mehr.

Zunächst müssen wir uns klarmachen,

dass IP-Adressen (v4 und v6) zwei Funk-

tionen haben:

• IP-Adressen definieren ein (meist

weltweit) eindeutiges Merkmal zur

Identifizierung eines Gerätes im

Netz (genau genommen einer Netz-

werkschnittstelle eines Endgerätes).

• IP-Adressen dienen der Lokalisierung

eines Geräts im Netz und damit der Er-

mittlung eines Weges, über den das Ge-

rät im Netz erreicht werden kann.

Ginge es nur um die eindeutige Identifizie-

rung von Geräten, würde eine vollkommen

unstrukturierte Adresse ausreichen. MAC-

Adressen von Ethernet-Adaptern dienen

z. B. nur der Identifizierung und haben da-

her keine Struktur (wenn man mal davon

absieht, dass die erste Hälfte der Adres-

se vom Hersteller des Adapters abhängt

– aber das ist nur ein Hilfsmittel, um die

Garantie der Eindeutigkeit sicher an die

Hersteller delegieren zu können).

IP-Adressen dienen aber auch der Lokali-

sierung eines Gerätes und damit der Auf-

findbarkeit eines Weges zu diesem Gerät

im Netz, und deshalb muss darin irgend-

wie die Struktur des Internets abgebildet

werden. Es ist also kein Zufall, dass die bei-

Global Routing Prefix

n Bit

SubnetID

64-n Bit

Interface ID

64 Bit

64 Bit 64 Bit

Abb. 1: Aufbau einer IPv6-Adresse

17WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |

nummer nicht genau in einen 16-Bit-Block

passt. Wollte man das Netz der GWDG in

vier gleiche Teile unterteilen, so würden die

Adressen der Geräte in diesen Netzen mit

2001:638:60f:0000,

2001:638:60f:4000,

2001:638:60f:8000 und

2001:638:60f:c000

beginnen (in der ersten Zeile ist am Ende

die 0000 wegen der besseren Vergleichbar-

keit ausgeschrieben). Würde man das Netz

nur in zwei Teile teilen, müssten die bei-

den Netze mit

2001:638:60f:0000 und

2001:638:60f:8000

bezeichnet werden. Der Vergleich der bei-

den Beispiele zeigt, dass man die Netze

auf diesem Wege nicht eindeutig beschrei-

ben kann. Im ersten Beispiel würden al-

le Adressen, die mit 2001:638:60f:0000 bis

2001:638:60f:3fff beginnen, zu dem ersten

Teilnetz gehören, im zweiten Beispiel wä-

ren es Adressen, die mit 2001:638:60f:0000

bis 2001:638:60f:7fff beginnen.

Daher benötigt man eine zusätzliche Me-

thode, um genau anzugeben, welcher Teil

einer Adresse zur Bezeichnung eines Net-

zes verwendet wird. Wie schon in der CIDR-

Notation von IPv4, gibt man auch bei IPv6

hinter einem „ / “ die Anzahl der Bits an,

die zur Benennung des Netzes oder Netz-

bereiches verwendet werden. In unseren

Beispielen wären im ersten Beispiel dann

die eindeutigen Bezeichnungen

2001:638:60f:0000/50,

2001:638:60f:4000/50,

2001:638:60f:8000/50 und

2001:638:60f:c000/50

(je 16 Bit in den drei ersten Adressteilen

und 2 Bit für die Vierteilung), während im

zweiten Beispiel

2001:638:60f:0000/49 und

2001:638:60f:8000/49

korrekt wären (die Halbierung benötigt

nur ein Bit).

Interface ID

In der IPv4-Welt konnten (oder mussten)

Netze fast beliebig klein definiert werden

(vier Adressen pro Netz war das Minimum).

Bei der Entwicklung von IPv6 hat man sich

entschieden, eine recht große Minimalgrö-

ße für ein lokales IPv6-Netz festzulegen.Nur

die Hälfte der IP-Adresse kann zur Bezeich-

nung eines Netzes verwendet werden (al-

so ein /64er-Adressbereich). In (fast) jedem

Fall müssen die letzten 64 Bit der IPv6-Ad-

resse zur Bezeichnung der Endgeräte in-

nerhalb eines lokalen Netzes verwendet

werden. Diesen Bezeichner nennt man In-

terface Identifier oder Interface ID.

Damit ist auf jeden Fall sichergestellt, dass

in keinem lokalen Netz jemals IPv6-Adres-

sen knapp werden können. Mit 64 Bit lan-

gen Adressen gibt es in einem jeden Netz

264 Adressen. Ausgeschrieben sind das

18.446.744.073.709.551.616, also ca. 18 Tril-

lionen Adressen. Das sollte eigentlich für

jedes lokale Netz reichen.

Die Interface ID kann man, wie es bei IPv6

üblich ist, einfach manuell vergeben. Für

den Server ftp5 wurde so vorgegangen,

und dabei ist eine relativ leicht merkba-

re Interface ID ::1:1 herausgekommen. Auch

für die Wahl der Interface IDs kann man

eine Systematik entwickeln. Alle Rechner

mit Adressen ::1:x könnten FTP-Server sein.

Webserver könnten Adressen ::2:x bekom-

men usw. Die Gestaltungsmöglichkeiten

sind mit IPv6 dank des 64-Bit-Bereiches

recht groß.

Die obige Adresse des Arbeitsplatzrechners

sieht dagegen kryptisch und kaum merk-

bar aus. So eine Adresse z. B. bei der Kon-

figuration fehlerlos einzutippen, wird den

meisten Lesern wohl schon als mühsame

Aufgabe erscheinen. Man mag sich fragen,

warum denn dann in einem so großen Ad-

ressraum solche Adressen verwendet wer-

den? Die Antwort ist relativ simpel: Solche

Adressen sollen nirgendwo von Hand ein-

gegeben werden. IPv6 sieht eine automa-

tische Konfiguration der Adresse vor. IPv6

ist – anders als IPv4 – von Anfang an für ei-

ne automatische Konfiguration entworfen

worden. Die obigen Beispiele mit manuell

festgelegten Adressen für öffentliche Ser-

ver sind eher eine Ausnahme, der Normal-

fall ist eine automatische Konfiguration.

Verteilung der IPv6-Adressen und spezielle Adressen

Vergebene Adressen

Die Zentralstelle für die Vergabe von IP-

Adressen, die IANA, hat bisher nur einen

relativ kleinen Teil des IPv6-Adressraumes

vergeben, der größte Teil ist bisher nicht

zur Nutzung freigegeben.

Nur Adressen, die mit einer 2 oder 3 begin-

nen, sind (bisher) zur Vergabe an Rechner

und andere Geräte am Netz als weltweit

eindeutige IPv6-Adresse vorgesehen. We-

nige spezielle Adressen beginnen mit he-

xadezimal 0000.

Abbildung 2 zeigt die Verteilung der IP-Ad-

ressen und vor allem die noch zurückge-

haltenen Reserven in den grün gezeich-

neten Bereichen.

Spezielle Adressen

Im ersten Bereich der mit 0000 begin-

nenden Adressen sind insbesondere drei

Adressen bzw. Adresstypen zu erwähnen:

• Die „Unspecified Address“ 0:0:0:0:0:0:0:0

oder ganz kurz geschrieben einfach nur

::, die als IPv6-Absenderadresse verwen-

det wird, wenn ein Gerät am Netz noch

keine Adresse erhalten hat, aber schon

Daten senden will (z. B. wenn per Au-

tokonfiguration oder DHCP nach einer

Adresse gesucht wird).

• Die Loopback-Adresse 0:0:0:0:0:0:0:1

oder kurz ::1, die verwendet wird, wenn

intern in einem Rechner die Funktio-

nalität der Netzwerksoftware getestet

werden soll, ohne dass Daten in irgend-

ein Netz übertragen werden. Diese Ad-

18 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ

resse entspricht der Adresse 127.0.0.1

bei IPv4.

• Die IPv4-mapped IPv6-Adressen

0:0:0:0:0:FFFF:x:x oder kurz ::FFFF:x:x,

in der für x:x eine IPv4-Adresse einge-

setzt werden kann. Bei diesen Adres-

sen wird meist eine spezielle Misch-

schreibweise aus IPv6- und IPv4-No-

tation verwenden, nämlich die Form

::FFFF:n.n.n.n, wobei n.n.n.n die IPv4-

Adresse in klassischer Dotted Decimal

Notation ist, z. B. für den Webserver der

GWDG also ::FFFF:134.76.10.47.

Diese Adressen dienen dazu, Adressen von

IPv4-Geräten als IPv6-Adressen zu schrei-

ben oder zu adressieren.

Adressen mit verschiedenen Gültigkeits-bereichen

Der Bereich Global Unicast (Abb. 2 - orange)

ist der eigentliche, bisher im Internet ge-

nutzte Adressbereich. Wie der Name schon

sagt, sind diese Adressen global im Inter-

net gültig und müssen auch global im In-

ternet eindeutig sein. Der Name Unicast

besagt, dass mit einer solchen Adresse ge-

nau ein Gerät im Netz angesprochen wird.

Der Bereich Local Unicast (Abb.2 - blau –

Adressen beginnend mit FC und FD) ent-

spricht den privaten Adressen nach RFC

1918 im IPv4-Protokoll. Der zweite Teil die-

ses Adressbereiches (beginnend mit FD)

kann in lokalen Netzen verwendet werden

(der erste ist nur reserviert, ohne dass der

Standard festlegt, wie diese Adressen ein-

mal verwendet werden sollen). Die Daten-

pakete, die von solchen Adressen kommen,

dürfen aber nicht zum Internet weiterge-

leitet werden. Sie sind also nur in einem

privaten Netz, nicht aber im globalen In-

ternet gültig. Eine (direkte) Verbindung

zum Internet ist mit solchen Adressen al-

so nicht möglich. Anders als bei IPv4 sind

bei IPv6 private Adressen von Anfang an

vorgesehen und befinden sich in einem

eindeutig erkennbaren Adressbereich (und

nicht irgendwo mitten zwischen „norma-

len“ Adressen). Auch diese Adressen sind

Unicast-Adressen.

Für die Wahl des Global Prefix einer solchen

Adresse gibt es eine besondere Anforde-

rung: Man darf sich diesen nicht einfach

aussuchen, sondern muss diesen über ei-

nen Zufallszahlengenerator erzeugen. Der

Sinn dahinter ist, zu verhindern, dass ver-

schiedene Netzbetreiber dieselben Local-

Unicast-Adressen verwenden. Bei IPv4 be-

steht die eindeutige Tendenz, aus dem Netz

10.0.0.0/8 immer Adressen zu verwenden,

die mit 10.1 beginnen. Wenn dann zwei

Netzbetreiber solcher Netze (z. B. bei Fir-

menfusionen) ihre Netze zusammenlegen,

muss zumindest ein Netz komplett neue

Adressen erhalten. Solche Situationen will

man mit IPv6 vermeiden.

Eine Besonderheit bei IPv6, zu der es nichts

Vergleichbares in IPv4 gibt, sind die Link-

Local-Unicast-Adressen (im Prinzip mit FE8

bis FEB, in der Praxis aber nur mit FE80 be-

ginnend). Diese Adressen sind nur inner-

halb eines Netzwerksegments gültig. Kein

Router darf Datenpakete mit solchen Ad-

ressen von einem Netzsegment in ein ande-

res Netzsegment weiterleiten. Diese Adres-

sen werden für interne Funktionen inner-

halb eines Netzes verwendet, z. B. bei der

Autokonfiguration von Netzwerkknoten.

Multicast-Adressen

Die (fast) letzte Adressvariante sind die

Multicast-Adressen, die mit FF beginnen.

Datenpakete, die an Multicast-Adressen

verschickt werden, sollen viele Geräte am

Netz erreichen (in der Regel alle Geräte in

einem bestimmten Bereich mit einer be-

stimmten Funktionalität). Hier muss zu-

nächst festgehalten werden, dass es bei

IPv6 keine Broadcast-Adressen mehr gibt

(also keine Adressen mehr, mit denen alle

Geräte am Netz, unabhängig von Funkti-

onsangaben, adressiert werden können).

Diese werden durchgehend durch Multi-

cast-Adressen ersetzt. Dabei gibt es ver-

schiedene Typen von Multicast-Adressen,

die sich durch

• Scope (Gültigkeitsbereich) der Multi-

cast-Adressen und

• Funktion bzw. Adressatenkreis der Mul-

ticast-Adressen unterscheiden.

Die Multicast-Adressen enthalten neben

führenden FF als Kennzeichen drei Felder

(siehe Abbildung 3):

• ein 4 Bit langes Flagfeld (von denen nur

drei, mit R, P und T bezeichnete Flags

verwendet werden),

• ein 4 Bit langes Scope-Feld und eine

112 Bit lange Group ID.

Abb. 2: Anteile der verschiedenen Adresstypen bei IPv6

0,78 % Local Unicast FC00-FDFF

0,20 % ungenutzt FE00-FE7F

0,10 % Link-Local Unicast FE80-FEBF

0,10 % ungenutzt FEC0-FEFF

0,39 % Multicast FF00-FFFF

0,002 % Reserviert 0000

12,50 % ungenutzt 0001-1FFF

12,50 % Global Unicast 2000-3FFF

73,44 % ungenutzt 4000-FBFF

19WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |

Die Flags dienen

• zur Kennzeichnung von Multicast

Streams (R-Bit auf 1 gesetzt),

• zur Kennzeichnung, dass ein Prefix in

der Group ID enthalten ist (P-Bit auf 1

gesetzt), und

• zur Kennzeichnung einer temporären

Group ID (im Gegensatz zu einer allge-

meingültigen, T-Bit auf 1 gesetzt).

Für den Scope sind folgende Werte defi-

niert:

1: Interface-local

2: Link-local

4: Admin-local

5: Site-local

8: Organization-local

E: Global

Nachstehend seien einige Beispiele für

Multicast-Adressen genannt:

Interface-local scope

FF01::1 All nodes

FF01::2 All routers

Link-local scope

FF02::1 All nodes

FF02::2 All routers

FF02::5 OSPFIGP

FF02::6 OSPFIGP designated routers

FF02::1:2 All DHCP Agents

Site-local scope

FF05::2 All routers

FF05::1:3 All DHCP servers

In den Beispielen taucht mehrmals bei ver-

schiedenen Scopes die Group ID ::2 für die

Funktion „All routers“ auf. Andere Group

IDs ergeben nur mit bestimmten Scopes zu-

sammen einen Sinn. So wird man z. B. wohl

nie in jedem Netzsegment einen DHCP-Ser-

ver betreiben wollen, sodass ein Multicast

an alle DHCP-Server mit Scope Interface-

local oder Link-Local nicht sinnvoll ist.

Anycast

Das Anycast-Konzept ist relativ neu und

wurde bisher eher selten eingesetzt. Mit ei-

nem Anycast werden, wie bei einem Multi-

cast, Geräte mit bestimmten Funktionen im

Netz angesprochen. Anders als bei einem

Multicast sollen die Anycast-Pakete aber

nicht an alle Geräte mit einer bestimmten

Funktion weitergeleitet werden, sondern

nur an ein solches Gerät (das nächstgele-

gene). Damit das umgesetzt werden kann,

muss die Netzwerkinfrastruktur intelligent

genug sein, Anycasts gezielt an einzelne

Server aus einer Gruppe weiterzuleiten.

Anycast-Adressen werden aus dem Global-

Unicast-Bereich genommen. Sie sind syn-

taktisch daher nicht von Global-Unicast-Pa-

keten (beginnen also mit einer 2 oder 3 in

der Adresse) zu unterscheiden. Bei Geräten,

die solche Adressen verwenden, muss bei

der Konfiguration der Adresse festgelegt

werden, dass es keine Unicast-, sondern

eine Anycast-Adresse ist. Auf Routern in

Netzbereichen, in denen eine solche Any-

cast-Adresse gelten soll, müssen explizit

zu jedem Gerät, dass diese Adresse konfi-

guriert hat, Routen definiert werden.

IPv6-Adressen im GÖNET

Die IP-Adressen werden über IANA, RIRs und

LIRs an Endkunden vergeben. Ein Endkun-

de im Sinne einer Firma oder einer Univer-

sität bekommt in der Regel ein Netz der

Größe /48 zugeteilt. Das Netz kann auch

noch größer ausfallen, wenn ein entspre-

chender Bedarf begründet werden kann.

Lediglich für Heimnetzwerke hinter DSL-

Anschlüssen wird die Zuteilung geringer

ausfallen und sich möglicherweise auf

ein einziges Netz der Minimalgröße /64

beschränken.

Eine /48er-Netz kann immerhin in 65.536

Global Prefix Subnet ID

2 0 0 1 : 0 6 3 8 : 0 6 0 c : 0 0 1 2 : :

Global Unicast

DFN-Verein

Universität Göttingen

Adressbereich Fakultäten

Fakultät für Chemie

Institut für Anorganische Chemie

2. Arbeitsgruppe des Instituts

16 Bit 112 Bit

FF

8 Bit

FlagsORPT

4 Bit

Scope

4 Bit

Group ID

112 Bit

Abb. 3: Aufbau einer Multicast-Adresse

Abb. 4: Beispiel für eine Stellenzuordnung

20 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ2020

(216) Subnetze unterteilt werden. Für das

von der GWDG betriebene Göttinger Wis-

senschaftsnetz GÖNET wurden bisher vier

Netze über den DFN-Verein als LIR regist-

riert: Universität, Universitätsmedizin, Stu-

dentenwerk und GWDG haben dabei je-

weils eigene Netze beantragt und erhalten.

Die Netze wurden so gewählt, dass diese

zusammen einen einzigen Block der Grö-

ße /46 bilden, um das Routing und auch

die Definition von Regeln zu erleichtern.

Vergeben sind die Netze

2001:638:60c::/48 für die Universität,

2001:638:60d::/48 für die Universitäts-

medizin

2001:638:60e::/48 für das Studenten-

werk Göttingen und

2001:638:60f::/48 für die GWDG.

Für die Universität liegt eine erste Adress-

planung vor, die den Adressraum nach Fa-

kultäten und Instituten verteilt.

Mit diesem Adressschema werden noch gro-

ße Teile für zukünftige Anwendungszwe-

cke zurückgehalten. Deutlich weniger als

ein Viertel der Adressen ist dabei verplant.

In der hexadezimal vierstelligen Subnet ID

der Adresse bekommt jede Stelle in dieser

Struktur eine eigene Bedeutung:

• Die erste Stelle (von links) unterschei-

det Fakultäten von sonstigen Einrich-

tungen (und den noch für zukünftige

Verwendungen reservierten Adressen).

• Die zweite Stelle gibt die Fakultät oder

eine Gruppe bei sonstigen Einrichtun-

gen an.

• Die dritte Stelle identifiziert das Insti-

tut (oder zentrale Einrichtungen der

Fakultät).

• Die vierte Stelle kann für Arbeitsgrup-

pen innerhalb eines Instituts verwendet

werden.

So ist die Adresse wohl lang und unge-

wohnt, bietet aber mit einer systemati-

schen Strukturierung auf andere Weise

doch wieder eine bessere Merkbarkeit.

Für die Strukturierung hat auch die Hexa-

dezimal-Schreibweise einen Vorteil. Natür-

lich könnte man auch in einer dezimalen

Schreibweise jede Dezimalstelle mit einer

Funktion belegen, aber in der dezimalen

Schreibweise mit 10 statt 16 Ziffern pro

Stelle nicht allein weniger Werte geben,

vielmehr würde der Zahlenbereich nicht

aufgehen. Der Maximalwert wäre 65.536

in dezimal, aber ffff in hexadezimal.

Letztlich hat diese Darstellung der neuen

IPv6 hoffentlich nicht nur durch die Län-

ge (der IP-Adressen) verschreckt, sondern

auch die Vorteile (durch den großen Ad-

ressraum) und die Chancen (zu einer bes-

seren Strukturierung) erkennen lassen. M

Richtigstellung 11. Tagung der DFN-Nutzer-gruppe Hochschulverwaltung

Vom 6. bis 8. Mai 2013 findet an der Univer-

sität Mannheim die 11. Tagung der DFN-

Nutzergruppe Hochschulverwaltung statt.

Sie steht in diesem Jahr unter dem Motto

„Mobiler Campus“. Die Tagung richtet sich

an Mitglieder von Hochschulleitungen, an

Mitarbeiter von Hochschulverwaltungen

und Hochschulrechenzentren.

www.hochschulverwaltung.de M

Cryptshare

Einmillionster Batch-Job

Android-Tablet Nexus 7

Ausbildung zum Fachinformatiker

Internet-Protokoll IPv6

09|12

ZEITSCHRIFT FÜR DIE KUNDEN DER GWDG

Abb. 5: Der vorliegende Artikel ist den GWDG-

Nachrichten Ausgabe 9/2012 entnommen.

Die GWDG-Nachrichten erscheinen monatlich

und werden von der Gesellschaft für wissen-

schaftliche Datenverarbeitung in Göttingen he-

rausgegeben. Sie sind im Web unter der Adresse

www.gwdg.de/gwdg-nr verfügbar.

In der letzten Ausgabe hatten die DFN-Mit-

teilungen über das LHC Open Network En-

vironment (LHCONE) berichtet. Hierbei ist

uns ein bedauerlicher Fehler unterlaufen:

Die Universität Wuppertal ist kein „betei-

ligtes Tier-3 Zentrum“, sondern eins der

sieben deutschen Tier-2 Zentren am LHC-

Experiment. M

21WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |

Kurzmeldungen

Robustere Infrastruktur für eduroam

Dir Infrastruktur von eduroam wird der-

zeit weiter ausgebaut. Den gestiegenen Si-

cherheitsanforderungen bei der Nutzung

mobiler Geräte entsprechend wird der Da-

tenaustausch zwischen den Authentifizie-

rungs-Servern von eduroam künftig noch

sicherer und robuster ablaufen als bisher.

Bestand die Infrastruktur zu Einführung

des Dienstes nur aus Radius-Servern, die

untereinander Nutzerdaten zur Authen-

tifizierung austauschten, begann man im

Jahr 2008 damit, die Infrastruktur auf eine

flexiblere und sicherere Basis zu stellen.

Dank der DFN-PKI konnten Radius-Proxy

zwischen der DFNRoaming/eduroam-Inf-

rastruktur und den Radius-Servern in den

Einrichtungen etabliert werden.

Hierbei wird das von der IETF ratifizier-

te Protokoll RadSec (RFC 6614) und das

Protokoll „Radius over TCP“ (RFC 6613)

verwendet. Dadurch war der Grundstein

für eine erweiterte Infrastruktur gelegt.

Mit der RadSec Standalone Software

radsecproxy (s. http://software.uninett.

no/radsecproxy/), die ständig weiterent-

wickelt wird, können die Einrichtungen

die Kommunikation zwischen den Radi-

us-Proxy Servern des DFN-Vereins via TLS

absichern. Als gängige Konfiguration hat

sich herausgestellt, dass man den rad-

secproxy in der Regel in die DMZ stellt und

den eigentlichen Radius-Server geschützt

nach „innen“ in das interne Produktions-

netz zieht. Somit sind die Radius-Server

im Vergleich zur alten Infrastruktur nicht

mehr direkt aus dem Internet erreichbar

und besser gegen Angriffe von außen ge-

schützt. M

6. DFN-Forum Kommuni-kationstechnologien – Verteilte Systeme im Wissen-schaftsbereich –

Gemeinsam mit der Universität Erlangen-

Nürnberg veranstaltet der DFN-Verein am

3. und 4. Juni 2013 das 6. DFN-Forum Kom-

munikationstechnologien. Mitveranstalter

sind die Zentren für Kommunikation und

Informationsverarbeitung in Forschung

und Lehre e.V. (ZKI) und die Gesellschaft

für Informatik e.V.

Das 6. DFN-Forum Kommunikationstech-

nologien „Verteilte Systeme im Wissen-

schaftsbereich“ ist eine Plattform zur Dar-

stellung und Diskussion neuer Forschungs-

und Entwicklungsergebnisse aus dem Be-

reich TK/IT.

Die Vorträge umfassen i.d.R. eine Zeitspan-

ne von 25 Minuten + 5 Minuten für die Dis-

kussion.

Es wird um Beitragseinreichungen zu den

nachfolgend aufgeführten Themenkreisen

(TK) gebeten:

TK I: Neue Netztechnologien und Infra-

struktur

• Future Internet (Clean-Slate versus Evo-

lution, Sicherheit)

• Drahtlose Zugangstechnologien (UMTS,

WLAN, WiMAX, LTE ...)

• Layer-2 Technologien (Carrier-Grade

Ethernet, …)

• Overlaynetze und Virtualisierung

• Software Defined Networking (Open-

Flow und andere Ansätze)

• Vernetzung von HPC-Systemen

• Netztechnologien für die Datenversor-

gung von HPC-Systemen

TK II: Infrastrukturen für eScience

• Grid Computing: Community Grids,

Betriebsmodelle, Nachhaltigkeit, D-

Grid, EGI

• Cloud Computing & Sicherheit

• Virtuelle Organisationen, SLA

• Service Oriented Computing & Architec-

tures

• Virtuelle Forschungsumgebungen

• Video-/Web-Conferencing

• Mobiles/ubiquitäres Web

• Big Data in eScience und dessen Netzas-

pekte

TK III: ITC Management

• Autonomous Management

• Management Policies

• Identity Management, AAI, Accounting

• Management von Grids&Clouds

• Cloud Services als Herausforderung

für die Governance der Hochschul-IT?

• Future Internet Management

TK IV: IT-Zukunftsperspektiven

• Wissenschaftsvernetzung in 10 Jahren

• Künftige IT-Infrastrukturen für For-

schung und Lehre

• HPC-Infrastrukturen in Europa und ih-

re Vernetzung

Beitragseinreichung

Weitere Informationen und Beitragsein-

reichungen zu den angegebenen Themen-

kreisen bis zum 17.12.2012 unter:

http://dfn2013.rrze.fau.de/

Angenommene Beiträge werden in einem

Konferenzband veröffentlicht, der im Rah-

men der GI-Edition Lecture Notes in Infor-

matics erscheinen wird.

Wichtige Termine:

Einreichung der Beiträge:

17. Dezember 2012

Autorenbenachrichtigung:

22. Februar 2013

Abgabe der endgültigen Fassung:

22. März 2013

22 | DFN Mitteilungen Ausgabe 83 | November 2012 | CAMPUS

Uhrenvergleich – Synchronisation von Atomuhren über das GlasfasernetzWissenschaftsnetze könnten in Zukunft alle optischen Atomuhren Europas verbinden – ein großer

Nutzen für Anwender optischer Frequenzen in Forschung und Industrie. Wissenschaftler der Physi-

kalisch-Technischen Bundesanstalt in Braunschweig und des Max-Planck-Instituts für Quantenoptik

in Garching haben die Synchronisation von Atomuhren über eine Glasfaserstrecke gewagt und die

Ergebnisse nun in der angesehenen Wissenschaftszeitschrift Science veröffentlicht.(1)

Zwei der vier primären Atomuhren an der Physikalisch-Technischen Bundesanstalt (PTB) in Braunschweig (Bild: PTB)

23CAMPUS | DFN Mitteilungen Ausgabe 83 |

Optische Atomuhren messen die Zeit mit überragender Genau-

igkeit. Doch erst die Möglichkeit, sie mit anderen Uhren zu ver-

gleichen, macht sie einsatzbereit für hochpräzise Tests funda-

mentaler Theorien, von der Kosmologie bis hin zur Quanten-

physik. Ein Uhrenvergleich, d.h. ein Vergleich der optischen Fre-

quenzen, gestaltet sich bislang jedoch sehr schwierig, denn die

weltweit wenigen Exemplare sind sehr komplex aufgebaut und

lassen sich nur mit größtem Aufwand transportieren. Ein Team

von Wissenschaftlern der Physikalisch-Technischen Bundesan-

stalt (PTB) in Braunschweig und der Abteilung Laserspektros-

kopie am Max- Planck-Institut für Quantenoptik (MPQ) in Gar-

ching hat jetzt gezeigt, dass sich optische Frequenzen mit ho-

her Stabilität über eine 920 Kilometer lange Faserverbindung

des Deutschen Forschungsnetzes übertragen lassen. Damit be-

steht jetzt prinzipiell die Möglichkeit, optische Uhren über gro-

ße Distanzen miteinander zu vergleichen, bzw. ihre Genauig-

keit auch in weit entfernten Laboren für Präzisionsmessun-

gen zu nutzen.

Profitieren wird davon zunächst die Grundlagenforschung, et-

wa bei der präzisen Bestimmung der Naturkonstanten, der Über-

prüfung der Allgemeinen Relativitätstheorie von Albert Einstein

oder von Vorhersagen der Quantenelektrodynamik.

In einer Atomuhr sind Zeiteinheiten über die Frequenz der Strah-

lung definiert, die ein Atom beim Übergang zwischen zwei Ener-

gieniveaus aussendet. Die Zeiteinheit „Sekunde“ bezieht sich auf

die vom Cäsium-Isotop 133 ausgesendeten Mikrowellen, d.h., der

Sekundenzeiger wird nach 9 192 631 770 Schwingungen um eine

Einheit weiter gesetzt. Die Realisierung und Verbreitung der Se-

kunde über die PTB ist in Deutschland gesetzlich festgelegt. Op-

tische Atomuhren verwenden eine etwa 100 000-mal höhere Fre-

quenz und erlauben daher eine demgemäß weit feinere Zeitun-

terteilung. Atomuhren der neuesten Generation gehen bereits

so genau, dass sie erst in der 18. Dezimalstelle – bzw. um eine

Sekunde in einem Zeitraum, der dem Alter des Universums ent-

spricht – voneinander abweichen.

Doch wie gut lassen sich optische Frequenzen über weite Ent-

fernungen übertragen? Herkömmliche Verfahren mithilfe von

Satelliten erreichen hier eine Genauigkeit von 15 Dezimalstel-

len. Das ist gut genug für Signale im Mikrowellenbereich, aber

zu grob, um das Potential optischer Atomuhren auszuschöpfen.

Die MPQ/PTB-Forscher haben daher in den letzten Jahren unter-

sucht, wie sich optische Frequenzen in Glasfaserkabeln übertra-

gen lassen. Unterstützung erhielten sie dabei von dem Exzellenz-

cluster QUEST der Leibniz Universität Hannover, von der Euro-

pean Space Agency (ESA), dem Deutschen Forschungsnetz DFN

und GasLINE, einer Telekommunikationsnetzgesellschaft deut-

scher Gasversorgungsunternehmen.

In dem hier beschriebenen Projekt speisen die Wissenschaft-

ler das Licht eines hochstabilen Lasers mit einer Wellenlänge

von etwa 1,5 Mikrometern (nahes Infrarot) in ein Glasfaserka-

bel ein, das zwischen der PTB in Braunschweig und dem MPQ

in Garching unterirdisch verlegt ist. Es handelt sich dabei um

ein auch in der Telekommunikation übliches Kabel, mit einer

relativ geringen Dämpfung für Strahlung im nahen Infrarot.

Um ein Signal jedoch über eine so weite Strecke ohne nennens-

werte Leistungseinbuße zu übertragen, muss es immer wieder

aufgefrischt werden. Dazu wurden neuartige optische Verstärker-

einheiten entwickelt und über die gesamte Glasfaserstrecke ver-

teilt aufgebaut.

Ein weiteres Problem sind Verfälschungen der ursprünglichen

Laserfrequenz, hervorgerufen durch mechanische, akustische

und thermische Störungen, die z.B. aufgrund von Temperatur-

schwankungen, Straßenverkehr oder Bauarbeiten entstehen. Mit

neuen Verfahren können diese Störungen so gut erfasst, „ausge-

regelt“ und kompensiert werden, dass sich die ganze 920 Kilome-

ter lange Glasfaserverbindung zwischen Braunschweig und Gar-

ching optisch um weniger als einen Mikrometer in der Sekunde

ändert. Die dem Anwender im Partnerlabor zur Verfügung ste-

hende Frequenz von 194 353 Gigahertz weicht deshalb nur um

weniger als ein zehntausendstel Hertz von der eingespeisten

Frequenz ab. Die Probe aufs Exempel machten Wissenschaft-

ler der Abteilung Laserspektroskopie: Sie nutzten das Signal der

primären Cäsiumuhr der PTB für die Spektroskopie von Wasser-

stoff am MPQ. Dieses wurde über einen Frequenzkamm mit der

optischen Phase des eingespeisten Lasers verglichen. Dabei wur-

de eine weit höhere Genauigkeit erreicht, als mit satellitenge-

stützter Übertragung möglich gewesen wäre.

Optische Frequenzen können also mit einer Qualität verteilt wer-

den, wie sie bislang nur lokal an Metrologieinstituten zur Verfü-

gung stand. Die Verwendung von Glasfaserinfrastrukturen, wie

sie durch nationale Forschungsnetze wie das DFN oder DANTE

Ltd. als Betreiber des europäischen Forschungsbackbone GÉANT

bereitgestellt werden, ermöglicht es, optische Atomuhren in Zu-

kunft europaweit zu vernetzen. So wie es heute zum Stand der

Technik gehört, dass herkömmliche Uhren und Wecker per Funk

die „richtige Zeit“ von der PTB über den Langwellensender DCF77

empfangen, wird die Verbreitung einer optischen Referenz per

Glasfaser zur Bestimmung der Wellenlänge bzw. Frequenz op-

tischer Strahlung eine breite Anwendung in Forschung und In-

dustrie finden. M (kh)

(1) K. Predehl, G. Grosche, S.M.F. Raupach, S. Droste, O. Terra, J. Alnis, Th. Lege-

ro, T.W. Hänsch, Th. Udem, R. Holzwarth, and H. Schnatz: *A 920 km Optical Fi-

ber Link for Frequency Metrology at the 19th Decimal Place.

Science, 27. April 2012

Uhrenvergleich – Synchronisation von Atomuhren über das Glasfasernetz

24 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

25INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |

InternationalMuseo Intercontinental –

Live-Kollaboration von MuseumspädagogInnen in

Europa und Südamerika über das Wissenschaftsnetz

von Kai Hoelzner

eduPKI – Supporting Trust Requirements in Europe’s

Research Networks

von Reimer Karlsen-Masur und Dr. Ralf Gröper

Europa und der Orient

von Bettina Kauth

Eine Autobahn in 5 Minuten

von Bruno Hoeft

Future Internet

von Paul Müller

Global Research & Education Network Leaders

identify and work on top-challenges

Crossing the Equator – New high-speed link connects

African radio astronomers to Europe

26 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

Museo Intercontinental

ALICE, das von Europa und Süd-

amerika gemeinsam initiierte

Projekt zum Aufbau eines For-

schungs-Backbones nach GÉANT-

Vorbild in Südamerika, blickt

heute auf eine fast zehnjährige

Laufzeit zurück. Die Bilanz von

„America Latina Interconectada

Con Europa“ ist mehr als beein-

druckend: Seit 2003 wurde eine

Brücke zwischen dem lateiname-

rikanischen Kontinent und Euro-

pa geschlagen, die zum Blueprint

für eine Reihe von Folgeprojek-

ten wurde, mit denen DANTE Ltd.

die globale Vernetzung des euro-

päischen Wissenschaftsraumes

im vergangenen Jahrzehnt voran-

getrieben hat. Standen einst vor

allem Grand-Challenge-Projekte

wie die Anbindung der europä-

ischen Südamerika-Sternwar-

te im Fokus, werden ALICE und

der aus ALICE hervorgegangene

lateinamerikanische NREN-Ver-

bund RedClara heute in der ge-

samten Breite der Wissenschaft

genutzt. Jüngstes Beispiel ist ein

transatlantischer Workshop von

Museumspädagogen, der unter chilenisch-deutscher Beteiligung

mittels des internationalen Verbunds europäischer und latein-

amerikanischer Wissenschaftsnetze durchgeführt wurde.

Der Tag ist schon ein paar Stunden alt in Deutschland, wenn Lisa

Flükiger den gläsernen Neubau mit der Adresse Holanda 100 be-

tritt. Der gläserne Büro-und Geschäftsturm, in dem das Goethe-

Institut Santiago de Chile seit kurzem residiert, könnte auch in

Londons feiner Business-Adresse Carnary Wharf stehen oder am

Fuß der Erasmus-Brücke in Rotterdam. Selbst das Wetter gleicht

den mittleren Breiten Europas, mit dem Unterschied, dass die

Südhalbkugel die Wintermonate zwischen Mai und August er-

lebt. Jetzt im südamerikanischen Frühling gleichen sich selbst

Thermometer-Anzeige und Regenradar.

Text: Kai Hoelzner (DFN-Verein)

Lisa Flükiger betreut derzeit einen museumspädagogischen Work-

shop, den das Goethe-Institut Santiago de Chile und das Muse-

um für zeitgenössische Kunst der Universidad de Chile (MAC) im

Rahmen eines Museumspädagogik-Projekts veranstaltet. Es geht

um eine Vortragsreihe, die in diesem Jahr abwechselnd von süd-

amerikanischen und deutschen Museumspädagogen gehalten

wird. Grundlage hierfür ist – und das ist für viele der beteiligten

Museumsmitarbeiter auf beiden Seiten des Atlantiks noch ziem-

lich ungewohnt – dass die Workshops nicht als Präsenz-Veran-

staltung geplant sind, sondern konsequent unter Nutzung von

VC-Technologie über das Netz übertragen werden sollen. Und

das hat nicht nur mit dem interkontinentalen Setting der Veran-

staltung zu tun. Selbst die Organisation einer auf Chile begrenz-

ten nationalen Konferenz hätte es mit Entfernungen zu tun, die

US

US

US

CU

MXGT

HN

SV

CRPA

VE

CO

EC

PE

BO

PYBR

ES

UY

ARCL

BR

NI

Backbone Topology

2012

US

CU

GTHN

SV

CR

CO

EC

PE

BO

PY

ES

UY

AR

NI

MX

PA

CL

VE

BR

Backbone Topology

2004

Argentinia

Bolivia

Brazil (PoP)

Brazil - Porto Alegre

Chile (PoP)

Colombia

Costa Rica

Cuba

Ecuador

Spain (Géant)

El Salvador

Guatemala

Honduras

Mexico

Nicaragua

Panama (PoP)

Peru

Paraguay

United States

Uruguay

Venezuela

10 Gbps

2,5 Gpbs

1 Gpbs

1 Gpbs - AmLight

1 Gbps - RNP

622 Mbps

600 Mbps

155 Mbps

45 Mbps

Connections established

Conections planned

AR CR HN US

BO CU MX UY

BR EC NI VE

ES PA

CL SV PE

CO GT PY

BR

Live-Kollaboration von MuseumspädagogInnen in Europa und Südamerika über das Wissenschaftsnetz

Alice-Netz 2004 und Alice-Netz 2012

27INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |

nach dem Einsatz von VC-Technologie verlangen. 4300 Kilometer

erstreckt sich die Republik Chile in Nord-Süd-Richtung zwischen

dem 17. und dem 56. Grad südlicher Breite. Denn wer von Anca

oder Iquique, also aus den nördlichen, an Bolivien grenzenden

Regionen runter nach Santiago reist, nimmt entweder das Flug-

zeug, oder er nimmt sich ein paar Tage Zeit. Wohl dem also, der

sich per Rechner in eine virtuelle Veranstaltung einklinken kann.

Von deutscher Seite werden zwei Lectures zum Curriculum des

Workshops beigesteuert. Karin H. Grimme, Bildungsbeauftrag-

te am Jüdischen Museum in Berlin, spricht am (europäischen)

Nachmittag des 5. September 2012 über das Bildungsprogramm

des Jüdischen Museums. Am 26. September dann referiert Anna

Zosik, Mitbegründerin des Berlin „ECK_IK Büros für Arbeit mit

Kunst“ zum Thema „Künstlerisches Arbeiten in der Kunstvermitt-

lung“. Beide Vorträge, da gibt es budget- und zeitmäßig keinerlei

Alternativen, werden per Videokonferenz von Berlin nach Süd-

amerika übertragen.

Ziel des Projekts ist es, eine Plattform lateinamerikanischer Mu-

seumspädagogik zu etablieren und dabei nationale wie interna-

tionale Best-Practice-Beispiele zu präsentieren und eine grund-

legende Diskussion über Aufgaben und Zielsetzungen einer mo-

dernen Museumspädagogik im Prozess ästhetischen Lernens

anzustoßen. Die Teilnehmer der Veranstaltungen finden sich in

verschiedenen Institutionen Kolumbiens, Boliviens, Perus, Chi-

les, Argentiniens und Uruguays. In einer Reihe von Präsenz-Tref-

fen zwischen europäischen und lateinamerikanischen Fachleu-

ten wurden deshalb bereits im vergangenen Jahr die Möglich-

keiten im Netz durchgeführter Veranstaltungen ausgelotet. Ein

Jahr später nun, 2012, gilt es, diesen Rahmen durch Vorträge und

Diskussionen zu füllen.

Für diesen Vormittag steht ein Live-Vortrag auf dem Programm,

der per Video-Konferenz aus Berlin zugespielt wird. Karin H. Grim-

me vom Jüdischen Museum in Berlin stellt das museumspäda-

gogische Konzept ihres Hauses vor. Bereits am Vortag hatte Gi-

sela Maiß, die im Deutschen Forschungsnetz sämtliche Aktivitä-

ten rund um das Thema Videoconferencing managt, eine Probe-

Session mit der Gegenstelle in Chile durchgeführt. Schließlich

muss nicht nur das A/V-Signal von Karin Grimmes Vortrag über

den Ozean gesendet werden, per H.323 sollen parallel dazu auch

Vortragsfolien und Bildmaterial nach Chile übertragen werden.

Ebenfalls zu berücksichtigen ist, dass für den Rückkanal an den

meisten Orten keine professionelle VC-Anlage zur Verfügung steht,

wie sie in der Geschäftsstelle des Deutschen Forschungsnetzes

am Alexanderplatz vorhanden ist.

Die ZuhörerInnen in Südamerika nehmen in verschiedene Grup-

pen oder als Einzelpersonen an unterschiedlichen Orten teil, von

wo aus sie per VC-System oder, wenn zwar ein Rechner aber kei-

ne VC-Anlage vorhanden ist, über einen Live-Stream im Internet

dem Vortrag folgen. Insbesondere die anschließende Diskussi-

on verlangt also nach einigen Tricks, um allen Zuhörern einen

Rückkanal nach Berlin zu eröffnen. Vor allem aber gilt es zu be-

rücksichtigen, dass die Mehrzahl der Teilnehmer des Workshops

keine sogenannte Digital-Residents sind, die das Internet als ei-

ne natürliche Erweiterung ihrer physischen Umgebung wahr-

nehmen. Aber auch, wenn das Kürzel „H.323“ für die meisten

der Teilnehmer nicht mehr als eine kryptische Kombination von

Zahlen und Buchstaben darstellt: Eine Vortragsreihe über den

Atlantik hinweg, die zudem noch in bis zu sechs verschiedene

Staaten Lateinamerikas übertragen und simultan übersetzt wer-

den muss, ist auch für technische Laien nur auf der Basis von

VC-Technologie denkbar. Immerhin braucht auch die direktes-

te Flugverbindung zwischen Berlin und Santiago im kürzesten

Fall noch 22 Stunden Flugzeit – inklusive zweier Stopps in Paris

und Buenos Aires.

Wenn es gilt, den erheblichen Aufwand, der beim Auf- und Ausbau

internationaler Forschungsnetze getrieben wird, darzustellen,

greifen Forscher gern zum allzu bekannten Bild wissenschaftlicher

Großgeräte. Es sollte dabei aber nicht übersehen werden, dass

bei der Durchführung einer Vortragsreihe wie der hier beschrie-

benen ebenfalls alle technischen und personellen Ressourcen

abgerufen werden, die in den Forschungsnetzen zur Verfügung

stehen. Was angesichts hochwertiger technischer Ausstattung

in der Spitzenforschung nur ein kleiner Schritt sein mag, stellt

sich hier einmal mehr als ein beeindruckender und geglückter

virtueller Sprung dar. M

Teilnehmer Videokonferenz Chile

28 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

eduPKI - Supporting Trust Requirements in Europe’s Research NetworkseduPKI is a response to the need for better coordination to address security require-

ments of the services being developed in GÉANT. eduPKI’s main goal is the coordination

of GÉANT-wide trust that is build on X.509 certificates and Public Key Infrastructures

(PKI). eduPKI organizes provisioning of digital certificates to GÉANT Services from na-

tional Public Key Infrastructures (PKI) and supports GÉANT Services in defining their

trust requirements (Trust Profiles) in regards to digital certificate based identity asser-

tions. In addition, an eduPKI CA is established to meet those requirements of GÉANT

Services that cannot be (easily or timely) covered by existing (national) Certification

Authorities.

Text: Reimer Karlsen-Masur (DFN-CERT Services GmbH), Dr. Ralf Gröper (DFN-Verein), including material from the eduPKI Task

on www.edupki.org and geant.net

Abb. 1: Accredited CAs of the eduPKI PMA with their supported registered Trust Profiles of GÉANT Services

accredited CAs

NRENCA1

eduPKI CA

NREN CA2

GÉANT Services

eduGAINTrust Profile

eduroamTrust Profile

PerfSONARAutoBAHN

iSHARETrust Profile

eduABCTrustProfile

eduConfTrust Profile

29INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |

Foto: © Marcus Lindström - istockphoto.com

Background

Digital certificates are issued by Certifica-

tion Authorities (CAs) and are widely used

to guarantee secure and reliable communi-

cation between servers, users, or between

a user and a server. One example for this

are the authentication servers participating

in the eduroam radius hierarchy, enabling

researchers and students to access the In-

ternet from all participating institutions.

eduPKI will build on top of existing CA ser-

vices by National Research and Education

Networks (NREN) such as DFN-PKI, federa-

ting them to make all participating CAs

available to other services such as edu-

roam. A federated approach brings incre-

ased efficiency since a number of national

CAs are already well-established and used

within the NREN environment.

eduPKI aims to enable GÉANT services to

obtain digital certificates from CAs opera-

ted by NRENs participating in the project,

that meet those services‘ requirements.

Thus Europe’s NRENs are encouraged to

join the federated eduPKI service. Whilst

eduPKI will rely on existing national CAs

whenever possible, it will also operate a de-

dicated CA for users belonging to an NREN

that does not provide any CA service itself.

Why will eduPKI be beneficial to users?

By allowing existing CAs to issue certifica-

tes for those GÉANT project services that

require them, eduPKI will permit users to

deal with their NREN, following familiar

procedures which will reduce the burden

of using new services. So thanks to the fe-

derated approach, users will be able to ob-

tain all necessary certificates from either

the CA managed by their own NREN (or

equivalent service) or via the eduPKI CA.

eduPKI structure

To achieve its goal eduPKI offers three

main facilities:

• A Policy Management Authority (PMA),

which will define procedures to assess

GN3 services‘ requirements and catego-

rise them into profiles; as well as pro-

cedures to assess existing national CA

operations against the agreed profiles.

• A dedicated Certification Authority

(eduPKI CA), operated by DFN to sup-

port those NREN users that cannot re-

ly on any national CA service.

• An enhanced version of the existing

TACAR (TERENA Academic Certificate

Authority Repository), to store and dis-

tribute root certificates of Certificate

Authorities participating in eduPKI (in-

cluding the eduPKI CA root) in a secu-

re manner.

The role of eduPKI PMA to coordinate trust

The eduPKI PMA acts as the heart of the

eduPKI Service. It is the body where GÉANT

Services can register their trust and certi-

ficate requirements as Trust Profiles and

Certification Authorities can get accredi-

ted as CAs serving these Trust Profiles in

a compliant way.

The eduPKI PMA has published a number

of documents describing its work and pro-

cedures. The eduPKI PMA Charter descri-

bes how the PMA is set up and operated,

its scope, objectives and responsibilities,

membership and voting processes.

The GÉANT Services Registration Process

describes how a GÉANT Service can regis-

ter as a Relying Party under one or more

Trust Profiles, the CA Accreditation Process

defines how a CA is obtaining accredita-

tion under a specific Trust Profile by get-

ting reviewed by the eduPKI PMA. It also

describes how a CA is securing its accre-

ditation by adopting changes to the rele-

vant Trust Profiles, performing audits, de-

livering audit reports, and how an accre-

ditation can be withdrawn.

The eduPKI PMA members support the

GÉANT Services in writing their Trust Profi-

les and the CAs that wish to be accredited

in performing the necessary procedures.

TACAR is then used to publish sets of CAs

that are compliant to a specific Trust Pro-

file and such providing a central source

for CA certificate download and informa-

tion about compliant and fitting CAs to

the GÉANT Services.

Why an eduPKI CA?

As described above, GÉANT Services can

30 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

obtain certificates that meet their Trust

Profile from any CA that fulfils their res-

pective requirements. Nevertheless experi-

ence has shown that some users have dif-

ficulties to get the certificates they need.

The eduPKI CA is established to serve tho-

se users of GÉANT Services who cannot ob-

tain certificates from a local or national

CA and it can also be used for testing new

Trust and Certificate Profiles before the-

se profiles are made generally available.

The eduPKI CA will adapt all Trust Profiles

that are registered under the eduPKI PMA.

TACAR

TACAR is the central repository for admi-

nistrators to download bundles of CA cer-

tificates used as local trust anchors that

are compliant to selectable Trust Profiles.

CA managers can upload their CA certifica-

tes including policy and revocation infor-

mation onto TACAR where the informati-

on gets validated and depending on infor-

mation provided by the eduPKI PMA gets

assigned an eduPKI Trust Profile category.

System administrators of Relying Parties

can use the TACAR web site to select and

download a single CA certificate or set of

CA certificates compliant to a Trust Pro-

file in a bundle for local installation as a

trust anchor.

Key Benefits of the approach

The key benefits of the eduPKI approach

are scalability and flexibility. This ensures

sustainable results beyond the GN3 pro-

ject, within which eduPKI is funded by the

European Commission.

Scalability of eduPKI’s approach is achie-

ved by separating different trust and cer-

tificate requirements into different Trust

Profiles. Trust Profiles can be used by se-

veral GÉANT Services if the requirements

fit, if not, additional Trust Profiles can be

defined. They can be defined at the pace

GÉANT Services are ready to more formally

define their requirements of trust and cer-

tificates. CAs can choose to support all, a

subset or just one of the available Trust

Profiles, depending on their infrastructure

and on the local demand of their nearby

GÉANT constituency. Furthermore, CAs can

be accredited at the pace CAs become com-

pliant with specific Trust Profiles.

eduPKI’s approach is flexible as Trust Pro-

files can be added, updated or abandoned

as demand and requirements by the per-

tinent GÉANT Services may change. CAs

can be added or dropped as they are ab-

le or not or no longer able to support the

GÉANT Services‘ requirements. eduPKI CA

is a long-term effort to secure GÉANT Ser-

vices the access and availability to certi-

ficates even if no other CA is able to fulfil

the GÉANT Services‘ trust and certificate

requirements or if participants of GÉANT

Services can‘t get certificates from local

or national CAs. ediPKI’s approach abates

the set-up and operation of ad-hoc or task

specific CAs which often multiplies the ef-

fort and, if such an ad-hoc CA is abandoned,

it leaves the relying GÉANT Services and

tasks without a reliable source of working

certificates. Additionally, eduPKI enables

local or national (NREN) CAs to operate in

a coordinated fashion.

Current Status

Trust Profiles for GÉANT Services

eduroam is the first GÉANT Service that

has registered its Trust Profile under the

eduPKI PMA and obtains certificates from

the eduPKI CA which is in operation since

mid November 2010.

Another Trust Profile that has been regis-

tered under the eduPKI PMA covers certifi-

cates for GÉANT‘s Multi-Domain Network

Services such as perfSONAR, autoBAHN,

cNIS and I SHARe.

It is expected that more GÉANT Services

will write up their Trust Profile and re-

gister it with the eduPKI PMA in order to

give interested CAs an overview about the

GÉANT Services‘ trust and certificate re-

quirements.

Accredited CAs

Currently the eduPKI CA and the CESNET

CA from the Czech Republic‘s NREN are ac-

credited under the eduroam service‘s Trust

Profile. By accrediting eduPKI‘s own CA, the

defined accreditation processes and pro-

cedures underwent a real life test which

lead to optimised processes and procedu-

res, resulting in the successful accredita-

tion of the CESNET CA. It is expected that

more local or national (NREN) CAs will ex-

press their compliance with one or (soon)

more Trust Profiles and will then be accre-

dited by the eduPKI PMA. Under the Trust

Profile for GÉANT‘s Multi-Domain Network

Services currently only the eduPKI CA is

accredited.

The next steps for eduPKI

In the future, eduPKI will help more GÉANT

Services to define their trust and certificate

requirements in Trust Profiles and register

these Trust Profiles with the eduPKI PMA.

Furthermore, more local or national (NREN)

CAs will be accredited under the existing

Trust Profiles to express compliance with

specific Trust Profiles and such provide a

set of compliant CAs to the GÉANT Services.

Framing these efforts, eduPKI will continue

to provide consulting services to GÉANT

Services for all aspects concerning X.509

digital certificates, Public Key Infrastruc-

tures, and building Trust Profiles.

Conclusion

eduPKI operates key services such as the

Policy Management Authority and the

eduPKI CA, but also helps other GÉANT

services and projects by offering consul-

ting services regarding all aspects of Public

Key Infrastructures and X.509 certificates.

By these means eduPKI helps to ease the

adoption of X.509 digital certificates within

GÉANT in an efficient way, maximizing the

effective usage of PKI in Europe’s research

network environment and thus increasing

the overall security level therein. M

31INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |

Europa und der Orient

Eine der hübschesten Telefonkarten, die

ich kenne, zeigt die Chinesische Mauer. Ein

roter Strich zieht sich an ihr entlang . Ei-

ne Telefonkarte? Das muss aber lange her

sein. – Stimmt! Herausgegeben wurde die-

se Karte 1997 anlässlich der Inbetriebnah-

me der 64-kbps-Verbindung zwischen dem

DFN und CERNET, einem der chinesischen

Wissenschaftsnetze. Nun mag man heute

über solche Bandbreiten schmunzeln, aber

es zeigt, dass seitens der Forschung der

Wunsch und der Bedarf einer möglichst

direkten Verbindung der jeweiligen For-

schungsnetze bestand, eine Anforderung,

die sich bis heute fortsetzt und auch im

europäischen Forschungsumfeld gilt.

Seit 2007 fördert die EU deshalb im Rah-

men des 7th Framework Programme ge-

meinsam mit dem chinesischen Wissen-

schaftsnetz CERNET den Betrieb eines

terrestrischen über Russland geführten

Links zwischen den europäischen und

chinesischen Forschungsnetzen. Das

sehr erfolgreiche ORIENT-Projekt (2007 –

2010) findet seit Januar 2012 seine Fort-

setzung im ORIENTplus Projekt, in dem

der DFN-Verein zentrale Aufgaben über-

nimmt. Die Laufzeit des Projektes beträgt

42 Monate. Über das GÉANT-Backbone er-

halten die europäischen Wissenschafts-

netze direkten Zugang zu den beiden chi-

nesischen Forschungsnetzen CERNET und

CSTNET und somit zu den Forschungsein-

richtungen in China.

Im laufenden Jahr stehen der europäischen

und chinesischen Wissenschaftsgemein-

de 2,4 Gbps Bandbreite auf dem Link zur

Verfügung, die zunächst für best-effort IP-

Konnektivität genutzt werden. Ziel des

Projektes ist aber nicht nur die Bereitstel-

lung von Bandbreite, sondern in erster Li-

nie die Unterstützung von europäisch-chi-

nesischen Forschungsprojekten durch ad-

äquate und bedarfsorientierte Netzlösun-

gen. Dies kann sowohl Bandbreitenbedarfe

als auch die Anforderung an dedizierte Ver-

bindungen betreffen. Durch den Upgrade

des Links auf eine Bandbreite von 10 Gbps

im ersten Quartal 2013 wird die Grundlage

für die Implementierung erweiterter Netz-

dienste geschaffen.

Der DFN-Verein möchte seine Anwender

bei der Implementierung neuer und beim

Betrieb existierender Projekte mit chine-

sischen Forschungseinrichtungen unter-

stützen. Wenn Sie also in Forschungspro-

jekte involviert sind und Fragen zur IP-Kon-

nektivität haben, dann setzen Sie sich mit

uns in Verbindung. Kontakt auf DFN-Seite

ist Kai Hoelzner, hoelzner@dfn.de. Weite-

re Informationen zum ORIENTplus Projekt

finden Sie unter

http://www.orientplus.eu. M

Text: Bettina Kauth (DFN-Verein)

32 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

Eine Autobahn in 5 MinutenIm Zuge einer sich immer weiter globalisierenden Wissenschaft hat sich die Bereitstel-

lung dedizierter Bandbreiten für nationale und internationale Kollaborationen und

Projekte in den vergangenen Jahren zu einem immer wichtigeren Arbeitsfeld entwi-

ckelt. Mit dem GÉANT-Tool AutoBAHN lassen sich innerhalb weniger Minuten dynami-

sche Bandwith-on-Demand-Verbindungen aufbauen. Das Projekt AutoKNF evaluiert

speziell für das Management solcher dynamischer Verbindungen entwickelte Tools.

Text: Bruno Hoeft (Karlsruher Institut für Technologie – KIT)

Abb. 1: Topologie des Projektes AutoKNF: Punkt-zu-Punkt-Verbindungen lassen sich über dynamische reservierte Bandbreiten spontan realisieren.

End host Copenhagen

141.52.28.6 / 27

141.52.28.7 / 27

NORDUnet

GÉANT

DFN

STM-64

AutoBAHN DOMAIN 1

(GÉANT)

STM-64

STM-64

STM-64

STM

-64

STM-64

STM

-64

STM

-64

STM-64 10GE

10GE

STM

-64

STM

-64

AutoBAHNServer

Interdomainmanager

Domain manager

TP

1GE

KIT

End host Server

Legende:

Static L2 connection

Future L2 connection

Control plane connection

Future extensions(Northern Sweden)

MCC UKLondon

MCC FRParis

MCC NLAmsterdam

MCC DEFrankfurt

MCC DE(Production)

Frankfurt

Switch10GE <–> 1GE

KITManagementSwitch

MCC DKCopenhagen

MCC CZPrague

NDGF RouterCopenhagen

KIT RouterKarlsruhe

MCC NLAmsterdam

Router Switch

33INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |

AutoKNF – AutoBAHN aus der Sicht eines „End-Users“

AutoKNF – der Name des Projektes setzt sich zusammen aus der

Silbe Auto von AutoBAHN und den Anfangsbuchstaben dreier

Einrichtungen, dem Karlsruher Institut für Technologie KIT, der

Nordic DataGrid Facility NDGF sowie dem US-amerikanischen

Fermilab. Wissenschaftler dieser Einrichtungen hatten sich zum

Ziel gesetzt, die dynamische Bereitstellung von Bandbreiten in

Wissenschaftsnetzen, die durch das GÉANT-Projekt AutoBAHN

möglich wurde, zu untersuchen.

„Automated Bandwidth Allocation across Heterogeneous Net-

works“ (AutoBAHN) gilt in Expertenkreisen als ein mächtiges Stück

Software, mit dem das Kunststück gelingen soll, über mehrere, he-

terogene Netzwerke hinweg dynamische Bandbreiten zwischen

zwei Endpunkten mit garantierter Kapazität bereitzustellen. Die

komplexe Technologie hierfür wird seit 2009 in Kooperation meh-

rerer nationaler Forschungsnetze entwickelt. Das an AutoBAHN

angebundene Evalierungsprojekt AutoKNF hat sich dabei zum

Ziel gesetzt, die Stabilität und das Handling für den Endnutzer

zu verbessern. Die Teams vom KIT, NDGF und Fermilab wollten

wissen, wo die Bandbreitengrenzen von Bandwith on Demand

liegen und wie robust dynamische Schaltungen hinsichtlich mög-

licher Fehlerquellen sind. Weiterhin sollten die Schnittstellen

zum Endnutzer hinsichtlich der sichtbaren Komplexität der dy-

namischen Verbindungen sowie der Handhabung des Reservie-

rungs-Portals bewertet werden.

Erste Diskussionen über den Aufbau einer dynamischen Infra-

struktur mit dem KIT als Endnutzer fanden während der GÉANT3

Eröffnung im Jahr 2009 in Stockholm statt. Der GÉANT Bandwidth

on Demand Service war noch in der Entwicklung. Die zugrunde

liegenden Protokolle und Tools waren noch nicht bereit für ei-

nen Einsatz außerhalb eines Labors. NORDUnet stieg als Partner

in das Projekt ein. 2011 wurde AutoKNF im Rahmen des BoD-Ser-

vice als Pilot gestartet.

DFN und NORDUnet stellten hierfür 1-Gigabit/s-Netzwerkverbin-

dungen zu den Endgeräten zur Verfügung. GÉANT-Betreiber DAN-

TE Ltd. steuerte eine Leitungsinfrastruktur bei, über die dynami-

sche Verbindungen aufgebaut werden konnten.

Entwicklung von AutoBAHN zu einem „Bandwidthon Demand“ (BoD) Service

In GÉANT2 wurde mit der Entwicklung von AutoBAHN begon-

nen. Gegen Ende von GÉANT2 wurde es in Pilotumgebungen ein-

gesetzt. AutoBAHN kann in einer Multidomain-Umgebung mit

mehreren Domains eingesetzt werden, in der unterschiedliche

Technologien verwendet werden. Wurde AutoBAHN zunächst

nur von NRENs eingesetzt, findet es mittlerweile auch in ande-

ren Netzwerken Verwendung, etwa in EXEMPLAR, einem „burst

switching“ Netzwerk in Irland.

AutoBAHN wurde innerhalb des GÉANT-Projektes kontinuierlich

zu einem Service-Tool weiterentwickelt, das heute einen „Multi-

Domain-Bandwidth-on-Demand“ (BoD) Service unterstützt und

neben der Bereitstellung dynamischer Verbindungen auch den

Aufbau der notwendigen Prozeduren, den Support, das Moni-

toring der Verbindungen, Public Relations und Marketing, ein

„Cost Sharing Modell“ sowie einen AAI-Mechanismus für einen

sicheren Zugang in den Service integriert. Doch nicht alle For-

schungsnetze nutzen AutoBAHN zur Bandbreitenreservierung.

So testet NORDUnet Werkzeuge namens Oscars und OpenNSA,

während das niederländische SURFnet mit einer Software na-

mens OpenDRAC arbeitet. Die Kommunikation zwischen diesen

Provisionierungswerkzeugen wird derzeit mit dem Interdomain-

Controller Protocol (IDCP) in einer globalen NREN-Zusammenar-

beit, insbesondere mit Internet2 und ESNet entwickelt. Neun eu-

ropäische NRENs sind so miteinander verknüpft und können dy-

namische Verbindungen aufbauen: CARNET, DANTE, Forsknings-

nettet, GRNet, HEAnet, JANET, NORDUNet, PIONIER und SURFnet.

Brückenschlag zwischen den NRENs

Die Software-Suite CNIS (Common Network Information Service)

ermöglicht ein effizientes Management der Netzwerk-Topologie-

Daten. CNIS sammelt Netzwerk-Topologie-Daten automatisch,

hält sie aktuell und konsistent und tauscht sie mit anderen An-

wendungen aus. CNIS stellt AutoBAHN die erforderlichen Netz-

werk-Topologie-Daten zur Verfügung. Eine CNIS-Software-Suite-

Instanz ist in jeder am BoD-Service teilnehmenden Domain ein-

gesetzt. CNIS enthält benutzerfreundliche Schnittstellen, über

die die Daten visualisiert werden können und die einen Über-

blick über die Netzwerktopologie ermöglichen. Aus Gründen der

Vertraulichkeit gibt AutoBAHN die lokalen Topologie-Informati-

onen nicht ungefiltert an externe BoD-Domains oder Applikatio-

nen weiter. Ein Domain-Manager (DM), der ein Modul des Provi-

sionierungswerkzeuges AutoBAHN ist und in jeder Domain be-

trieben wird, abstrahiert die CNIS-Informationen und gibt sie an

den InterDomain-Manager (IDM) weiter. Eine Übersicht zu Au-

toBAHN ist auf den GÉANT-Webseiten beschrieben. Abbildung

2 zeigt die Wechselwirkungen zwischen den essentiellen Auto-

BAHN-Modulen.

Das „AutoBAHN Provisioning Portal“

Ein Nutzerkonto zur Authentifizierung am GÉANT AutoBAHN-Kun-

denportal ist Voraussetzung zur Nutzung. Das Profil beinhaltet

Account-Namen, Organisations- bzw. Projekt-Zugehörigkeit, E-

Mail-Adresse und Art des Accounts (Benutzer/Administrator). Je-

34 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

dem Konto sind entsprechend der Berechtigung des Benutzers

Ports zugeordnet.

Über die URL des AutoBAHN Client Portals kann die Anmelde-

prozedur im Browser gestartet und die Reservierung einer „En-

de zu Ende“-Verbindung beantragt werden. Zuerst sind die Hei-

mat- und Ziel-Domain anzugeben. Über die Schaltfläche „add

reservation“ gelangt man zum nächsten Fenster. Hier werden

Start- und End-Port inklusive der jeweiligen VLAN-ID, Zeitzone

sowie Anfang, Ende und Kapazität der Reservierung angegeben.

Im letzten Feld wird eine kurze Beschreibung der Reservierung

gefordert. Auf zwei weiteren Registerkarten können Spezifika-

tionen optionaler Parameter (Verzögerung in ms und maximale

MTU-Größe) definiert und zusätzlich Angaben über den zu ver-

wendenden Pfad gemacht werden. „Add reservation“ öffnet nun

ein Fenster, das die gewählten Parameter zur Prüfung angezeigt.

Das nächste „add reservation“ trägt die Reservierung in den Ka-

lender ein. Sie erhält jetzt den Status „scheduled“. Weitere mög-

liche Zustände sind: „active“, „finished“, „failed“. Im „active“ Zu-

stand einer Reservierung können beide verbundenen Einrichtun-

gen über die dynamische Verbindung Daten bis zu der in der Re-

servierung spezifizierten Übertragungsbandbreite austauschen.

Das Portal ist intuitiv und sicher nutzbar.

Erste Erfahrungen beim Aufbau von AutoKNF

Als Topologie-Daten Tank für AutoKNF wurde CNIS eingeführt.

Dabei fiel auf, dass die Verbindung von Karlsruhe über Frankfurt

nach Amsterdam durchgehend statisch eingerichtet war. Eine

Neuordnung war notwendig, im Zuge derer die statische Ver-

bindung in Frankfurt am GÉANT Produktion Switch angeschlos-

sen wurde. Von da wurde die Verbindung weitergeführt an das

dynamische „AutoBAHN Domain 1“ Testbed MCC von GÉANT.

MCC ist die Bezeichnung der Metro Core Connect SDH Switches

von der Firma Alcatel-Lucent mit denen die AutoBAHN Domain

1 von GÉANT aufgebaut ist. Die Infrastruktur bildete einen Ring

zwischen Frankfurt, Prag, Amsterdam und London mit jeweils

einer MCC an jedem Standort. Die reservierten Verbindungen

konnten anfangs nicht aktiviert werden, da die statische Infra-

struktur zwischen Karlsruhe und Frankfurt mit 1 GE auf die dy-

namische „GÉANT Domain 1“ mit 10 GE traf. Das automatische

Aktivierungsverfahren unterstützte keine heterogenen Bandbrei-

tenkapazitäten, sondern nur eine homogene Bandbereite inner-

halb einer dynamischen Domain. Im November 2011 wurde ein

Versuch unternommen, die Verbindung manuell mit der nicht ho-

mogenen Leitungskapazität von 1 GE und 10 GE in einer dynami-

schen Domain zu verbinden. Dabei traten extrem viele fehlerhaf-

te Frames auf, die eine Aktivierung der dynamischen Verbindung

unmöglich machten. Deshalb wurde eine homogene Infrastruk-

tur mit ausschließlich 10 -GE-Bandbreite innerhalb der dynami-

schen Infrastruktur „GÉANT AutoBAHN Domain 1“ aufgebaut. Ein

Switch für den Bandbreitenübergang von 1 GE zu 10 GE wurde am

DFN PoP in Frankfurt installiert. GÉANT MCC stellte durchgängig

10-GE-Schnittstellen für das AutoKNF Projekt bereit. So konn-

te eine Punkt-zu-Punkt-Verbindung zwischen Karlsruhe und

Kopenhagen über das dynamische Teilstück Frankfurt-Amsterdam

hergestellt werden, über das sich erste Pakete austauschen

ließen.

Abb. 2 Management einer dynamischen Bandbreite: Die Data-Plane stellt die physische ‚Leitung‘ einer BoD-Verbindung, das darüberliegende AutoBAHN-System

realisiert den Aufbau über die verschiedenen Steuerungssoftware-Ebenen.

Au

toB

AH

N s

yste

mD

ata

Pla

ne

IP domain GE domain

Web GUI Lookup Service

Single AutoBAHN Instance

Inter-Domain Manager

Domain Manager

Technology Proxy

Single AutoBAHN Instance

Inter-Domain Manager

Domain Manager

Technology Proxy

Single AutoBAHN Instance

Inter-Domain Manager

Domain Manager

Technology Proxy

NMS

L2 MPLS VPN GFP over SDH Native Ethernet

SDH domain

Client equipment Client equipment

35INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |

Funktionstests

Ziel war es, eine Verbindung zwischen dem KIT in Karlsruhe und

dem MCC DK in Kopenhagen aufzubauen. Hierzu wurden am KIT

zwei End-Hosts installiert und an einen Switch angeschlossen,

der über einen statischen Link mit Frankfurt verbunden ist. Hier

beginnt die dynamische Infrastruktur „GÉANT AutoBAHN Domain

1“, ein Kreis von fünf MCCs („MCC DE“ in Frankfurt, „MCC CZ“ in

Prag, „MCC FR“ in Paris, „MCC UK“ in London, „MCC NL“ in Ams-

terdam). Die MCCs sind mit STM-64-Links (ca. 10 GE) miteinander

verbunden. Vom „MCC NL“ in Amsterdam ist eine statische Ver-

bindung zu dem „MCC DK“ in Kopenhagen eingerichtet.

Die Round-Trip-Time (RTT) wurde in der dynamischen Verbindung

mit einer stabilen Rate um 34.1 ms beobachtet. Die RTT über

die Internet-Dienste der Forschungsnetze betrug nur 27 ms. Ur-

sächlich hierfür war die unterschiedliche Länge des Weges, da

die Pakete über die Internet-Dienste der Forschungsnetze von

Karlsruhe nach Frankfurt und weiter nach Kopenhagen dirigiert

wurden, während die dynamische AutoBAHN-Verbindung von

Frankfurt nach Amsterdam eingerichtet worden war und von

dort nach Kopenhagen weitergeführt wurde. Der um 25% län-

gere Verbindungsweg entsprach in etwa den zusätzlichen 7 ms

der Round Trip Time (RTT).

Bei einem Dauertest der dynamischen Verbindung mit maxima-

ler Kapazität wurde die RTT mit ca. 85 ms gemessen. Die erhöhte

RTT war stabil hatte aber keinen Einfluss auf die Datenübertra-

gung. Grund für die verlängerte RTT, zumal sie nicht zwischen der

RTT ohne Last von 34 ms und der erhöhten RTT von 85 ms pen-

delte, könnten die bis an ihre Grenzen ausgelasteten Hosts und

ihre Network Interface Karten (NICs) mit einer Last von knapp

oberhalb 960 Mbps sein.

Die Interface-Werte der Switche in Karlsruhe und des Bandbrei-

ten Übergangs-Switches in Frankfurt (1GE←→10GE) wurden re-

gelmäßig überprüft, aber kein Interface gab Hinweis auf auf-

tretende Fehler.

Die Reservierung und die tatsächlich zugewiesene Bandbreite

wurden auf Abweichung untersucht. Die zugewiesene Kapazi-

tät beträgt immer das kleinste Vielfache einer STM-1 (155 Mbps)

Kapazität, z.B. kann bei einer Reservierung von 400 Mbps eine

Kapazität von drei Mal STM-1 (3*155 Mbps) 465 Mbps genutzt

werden. Es wurde ein sehr stabiler Durchsatz von ca. 960 Mbps

erreicht. Der Durchsatz wurde durch die Kapazität der Rechner-

NICs begrenzt. Auch hier wurden keinerlei fehlerhafte Pakete an

den Schnittstellen beobachtet.

Einsatz in Produktionsumgebungen

In Phase 2 galt es, die vorher in einer reinen Testumgebung

durchgeführten Untersuchungen von AutoBAHN in eine reale

Produktionsumgebung zu transferieren. Das KIT und die NDGF

setzen hierfür eine dynamische „Punkt-

zu-Punkt“ Verbindung zwischen den bei-

den LHC-Tier-1 Zentren DE-KIT und NDGF

auf. NORDUnet bot eine Layer-3-Schnitt-

stelle an, die eine Verbindung zu NDGF,

dem über Skandinavien verteilten „Nor-

dic LHC Tier-1 Zentrum“, ermöglicht. Nach

der Reservierung eines dynamischen Cir-

cuits bzw. dessen Aktivierung können die

BGP-Instanzen am Endpunkt jedes Stand-

ortes die Gegenseite automatisch erken-

nen. Nach dem Austauschen der Präfixe

werden sie in die lokale Routing-Tabelle

am jeweiligen Standort eingefügt. Da-

nach fand der Datenaustausch beider

Tier-1 Zentren über die dynamische Ver-

bindung statt. Die bisher beschriebenen

Aktionen sind unterbrechungsfrei möglich.

Mit dem Ablauf der Reservierungszeit des

dynamischen Circuits wird er stillgelegt

(decommissioned). Wenn der BGP Prozess

sowohl am NDGF wie auch am DE-KIT rea-

lisiert, dass die Präfixe nicht mehr ausge-

tauscht werden können (Time out), werden Abb. 3 Bandwith on Demand Provisioning-Portal: Sämtliche Konfigurationen können über die AutoBAHN-

Webschnittstelle durchgeführt werden.

36 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

auch die Routen über den dynamischen Circuit wieder aus der

Routingtabelle ausgetragen. Der Unterbrechungszeitraum wäh-

rend der Stilllegung der dynamischen Verbindung liegt zwischen

< 1 sec. und 36 sec., abhängig von der Zeit, in der der BGP-Prozess

die Nichtverfügbarkeit der Gegenstelle erkennt. Mit Ausnahme

weniger Packet-Drops war die dynamische Verbindung stabil.

Geplante transatlantische Erweiterungen

Eine besondere Herausforderung für BoD-Infrastrukturen be-

steht in der Integration von Netzinfrastrukturen über mehre-

re Kontinente und technologische Domains hinweg. In Phase 3

der AutoBAHN-Tests ist daher eine Erweiterung der Infrastruktur

über eine transatlantische Verbindung zu einem LHC-Zentrum in

Nordamerika (Fermilab) geplant. Die transatlantischen BoD-Inf-

rastrukturen werden durch USLHCnet und die kontinentale US-

Infrastruktur über das Internet2/ESnet zur Verfügung gestellt.

Hierbei wird als BoD-Protokoll OSCARS verwendet und muss

über das InterDomaine-Communication-Protocol (IDCP)mit Au-

toBAHN kombiniert werden.

Fazit

BoD-Schaltungen erinnern an das analoge Telefon früherer Zei-

ten. Nach Wahl der Rufnummer wurde eine Verbindung herge-

stellt – anfänglich sogar noch manuell durch ‚das Fräulein vom

Amt’. Verbindungen blieben dabei so lange bestehen, wie beide

Teilnehmer es wollten. Die dahinterliegende Technologie sowie

der Aufbau und die Beendigung eines Telefongesprächs waren

für die Fernsprechteilnehmer nicht sichtbar.

Das „selbsterklärende“ Reservierungs-Web-Frontend „AutoBAHN

Client Portal“ ermöglicht dem Anwender die Reservierung und

den Aufbau dynamischer Schaltungen. Die Dauer und Kapazität

einer dynamischen Daten-Verbindung kann spezifisch für jede

Reservierung gewählt werden. Gegenüber statischen Netzver-

bindungen wiesen die dynamischen BoD-Verbindungen im Rah-

men der AutoKNF-Evaluierung keine höheren Fehler- und Paket-

verlustraten auf. Die Infrastruktur und die Tools des „GÉANT BoD-

Dynamic Core“ erwiesen sich als eine solide Basis und sind für

den End-User auch in Produktionsumgebungen einsatzbereit. M

Abb. 4 Traffic auf einer BoD-Verbindung zwischen KIT und NDGF während eines Tests in der produktionsnahen Umgebung.

Maximum: Currrent: Average:

„grün“ Inbound 105.27 Mbps 49.87 Mbp 14.61 Mpbs

„blau“ Outbound 157.2 Mbps 84.11 Mbps 28.83 Mbps

Total Out 2482.24 Gbit

37INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |

Future InternetEin internationales Projekt zur Föderation heterogener Cloudsysteme

Text: Paul Müller (TU Kaiserslauten)

Die Entwicklung des Internets in den letzten Jahren hat gezeigt,

dass es immer schwieriger wird, neue Funktionalität zu integ-

rieren, um Anforderungen seitens der Applikationen zu erfüllen

und auf veränderte Rahmenbedingungen der Transporttechno-

logien zu reagieren. Insbesondere die Kernmechanismen (TCP/

IP) sind nur schwer veränderbar. Daher wird seit einiger Zeit die

Entwicklung einer neuen Architektur für ein zukünftiges Inter-

net im Rahmen internationaler, europäischer und deutscher Pro-

jekte vorangetrieben. In diesem Beitrag wird ein zwischen den

Projekten GENI (USA) und G-Lab (Deutschland) durchgeführtes

Projekt zur Föderation heterogener Cloudsysteme vorgestellt.

Das Internet, so erfolgreich es heute auch ist, ist in die Diskussion

gekommen. Die grundlegenden Architekturprinzipien des heuti-

gen Internets, das Ende-zu-Ende-Prinzip, die Schichtenarchitek-

tur und das Internetprotokoll, vor ca. 40 Jahren entwickelt, kom-

men immer stärker unter Druck. Zum einen durch immer neue

Anforderungen neuer nicht vorhersehbarer Anwendungen und

zum anderen durch immer neue Möglichkeiten der Transport-

netze, insbesondere der mobilen Netze. Um diesem Druck von

der Anwendungsseite und der Netzseite zu begegnen, werden

Foto: © potowizard - Fotolia.com

38 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

heute cross-layer-Ansätze angeboten bzw. neue Mechanismen

eingeführt. So überwanden CIDR, NAT und DHCP die Mängel der

Adressvergabe; IntServ, DiffServ und MPLS unterstützen das Ver-

kehrsmanagement und können mehr Übertragungsqualität ins

Netz bringen. Echtzeitprotokolle wie RTP, RTCP und RSVP sowie

das Signalisierungsprotokoll SIP ermöglichen die Übertragung

von Audio- und Videodaten sowie die Telefonie über das Inter-

net (VoIP). IPsec führte eine sichere Übertragung ein und der Do-

main Name System Security Extensions (DNSsec) soll Schutz vor

dem „DNS Spoofing“ bieten, Deep Packet Inspection (DPI) und

Firewalls untersuchen Datenströme auf mögliche Gefahren. All

diese Erweiterungen haben nun aus der ehemals klar definierten

Schichtenarchitektur des Internets ein architektonisches „night-

mare“ entstehen lassen zu dem Mark Hendley(1) sagt: „The Inter-

net only just works.“

Die daraus resultierenden Fragestellungen wurden Anfang 2000

aufgegriffen und einige experimentell orientierte Forschungs-

projekte auf den Weg gebracht, von denen GENI (Global Environ-

ment for Network Innovations; www.geni.net) in den USA, AKARI

(http://akari-project.nict.go.jp/eng/index2.htm)(2) in Japan und im

Jahre 2008 G-Lab (German-Laboritory; www.german-lab.de(3) in

Deutschland die bedeutendsten sind. Dabei stellt GENI im We-

sentlichen einen programmierbaren Softwarerahmen über ei-

ner Menge von physikalischen Ressourcen dar, der dem Nutzer

eine PlanetLab-Umgebung anbietet, während G-Lab neben Pla-

netLab auch andere, insbesondere projekt- bzw. nutzerspezifi-

sche Bootimages erlaubt.

Bei dieser Art der Forschung stehen neben der theoretischen

Grundlagenarbeit aber insbesondere Experimente im Mittel-

punkt. Dieser Gedanke liegt den oben genannten Projekten zu-

grunde und es wurden entsprechende Laborumgebungen wie

GENI oder G-Lab zum Testen neuer gegebenenfalls unvollstän-

diger Architekturmodelle bzw. Algorithmen und Anwendungen

aufgebaut. Als Ergebnis liefert ein Experiment, das in einer sol-

chen Einrichtung durchgeführt wurde, neue Erkenntnisse zur

Anpassung der Modelle bzw. zur Konfiguration der Experimen-

talumgebung. Damit wird dann ein iteratives Vorgehen ermög-

licht: Die angepassten Modelle werden für neue Experimente

Dynamic Provisioning for the iGENI Cluster D Network In partnership with RENCI (Renaissance Computing Institute), Duke University, the University of Massachusetts, and other D-Cluster participants, iGENI Consortium has implemented the Open Resource Control Architecture (ORCA) control framework at the StarLight international exchange facility and it is supporting a demonstration of �exible, programmable heterogeneous networking among multiple national and international sites, including dynamic path provisioning across multiple domains.

Highly Scalable Network Research TransCloud Prototype

This multi-organization TransCloud demonstration showcases a capability for using dynamic large scale cloud and network infrastructure for highly distributed specialized capabilities among multiple sites connectedby the iGENI network, including digital media transcoding and streaming to multiple edge platforms, supported by scaleable cloud computing and network provisioning.

Challenge: Currently, enabling researchers to conduct experiments over large distances, such as tens of thousands of miles has been a di�cult complex process, requiring many individual manual tasks, system con�gurations, and physical implementations.Current Solution: These demonstrations, using innovative network programming techniques and methods, show how such experiments can be conducted on large scale, �exible infrastructure, in part by using virtualization at multiple levels. These demonstrations are based on a large scale programmable network infrastructure using enhanced control frameworks, including ORCA, which has been implemented within the National Lambda Rail.

The iGENI dynamic network provisioning demonstrations showcase capabilities for large scale (national and international) multiple domain dynamic provisioning, including L1/L2 path involving multiple sites, using specialized signaling and implementation techniques.

InternationaliGENI site #2International

iGENI site #4

C-WAVE Northwestern iGENI

iGENI

InternationaliGENI site #3

InternationaliGENI site #1

InternationaliGENI site #5

International TestbedsiGENI is establishing international multi-continental network testbeds for large scale experimental research. These testbeds can support the activities of interdisciplinary international research teams.

Vlan DVlan 869Vlan 870

10GE

Vlan DVlan 869Vlan 870

10GE

Vlan 533

NOX

C-WAVE

Vlan 347

Vlan 3792

N X GE

10GE

10GE

10GE

10GE

1GE

10GE

10GE

10GE

10GE

1GE1GE

10GE

10GE

KREONET

NCKU

KUAS

GISTDuke U N I V E R S I T Y

Vlan D

Vlan 1804

Vlan 461

meritVlan 1810

iGENI GEC 10 Demonstrations

The International Global Environment for Network Innovations project (iGENI)The International Global Environment for Network Innovations project (iGENI) is developing national andinternational distributed infrastructure to enable the creation of a virtual laboratory for exploring future internetsat scale. iGENI will ensure that GENI is truly global. Led by the International Center for Advanced Internet Research (iCAIR) at Northwestern University, the consortium includes the Electronic Visualization Laboratory (EVL) at the University of Illinois at Chicago; the California Institute for Telecommunications and Information Technology (Calit2) at the University of California, San Diego; Cisco Systems, Inc.; and the BBN Technologies GENI Program O�ce (GPO). iGENI Consortium members have formed partnerships with many participants in the Global Lambda Integrated Facility (GLIF) as well as with National Research and Education Networks (NRENs), and research consortia and institutions.

GENICloud

GEC10Demo site

Control/Displays

iGENICAVEwave et al

GENICloud

GENICloud iGENI

iGENI

InternationaliGENI site #1GENICloud

InternationaliGENI site #2GENICloud

Standortübergreifende Cloud-Infrastruktur im Rahmen der GENI Engineering Conference 2010, die heterogene Cloudsysteme über das Internet verbindet.

Vier Standorte nahmen teil: HP Labs Palo Alto (GENI), Northwestern University (GENI), UC San Diego (GENI), und die Technische Universität Kaiserslautern

(G-Lab). Die beiden Experimental Facilities GENI und GLab wurden dazu über einen dedizierten 1 Gbit/s Link miteinander gekoppelt, der über StarLink,

NetherLight, GÉANT und das X-WiN führte.

39INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |

verwendet, die dann wiederum neue Erkenntnisse zur Nützlich-

keit bzw. Realitätstreue der Modelle liefern. Dies geschieht so

lange, bis das Modell ausreichend gut ist. Von daher reden wir

hier auch nicht von einem „Testbed“, sondern von einer „Expe-

rimental Facility“, die durch das Experiment unter Umständen

auch selbst beeinträchtigt werden kann. Ähnlich wie das CERN

eine Experimentalumgebung für physikalische Grundlagenfor-

schung bereitstellt, stellen GENI und G-Lab Experimentalumge-

bungen für die Internetforschung dar.

Dabei wird aber schnell klar, dass Arbeiten an einem möglichen

neuen Architekturmodell für ein zukünftiges Internet nicht nur

eine nationale Aufgabe darstellen, sondern nur in einer großen

internationalen Gemeinschaft organisiert und durchgeführt wer-

den können. Um diesem Aspekt Rechnung zu tragen, wurde 2009

ein plattformübergreifendes, gemeinsames Projekt zwischen GE-

NI und G-Lab definiert, das dann auf der GENI Engineering Con-

ference 2010 im Rahmen der iGENI Initiative in Puerto Rico de-

monstriert werden konnte.

Ziel des Projekts war die Erprobung einer standortübergreifen-

den Cloud-Infrastruktur, welche heterogene Cloudsysteme über

das Internet verbindet, um den hohen Ressourcenbedarf wis-

senschaftlicher Experimente zu decken. Vier Standorte nahmen

teil: HP Labs Palo Alto (GENI), Northwestern University (GENI),

UC San Diego (GENI) und die Technische Universität Kaiserslau-

tern (G-Lab). Die beiden Experimental Facilities GENI und G-Lab

wurden dazu über einen dedizierten 1 Gbit/s Link miteinander

gekoppelt, der über StarLink, NetherLight, GÉANT und das Deut-

sche Forschungsnetz gelaufen ist (s. Abbildung 1).

Eine solche übergreifende Cloud-Infrastruktur kann nur ermög-

licht werden, wenn es gelingt, die unterschiedlichen Arten von

Ressourcen, Tools und Cloud-Technologien über eine einheitliche

API anzusprechen. Die Amazon API kristallisiert sich momentan

als De-fakto-Standard heraus, weist aber einige Schwächen für

eine allgemeingültige Lösung auf, da Amazon sich auf bestimmte

Dienstleistungen fokussiert. Um nun auch zum Beispiel drahtlose

Knoten einzubinden, muss eine allgemeine API entwickelt wer-

den, die auch die Art der verfügbaren Ressourcen berücksichtigt.

Innerhalb des Projekts wurde untersucht, ob eine Kooperati-

on der verschiedenen Experimental Facilities mit den vorhan-

denen Schnittstellen und Frameworks möglich ist. Die zentra-

len Fragen waren:

• Ist es möglich, die verschiedenen Frameworks an den ein-

zelnen Standorten mit einer gemeinsamen Schnittstelle an-

zusprechen?

• Kann eine Infrastruktur geschaffen werden, die heteroge-

ne Cloudsysteme an den verschiedenen Standorten vereint?

• Können in dieser gemeinsamen Infrastruktur virtuelle Netze

für Experimente erstellt werden, die mehrere Systeme über-

spannen?

Als gemeinsame Schnittstelle und Abstraktionsschicht für die-

ses Projekt wurde die in GENI verbreitete „Slice based Federa-

tion Architecture (SFA)“ gewählt. SFA war an den GENI-Standor-

ten bereits verfügbar und konnte aufgrund der flexiblen Infra-

struktur einfach in die G-Lab-Plattform als neues Bootimage in-

tegriert werden.

Die zentrale Abstraktionseinheit von SFA ist der so genannte

Slice, eine logische Gruppe von Ressourcen, die sich aus virtu-

ellen Instanzen einer realen Infrastruktur zusammensetzt. Ein

Slice bildet gewissermaßen ein logisches verteiltes Netzwerk

von virtuellen Maschinen, das einem speziellen Projekt zugeteilt

wird. SFA bietet so eine simple Abstraktionsebene, die von vielen

Plattformen unterstützt werden kann. Die Abbildung von Spe-

zialfähigkeiten der einzelnen Plattformen über SFA stellt aber

eine gewisse Schwierigkeit dar.

Für das Experiment selbst wurden zwei unterschiedliche Cloud-

systeme, zum einen OpenStack (http://www.openstack.org) und

zum anderen Eucalyptus (http://www.eucalyptus.com) eingesetzt,

wobei die SFA als Vermittler zwischen den Benutzeranfragen und

den zugrundeliegenden Cloudsystemen genutzt wurde. Die SFA-

Schicht abstrahiert dabei von OpenStack (HP Labs) und Eucalyp-

tus (alle anderen Standorte); insbesondere in G-Lab wurde Euca-

lyptus als spezielles Bootimage genutzt. Im Rahmen des Experi-

mentes wurde ein MapReduce Algorithmus auf einem dedizierten

Repository mit Tracedaten (aus früheren Projekten) ausgeführt,

wobei der „Map“ und „Reduce“ Teil jeweils auf unterschiedlichen

Cloudsystemen realisiert wurde. Dabei waren insbesondere die

durch die (internationale) Verteilung entstehenden Verzögerun-

gen zu beachten. Die Ergebnisse wurden dann online auf der GE-

NI Engineering Conference 10 (GEC10) visualisiert

(http://groups.geni.net/geni/wiki/GEC10GENICloudEtAlDemo).

Mit dem Experiment konnte gezeigt werden, dass mit der Slice-

based Federation Architecture (SFA) ein Werkzeug zur Verfügung

steht, das nicht nur bestimmte Ressourcen föderieren kann, son-

dern darüber hinaus einen Abstraktionsmechanismus zur Föde-

rierung unterschiedlicher, heterogener Cloudsysteme zur Verfü-

gung stellt. Damit konnten die oben genannten zentralen Fra-

gen auf der Basis der SFA überzeugend beantwortet werden. M

(1) Mark Hendley, University College London

(2) „AKARI“ bedeutet so viel wie „a small light“ in Japanisch.

(3) G-Lab wurde vom BMBF von 2008 – 2012 gefördert

(4) Hier sind wir insbesondere dem DFN Verein dankbar, dass er die Konnekti-

vität für dieses Experiment zur Verfügung stellen konnte.

40 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

Global Research & Education Network Lea-ders identify and work on top-challenges

At a retreat in Geneva, Switzer-

land in September 2012, thirteen

leaders of National Research and

Education Network (NREN) orga-

nizations from around the world

met in a historic meeting to dis-

cuss global NREN strategy.

The Chief Executive Officers of AARNet (Aus-

tralia), CANARIE (Canada), CERNET (China),

CUDI (Mexico), DFN (Germany), Internet2

(USA), Janet (UK), NORDUnet (European Nor-

dics), REANNZ (New Zealand), RedCLARA (La-

tin America), RENATER (France), RNP (Bra-

zil), and SURFnet (The Netherlands) spent

two days discussing the common strate-

gic challenges they face in delivering ad-

vanced ICT services to the Research and

Education communities they serve. With

Research already a global endeavor and

Education becoming increasingly more

so, the CEOs recognized an urgent need

to prepare a seamless global service deli-

very for users in the Research and Educa-

tion community.

Outcomes of the meeting include the iden-

tification of four major challenges the CEOs

face in delivering a high-performance glo-

bal cyber-infrastructure (e-infrastructure).

The four agreed upon challenges include

(in no particular order of priority):

1. Global Network Architecture – A well-

defined, inclusive, global architecture for,

and a roadmap towards, interconnecting

the Research and Education Networks on a

global scale, taking into account input from

the large science & education projects.

2. Global Federated Identity Management

– A global, interworking architecture for,

and a roadmap towards, the delivery of

federated identity management for the

R&E community to fully interoperate,

using open standards and enabling glo-

bal service delivery.

3. Global Realtime Communications Ex-

change – An interworking system for mul-

ti-domain video/audio conferencing sys-

tems, with directory systems that inter-

work based on open standards, using their

identity federation & directories, capable

of supporting virtual organizations.

4. Global service delivery – A model for glo-

bal above-the-net service delivery to the

NREN‘s constituencies, leveraging aggrega-

tion of supply and demand through scale.

For each of these challenges, the NREN lea-

ders decided that a project owner be ma-

de available as soon as possible to drive

the creation of an action plan and to de-

liver results as planned.

The retreat concluded with continued dis-

cussion on future methods for strengthe-

ning global NREN collaboration to achie-

ve a high-performance global cyber-infra-

structure. The gathering adjourned with

the CEOs deciding to move forward in what

they now call the “Global Research & Edu-

cation Network CEOs Forum”. A next mee-

ting is planned for Spring 2013, with con-

tinued high-definition video conferenci-

ng meetings planned in the interim. (kh)

Gruppenbild NREN CEOs

41INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |

Radioteleskop der Hartebeesthoek Radio Astronomy Observatory, Süd-Afrika; Foto: © Dr. Michael Gaylard

Crossing the Equator – a new high-speed link connects African radio astronomers to Europe

First point-to-point research network circuit between Europe and Africa enables

astronomers to create a more detailed view of the universe

42 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL

Radio astronomers in Africa and across the

globe will benefit from faster collaboration

through a dedicated, high speed 15,000 km

network link between the pan-European

GÉANT and African UbuntuNet Alliance edu-

cation networks announced today.

The 2Gbps point-to-point circuit will enab-

le astronomers at the Hartebeesthoek Ra-

dio Astronomy Observatory (HartRAO) in

South Africa to stream observational da-

ta to the Joint Institute for VLBI in Europe

(JIVE) in the Netherlands for processing and

correlation, and is the first point-to-point

circuit between GÉANT and UbuntuNet.

HartRAO, located in a valley in the Maga-

liesberg hills, 50 km west of Johannesburg,

is the only major radio astronomy obser-

vatory in Africa. Through the technique

of Very Long Baseline Interferometry (VL-

BI), it collaborates with radio telescopes

on other continents to form a virtual te-

lescope the size of the Earth.

Combining observations from multiple te-

lescopes using VLBI allows more detailed

observations of distant astronomical ob-

jects than with any other technique. Infor-

mation is sent in real-time from radio tele-

scopes around the world to JIVE, where the-

se enormous volumes of simultaneous ob-

servation data are correlated to form high

resolution images of cosmic radio sources.

The establishment of the point-to-point cir-

cuit is part of the European VLBI Network’s

(EVN) e-EVN development programme for

electronic VLBI (e-VLBI). This uses high

speed research networks to transfer da-

ta for processing in real-time is an alterna-

tive to the traditional VLBI method of recor-

ding and shipping data on disk. e-VLBI ena-

bles observations of transient phenomena

such as supernovae, using the highest re-

solution astronomical technique possible.

“This is collaborative research and edu-

cation networking at its best,” said Dr F

F (Tusu) Tusubira, CEO of the UbuntuNet

Alliance. “Providing a point-to-point link

between Hartebeesthoek and JIVE in the

Netherlands benefits the entire global ra-

dio astronomy community, as it enables

faster, more detailed observations to be

shared in real-time and consequently dra-

matically increases our knowledge of the

universe.”

The point-to-point circuit will seamlessly

add the 26m telescope at Hartebeesthoek

into the e-EVN array at the highest possi-

ble data rate. It will be used for a series of

10 observing sessions annually to observe

targets that would benefit from the rapid

turnaround that analysing the data in real

time provides. The fast turnaround of re-

sults through the e-EVN enables decisions

on further observations to be made whilst

the astronomical event is still in progress,

thereby enabling the study of more rapid

transients, such as supernovae.

“This new link between Africa and Europe is

the perfect example of close co-operation

between research networks across the glo-

be, working together to provide astrono-

mers and scientists with the infrastructure

they need to advance their work,” said Ca-

thrin Stöver, Chief International Relations

Officer, DANTE, the organisation which on

behalf of Europe’s National Research and

Education Networks (NRENs) has built and

operates the GÉANT network. “As the first

point-to-point link between Europe and

Africa, it shows the truly global nature of

research and should encourage even gre-

ater collaboration between the two con-

tinents moving forward.”

For the global radio astronomy community,

adding HartRAO into the e-EVN array will

improve the North/South resolving pow-

er, thereby allowing more detailed sour-

ce structure to be seen, especially in the

southern sky.

Research data gathered at HartRAO, a

member institution of the South African

national research and education network

(NREN), TENET, flows in succession across

the networks of TENET, UbuntuNet, GÉANT

and Dutch NREN SURFnet . M (kh)

About UbuntuNet Alliance

UbuntuNet Alliance is the regional Research and Education Network for

East and Southern Africa. It is an Alliance of 13 NRENs in the region aiming

at interconnecting with each other and connecting to other regional net-

works globally. The Alliance is also working towards enabling collabora-

tion in research and education over world class networks. The Alliance

was established in 2005 and registered in 2006 as a not-for-profit regio-

nal association of NRENs in Eastern and Southern Africa. It has partici-

pated in several EU FP7 projects and is committed to the role of the ad-

vanced networks in unlocking Africa’s intellectual potential by ensuring

that African Researchers and Educators achieve equity with the rest of

the world through equitable access to global knowledge infrastructure.

The Alliance is working with DANTE on the implementation of the Africa-

Connect project which builds on a proven relationship between Europe

and sub-Sahara Africa.

www.ubuntunet.net

43SICHERHEIT | DFN Mitteilungen Ausgabe 83 |

Text: Heike Ausserfeld (DFN-Verein), Dr. Ralf Gröper (DFN-Verein), Ralf Paffrath (DFN-Verein)

Sicherheit aktuell

Baseline Requirements des CA/Browserforums in Kraft

Am 01. Juli 2012 ist die Version 1.0 der Base-

line Requirements des CA/Browserforums

in Kraft getreten. Diese umfassen Mindest-

standards für das Betreiben einer brow-

serverankerten CA, auf die sich Browser-

und Betriebssystemhersteller sowie CAs

geeinigt haben. Die Einhaltung der Base-

line Requirements ist inzwischen Vor-

aussetzung, um die Browserverankerung

einer CA sicherzustellen. Die Regelungen

gelten nicht nur für die im Browser ver-

ankerte Root-CA sondern auch für deren

Sub-CAs. Daher musste auch die DFN-PKI

entsprechend angepasst werden. Die An-

forderungen sind in der aktuellen Policy

der DFN-PKI bereits berücksichtigt wor-

den (s.u.). M

Neue Policy in der DFN-PKI

Am 26. Juni 2012 ist die Version 2.3 der Po-

licy der DFN-PKI in Kraft getreten. Hierbei

wurden Änderungen umgesetzt, die im

Rahmen des ETSI-Audits der DFN-PKI und

der Umsetzung der Baseline Requirements

des CA/Browserforums notwendig wur-

den. Die größten Änderungen mit Auswir-

kungen außerhalb der DFN-PCA sind zum

einen die Umbenennung der Registrie-

rungsstellen (RA) bei den Anwendern in

Teilnehmerservice (TS) sowie die Umstel-

lung der bisherigen RA-Operator-Zertifika-

te auf personengebundene Teilnehmer-

service-Mitarbeiter-Zertifikate. Bisher wa-

ren hierfür auch Gruppenzertifikate er-

laubt. Darüber hinaus haben sich die

Aufbewahrungsfristen für die im Regist-

rierungsprozess anfallenden Unterlagen

geändert. Im November 2012 wird eine wei-

tere neue Policyversion veröffentlicht, in

der formale Änderungen für die ETSI-Kon-

formität durchgeführt werden. Weitere

Änderungen für die DFN-Anwender erge-

ben sich hieraus nicht. M

Sperrinformationen in Google Chrome

Kurz nach dem Beitrag in den Kurzmittei-

lungen Sicherheit in den letzten DFN-Mit-

teilungen zum Thema „Google Chrome soll

keine Sperrinformationen mehr abrufen“

wurde eine neue Version von Google Chro-

me veröffentlicht, die in der Standardein-

stellung tatsächlich keine Sperrinforma-

tionen für Serverzertifikate von besuch-

ten Seiten mehr abruft. Dies kann in den

Optionen wieder aktiviert werden: Einstel-

lungen → Erweiterte Einstellungen anzei-

gen... → HTTPS/SSL → Haken bei „Server-

zertifikate auf Sperrung prüfen“ setzen.

Wir empfehlen, diese Option zu aktivie-

ren. Ob Ihr Browser Sperrinformationen

korrekt abruft können Sie unter https://

revoked-demo.pca.dfn.de/ testen. Ein kor-

rekt konfigurierter Browser unterbindet

den Zugriff auf die Seite mit einem Hin-

weis darauf, dass das Zertifikat gesperrt

wurde. M

Unterstützte Systeme der Schwachstellenmeldungen

Aufgrund der stetig steigenden Anzahl

wurden die unterstützten Systeme der

im Rahmen des DFN-CERT Dienstes erstell-

ten Schwachstellenmeldungen angepasst.

Weniger häufig eingesetzte Systeme wie

Mandriva Linux und HP-UX werden nicht

mehr unterstützt. Die unterstützten Sys-

teme sind im Katalog der unterstützten

Systeme unter https://www.cert.dfn.de/

schwachstellen/systeme/ dokumentiert. M

Schwachstelle in radsecproxyaufgedeckt

In radsecproxy 1.6, das in eduroam einge-

setzt wird, wurde durch den DFN-Verein

eine Sicherheitslücke entdeckt, welche in

Zusammenarbeit mit dem DFN-CERT analy-

siert und an die entsprechenden Entwick-

ler gemeldet wurde. Die Lücke betrifft Fö-

derations-Server, die mehr als eine PKI ein-

setzen, z.B. die DFN-PKI und eduPKI. Hier-

bei kann es vorkommen, dass ein Client

als Föderationserver authentifiziert wird,

obwohl der Client nicht dafür autorisiert

ist. Der Fehler wurde behoben, bevor ein

Angriff über diesen Weg bekannt wurde.

Die Schwachstellenmeldung des DFN-CERT

finden Sie unter https://portal.cert.dfn.de/

adv/DFN-CERT-2012-1791. M

20. DFN-Workshop „Sicherheit in vernetzten Systemen“

Der DFN-Verein veranstaltet am 19. und 20.

Februar 2013 in Zusammenarbeit mit dem

DFN-CERT den 20. DFN Workshop „Sicher-

heit in vernetzten Systemen“ in Hamburg.

Diese im Sicherheitsbereich etablierte Ver-

anstaltung beinhaltet Beiträge zu vielfäl-

tigen Aspekten der IT-Sicherheit. Diesmal

geht es u.a. um Angiffsszenarien auf ver-

netzte Gebäudetechnik und Multifunkti-

onsgeräte. Weitere Informationen und die

Möglichkeit zur Anmeldung gibt es unter

http://www.dfn-cert.de/veranstaltungen/

workshop.html. M

Kontakt

Wenn Sie Fragen oder Kommentare

zum Thema „Sicher heit im DFN“ ha-

ben, schicken Sie bitte eine Mail an

sicherheit@dfn.de.

44 | DFN Mitteilungen Ausgabe 83 | November 2012 | RECHT

Es bleibt alles anders!Die gegen das Urteil des Landgerichts Stuttgart eingelegte Berufung in einem Rechts-

streit zwischen der Fernuniversität Hagen und der Alfred Kröner Verlag GmbH & Co.

KG wurde mit großer Spannung erwartet – nun ist die Entscheidung da (Urteil vom

04.04.2012 – Az.: 4 U 171/11). Hierin bestätigt das Oberlandesgericht Stuttgart, dass die

Fernuniversität Hagen sich in Bezug auf die ihren Studierenden im Intranet zur Ver-

fügung gestellten Ausschnitte eines Psychologie-Lehrbuches nicht auf die Regelung

des § 52a UrhG berufen kann. Allerdings stellt das Gericht in der Urteilsbegründung

die durch die Vorinstanz aufgestellten Grundsätze größtenteils auf den Kopf. Diese

neuen Vorgaben zur Frage, inwieweit Hochschulen ihren Studierenden wissenschaft-

liche Texte in digitaler Form zur Verfügung stellen dürfen, gilt es fortan zu beachten.

Zumindest bis der Bundesgerichtshof das letzte Wort gesprochen hat.

OLG Stuttgart zur Reichweite des § 52a Urheberrechtsgesetz

Text: Julian Fischer (Forschungsstelle Recht im DFN)

I. Die bisherige Rechtslage zu § 52a UrhG

Die Regelung des § 52a UrhG erlaubt es den Hochschulen zur Ver-

anschaulichung des Unterrichts kleine Teile eines Werkes (bei-

spielsweise eines Lehrbuches), Werke geringen Umfangs sowie

Beiträge aus Zeitungen oder Zeitschriften einem bestimmten

abgegrenzten Kreis von Personen öffentlich zugänglich zu ma-

chen. Die Norm des § 52a UrhG ermöglicht somit Hochschulen

ohne Zustimmung des Urhebers dessen Werk im Intranet hoch-

zuladen und den Studierenden zur Verfügung zu stellen, soweit

dies zu dem angestrebten Zweck geboten und zur Verfolgung

nicht kommerzieller Zwecke gerechtfertigt ist. Mangels Recht-

sprechung war die Reichweite der Erlaubnisvorschrift zwischen

den Verlagsgesellschaften und den wissenschaftlichen Einrich-

tungen lange Zeit umstritten, bis im September letzten Jahres

das Landgericht Stuttgart erstmalig Stellung zu der Frage bezog

(siehe hierzu Herring, „Die Vorschrift des § 52a Urheberrechtsge-

setz – ein Auslaufmodell?“, DFN-Infobrief Recht 1/2012).

II. Die neuen Vorgaben des OLG Stuttgart

Die damals vom Landgericht Stuttgart getroffenen Aussagen sind

nunmehr als überholt anzusehen. Die Hochschulpraxis muss sich

stattdessen an den höhergerichtlichen Vorgaben des OLG Stutt-

gart orientieren, die Auskunft darüber geben, inwieweit die Vor-

schrift des § 52a UrhG es erlaubt, den Unterrichtsteilnehmern

wissenschaftliche Beiträge zum Online-Abruf bereitzustellen.

1. „Kleine Teile eines Werkes“ bedürfen der Einzelfallbetrachtung

Eine der wesentlichsten Fragen der Berufung bestand darin, zu

beantworten, in welchen Grenzen der Gesetzgeber noch von „klei-

nen Teilen“ eines Werkes ausgeht. Während das LG Stuttgart die

zulässige Entnahmegrenze im Verhältnis zum Gesamtwerk bei

10% des didaktisch relevanten Umfangs ansetzte und dabei aus-

schließlich Textseiten als berücksichtigungsfähig einstufte, hält

das OLG Stuttgart weder eine feste Prozentgröße noch ein Be-

grenzung auf inhaltlich relevante Passagen für möglich. Vielmehr

seien auch Inhaltsverzeichnis, Stichwortregister und Literatur-

verzeichnis für den Studenten sinnvoll, weil damit Vertiefungen

und weitere Recherchen ermöglicht werden. Anderenfalls wür-

de man den denkbaren Einzelfallkonstellationen nicht gerecht

werden und es bestünde die Möglichkeit, dass im Ergebnis we-

sentliche Kernteile eines Werkes öffentlich zugänglich gemacht

werden. Daher sei immer eine am Einzelfall orientierte Sicht-

weise erforderlich, weil „kleine Teile“ eben nicht zahlenmäßig

bestimmbar seien, sondern die Beantwortung der Frage immer

45RECHT | DFN Mitteilungen Ausgabe 83 |

einer am Einzelfall orientierten Aussage bedürfe. Abwägungs-

kriterium sei jeweils die Frage, ob das Nutzerinteresse nach öf-

fentlichem Zugang die Beeinträchtigung der Rechteinhaber am

Primärmarkt überwiege, das heißt, ob die Bereitstellung im Int-

ranet dazu führt, dass die Nutzer von einem anderweitigen Er-

werb des Werkes abgehalten werden.

Die Tatsache, dass die Festlegung einer bestimmten relevanten

Prozentgröße mehr Rechtsicherheit begründen und die Handha-

bung der Vorschrift in der Praxis erheblich vereinfachen würde,

kann an dieser Interpretation laut OLG Stuttgart nichts ändern.

Allenfalls sei die Bestimmung einer absoluten Obergrenze denk-

bar, wobei die zwischen der Verwertungsgesellschaft Wort und

den Bundesländern vereinbarte Höchstgrenze von maximal 100

Seiten aufgegriffen und als sinnvoll erachtet wird.

2. „Zur Veranschaulichung im Unterricht“ erfordert themati-

sche Unterrichtsergänzung

Dem Berufungserfolg der Fernuniversität Hagen stand nach der

Urteilsbegründung insbesondere entgegen, dass die konkrete

Bereitstellung von Lehrbuchausschnitten nicht der Veranschau-

lichung des Unterrichts diente. So sah das OLG Stuttgart dieses

Kriterium bei neun der insgesamt vierzehn ins Intranet gestell-

ten Personen der Psychologiegeschichte als nicht erfüllt an. Sie

würden nicht den erforderlichen vertiefenden Erkenntnisgewinn

liefern, sondern seien lediglich bloße Ergänzungen. Es fehle inso-

weit an der notwendigen Bezugnahme auf den behandelten Un-

terrichtsstoff. Dabei betont das Gericht, dass die Bereitstellung

nicht dazu führen dürfe, dass der eigentliche Unterricht sich auf

diese Weise eigene Darstellungen erspare. Das Wort „veranschau-

lichen“ bedeute, dass man etwas erkläre, indem man Beispiele

gebe, etwas sichtbar mache, verdeutliche, illustriere oder visu-

alisiere. Diese Anforderungen seien zu erfüllen, wenn man dem

§ 52a UrhG gerecht werden wolle.

In diesem Zusammenhang stellten die Richter jedoch klar, dass

das Merkmal „zur Veranschaulichung im Unterricht“ nicht be-

deute, dass eine Verwendung im Unterricht erfolgen müsse. Ei-

ne Beschränkung auf die eigentliche Unterrichtszeit oder Un-

terrichtsveranstaltung sei der Regelung des § 52a UrhG nicht

zu entnehmen. Stattdessen liege der Vorschrift gerade das Ver-

ständnis zugrunde, dass auch die Vor- und Nachbearbeitung von

Hausarbeiten am heimischen Computer miterfasst sein solle.

3. „Bestimmt abgegrenzter Kreis von Unterrichtsteilnehmern“

gilt auch für eine Fernuniversität

Des Weiteren dürften die Materialien nur denjenigen Studenten

online zugänglich gemacht werden, die das betreffende Fach bele-

gen oder die betreffende Veranstaltung besuchen, wobei auf den

der jeweiligen Unterrichtseinheit angehörenden Personenkreis

abzustellen sei. Dass der Kreis der Teilnehmer im Fall der Fern-

universität Hagen mit ca. 4000 Zugangsberechtigten wesentlich

größer ausfalle als bei einer Universität mit Präsenzunterricht,

sei laut OLG Stuttgart unerheblich. Weder die höhere Anzahl

noch die fehlende geografische Beschränkung führe dazu, dass

der Teilnehmerkreis unbestimmt oder unbegrenzt ausgeweitet

würde, worauf es bei der erforderlichen Eingrenzung ankomme.

Entscheidend sei hierbei letztlich die Sicherstellung der abge-

grenzten Benutzung durch die Einrichtung von Zugangskontroll-

systemen, damit das Werk nur für die jeweiligen Unterrichtsteil-

DFN-Infobrief Recht als Kompendium

Seit 2011 werden die DFN-Infobriefe Recht vom DFN-

Verein zusätzlich zur laufenden Publikation über das

Netz auch als gedruckter Jahres-Sammelband heraus-

gegeben. In den Sammelbänden sind alle Artikel, die

im Laufe eines Jahres veröffentlich wurden, enthalten.

Der Jahresband 2011 kann über die Geschäftsstelle des

DFN-Vereins bezogen werden. Bitte kontaktieren Sie

uns per E-Mail unter sammelband-recht@dfn.de

Infobrief RechtInfobrief Recht

DFN-Infobrief RechtJahresband 2011

Deutsches Forschungsnetz DFN-Infobrief Recht Jahresband | 2011

www.dfn.de

46 | DFN Mitteilungen Ausgabe 83 | November 2012 | RECHT

nehmer verfügbar sei. Im Übrigen führe auch die Zulassung von

„Wiederholern“ nicht zu einer anderen Bewertung. Der dem Un-

terrichtsmodul angehörende Personenkreis sei weiterhin ausrei-

chend eingeschränkt; eine unbegrenzte oder gar unkontrollier-

bare Öffnung finde hierdurch nicht statt. Auch einer Fernuniver-

sität müsse es letztlich möglich sein, sich auf die Vorschrift des

§ 52a UrhG zu berufen.

4. „Gebotenheit der Bereitstellung“ verlangt eine Gesamtab-

wägung

Die Beantwortung der Frage, ob das Kriterium der „Gebotenheit

der Bereitstellung“ als erfüllt angesehen werden kann, bedarf

laut OLG Stuttgart einer Gesamtabwägung im Einzelfall. Diese sei

zwischen dem Bedürfnis der Zugänglichmachung und dem Grad

der Beeinträchtigung des Rechteinhabers vorzunehmen. Dafür

sei es besonders relevant, ob die Zugänglichmachung die norma-

le Verwertung des Werkes auf dem Primärmarkt beeinträchtige.

Im zu beurteilenden Rechtsstreit entschied die Berufung, dass

die konkret vorgenommene Einstellung ganzer Lehrbuchkapi-

tel seitens der Fernuniversität Hagen dazu geführt habe, dass

ein Erwerb des Buches für die Studenten nicht mehr erforderlich

gewesen sei. Hierdurch seien die Verwertungsrechte des Verla-

ges unverhältnismäßig eingeschränkt worden, da es hierzu be-

reits genüge, wenn die „normale“ Verwertung des Werks bereits

mittelbar beeinträchtigt werde. Dabei orientierte sich das OLG

Stuttgart vor allem an dem Kriterium, ob die Teilnehmer des be-

troffenen Kurses das Buch letztlich nicht mehr erwerben muss-

ten, um den Pflichtfachstoff bearbeiten und die Klausur beste-

hen zu können.

Die Gebotenheit sei – wie das Gericht hinzufügte – jedoch nicht

bereits dann zu verneinen, wenn das betreffende Werk ohne

erheblichen Aufwand in digitalisierter oder analoger Form be-

schafft werden könne. Der Gesetzgeber wolle vielmehr gerade

die Möglichkeit einer digitalisierten Informationsvermittlung

für kleine Werkteile ermöglichen. Einer entsprechend vorher vor-

zunehmenden Marktanalyse bedarf es somit zumindest nicht.

5. „Zugänglichmachung“ erlaubt lediglich die Ansicht am Bild-

schirm

Besondere Beachtung verdient die Interpretation des OLG Stutt-

gart zur generellen Reichweite des § 52a UrhG. Die Vorinstanz

hatte es diesbezüglich im Rahmen der Vorschrift noch für zu-

lässig erachtet, dass zumindest drei Seiten eines Werkes in ei-

nem Format angeboten werden, welches auch den Download

bzw. das dauerhafte Speichern auf den Computern der Studie-

renden ermögliche. Die Berufung hingegen erteilt sowohl der

Möglichkeit der Anfertigung von digitalen Kopien als auch der

eines Ausdrucks der ins Netz gestellten Materialien eine Absage.

Durch § 52a UrhG sei nur das Bereithalten zum Lesen am Bild-

schirm legitimiert. Dies folge daraus, dass die Vorschrift ledig-

lich die öffentliche Zugänglichmachung, nicht aber anderwei-

tige Verwertungsmöglichkeiten, wie etwa die Anfertigung digi-

taler Kopien, erlaube. Würde neben dem bloßen Bereithalten

zur Ansicht eine Download- oder Druckoption angeboten, wäre

damit die Einräumung einer Vervielfältigungsmöglichkeit ver-

bunden, die vom gewährten Recht der „Zugänglichmachung“

nicht mehr gedeckt sei.

III. Fazit

Das Urteil des OLG Stuttgart ist für die Hochschulpraxis wenig

hilfreich. Es bringt mehr Verwirrung als Klarheit in die Frage,

welche und vor allem wie viele Materialien ein Hochschullehrer

seinen Studierenden auf einer Online-Lernplattform zur Verfü-

gung stellen darf. So muss sowohl die Beantwortung der Frage,

was noch als „kleiner Teil“ eines Lehrbuches angesehen werden

kann, als auch die der Frage, ob die Bereitstellung die Verwer-

tungsrechte des Verlages bzw. Rechteinhabers „unzumutbar“

einschränkt, vom Dozenten individuell vorgenommen werden.

Die Rechtsprechung bietet hier weder einen Richtwert noch an-

derweitig verlässliche Kriterien an. In jedem Fall ist bei der Zu-

sammenstellung von Literatur fortan besonders darauf zu ach-

ten, dass diese eine vor- oder nachbereitende Ergänzung zum

behandelten Unterrichtsstoff darstellt und nicht einfach selbi-

gen ersetzt oder jeglichen Unterrichtsbezug vermissen lässt. Da-

neben muss nunmehr ein technisches Format gewählt werden,

welches lediglich die Ansicht am Bildschirm, nicht jedoch den

Ausdruck oder die Möglichkeit des Downloads erlaubt.

Vor diesem Hintergrund bleibt zu hoffen, dass die zugelasse-

ne Revision zum Bundesgerichtshof die Entscheidung des OLG

Stuttgart zugunsten der Rechtssicherheit, Wissenschaft und vor

allem der Lehre verändert. Andernfalls werden die Hochschulen

gezwungen sein, tendenziell deutlich weniger Materialien zur

Verfügung zu stellen. Die Leidtragenden sind die Studierenden,

die sich die wesentliche Literatur der Unterrichtseinheit zukünf-

tig deutlich aufwendiger und kostspieliger besorgen müssen.

Die Verlagslobby hingegen wird das Urteil vor diesem Hinter-

grund erfreut zur Kenntnis genommen haben.

Abzuwarten bleibt neben der zugelassenen Revision zum Bun-

desgerichtshof auch eine politische Entscheidung. So handelt es

sich bei der Erlaubnisvorschrift des § 52a UrhG um eine bis Ende

des Jahres befristete Rechtsnorm. Diese Befristung soll der Fest-

stellung dienen, ob die Rechte der wissenschaftlichen Verleger

durch die Regelung unzumutbar beeinträchtigt werden. Hier-

von kann nach den aktuell geltenden Vorgaben des OLG Stutt-

garts nur noch bedingt ausgegangen werden. Allerdings stellt

sich die Frage, inwieweit die Regelung – bei Zugrundelegung

der nunmehr zu beachtenden Vorgaben – überhaupt noch pra-

xistauglich und sinnvoll ist. M

47RECHT | DFN Mitteilungen Ausgabe 83 |

Rapidshare vs. Rechte-inhaber – Ende einer unendlichen Geschichte?Der Bundesgerichtshof hat kürzlich in seinem Urteil vom 12.07.2012 (Az. I ZR 18/11)

erstmals zur Haftung von File-Hosting-Diensten wie „Rapidshare.com“ für Urheber-

rechtsverletzungen Stellung bezogen. Der für das Urheberrecht zuständige I. Zivil-

senat des Bundesgerichtshofs (BGH) hat entschieden, dass Betreiber sogenannter

File-Hosting-Dienste bei begangenen Urheberrechtsverletzungen der Nutzer grund-

sätzlich weder Täter noch Gehilfen seien. Sollten sie jedoch Prüfungspflichten ver-

letzt haben, komme eine Haftung als Störer auf Unterlassung in Betracht.

Bundesgerichtshof bezieht Stellung zur Haftung von File-Hosting-

Diensteanbietern bei Urheberrechtsverletzungen

Text: Kevin Kuta (Forschungsstelle Recht im DFN)

48 | DFN Mitteilungen Ausgabe 83 | November 2012 | CAMPUS

I. Einleitung

Sowohl im Privaten als auch im Berufsleben drängen Faktoren wie

Mobilität und Effektivität stark in den Vordergrund. Um diesen

Ansprüchen gerecht werden zu wollen, müssen Mitarbeiter und

Studenten ihre Arbeitsmaterialien im Idealfall 24 Stunden am Tag

direkt abrufbar haben. Sobald man Dateien ausschließlich auf der

Festplatte eines Laptops oder PCs speichert, ist man an das ent-

sprechende Gerät gebunden. Zwar kann man die entsprechenden

Daten auch auf einer externen Festplatte oder einem Memory-Stick

speichern, um eine größere Mobilität zu erreichen. Jedoch kann

es beim Anschluss dieser Geräte an die IT-Endgeräte eines Unter-

nehmens oder einer Hochschule Probleme geben. Eine einfache-

re und handlichere Möglichkeit zur zentralen Datenspeicherung

und -verwaltung stellen sog. File-Hosting-Dienste dar, die teilwei-

se auch unter den Bezeichnungen Sharehoster, One-Klick-Hoster,

Filehoster oder Cyberlocker kursieren.

Diese Anbieter stellen ihren Nutzern virtuellen Speicherplatz zur

Verfügung. Die Nutzer können ihre persönlichen Dateien auf der

Internetseite der Diensteanbieter hochladen und damit auf de-

ren Servern speichern. Der Abruf dieser Dateien geschieht denk-

bar einfach: Nach dem Hochladen wird dem Nutzer ein Link zur

Verfügung gestellt, über den die abgelegte Datei abgerufen wer-

den kann. Durch diese Form der Datenspeicherung ist eine größt-

mögliche Mobilität und Effektivität gewährleistet. Man benötigt

lediglich einen Internetzugang. Dementsprechend besteht ge-

rade bei der Nutzung größerer Datenmengen ein beträchtliches

Interesse und Bedürfnis an der legalen Nutzungsmöglichkeit die-

ser Dienste, weswegen diese auch in großer Zahl vorhanden und

üblich sind. Durch die einfache Handhabung dieser Plattformen

wird jedoch auch dem Missbrauch Tür und Tor geöffnet. Im Mit-

telpunkt stehen hier vor allem Urheberrechtsverletzungen, ins-

besondere in den Bereichen Musik, Film und Software.

Hochschulen stellen ihren Mitarbeitern und Studenten häufig

Speicherplatz zur Verfügung. Darüber hinaus bieten sie vielfach

Lernplattformen sowie Speicherplatz für Webseiten von Studen-

teninitiativen oder Drittmittelprojekten an. Damit treten sie in

ähnlicher Weise als Host-Provider auf.

II. Bisherige Rechtslage

Die Rechtsprechung war bisher sehr uneinig, was die Behand-

lung von File-Hosting-Diensten und deren Haftung für Urheber-

rechtsverletzungen betrifft. Dabei haben sich zwei Lager her-

auskristallisiert.

Zugunsten von Host-Providern spricht sich das OLG Düsseldorf

(Urteil vom 27.04.2010 – Az. I-20 U 166/09 – „Rapidshare“; Urteil vom

06.07.2010 – Az. I-20 U 8/10 – „Rapidshare II“; Urteil vom 21.12.2010

– Az. I-20 U 59/10 – „Rapidshare III”) aus. Erfolgt nach der Spei-

cherung auf dem Speicherplatz des Host-Providers ein öffent-

liches „Zugänglichmachen” im Sinne des § 19a Urheberrechts-

gesetz (UrhG), ist nach Ansicht des Gerichts der Host-Provider

nur dann verantwortlich, wenn er im zumutbaren Umfang von

der Veröffentlichung Kenntnis erlangt hat und eine solche Ver-

öffentlichung hätte unterbinden können. Nach dieser Auffas-

sung hat daher zunächst eine Sperrung der beanstandeten Da-

tei zu erfolgen. Des Weiteren muss neben dieser Sperrung die

zumutbare Vorsorge getroffen werden, dass es möglichst nicht

zu weiteren derartigen Rechtsverletzungen kommt.

Gegenteiliger Ansicht ist das OLG Hamburg (Urteil vom 02.07.2008

– Az. 5 U 73/07 – „Rapidshare“; Urteil vom 14.03.2012 – Az. 5 U

87/09). Nach dessen Auffassung leistet ein Geschäftsmodell, das

aufgrund seiner Struktur die Möglichkeit des anonymen Hoch-

ladens in Pakete zerlegter, gepackter und mit Kennwort gegen

den Zugriff geschützter Dateien eröffnet, der massenhaften Be-

gehung von Urheberrechtsverletzungen wissentlich Vorschub.

Ein derartiges Modell könne nicht von der Rechtsordnung ge-

billigt werden. Lässt der Host-Provider in Kenntnis begangener

Urheberrechtsverletzungen weiterhin einschränkungslos eine

anonyme Nutzung seines Dienstes zu, schneidet er dem verletz-

ten Urheber den erforderlichen Nachweis wiederholter Bege-

hungshandlungen ab, welchen dieser benötigt, um seine Rechte

erfolgreich und wirksam durchsetzen zu können. In diesem Fall

kann sich der Betreiber zur Vermeidung seiner Verantwortlich-

keit als Störer unter bestimmten Voraussetzungen nicht mehr

auf eine ansonsten gegebenenfalls bestehende Unzumutbarkeit

umfangreicher Prüfungspflichten berufen. Damit spricht sich

diese Ansicht bei begangenen Schutzrechtsverletzungen neben

einer Sperrung für umfassende Prüfungspflichten der Speicher-

plattformbetreiber aus.

III. Neuerungen durch das Urteil des BGH

Mit dem Urteil des BGH vom 12.07.2012 liegt nun erstmals die

Entscheidung eines obersten Gerichtes zu dieser Thematik vor.

Nach Ansicht des BGH können File-Hosting-Diensteanbieter für

nutzerseitige Urheberrechtsverletzungen erst dann in Anspruch

genommen werden, wenn sie auf eine eindeutige und gleichar-

tige Rechtsverletzung hingewiesen worden sind.

1. Keine Prüfungspflicht ohne tatsächliche Anhaltspunkte

File-Hosting-Diensteanbieter kennen den Inhalt der hochgela-

denen Dateien nicht. Weiterhin unterhalten sie kein Inhaltsver-

zeichnis dieser Dateien. Es besteht jedoch die Möglichkeit, dass

Dritte nach bestimmten Dateien auf den Servern der File-Hos-

ting-Dienstebetreiber suchen können. Dies ist einerseits durch

die Verwendung bestimmter Begriffe mittels der allgemeinen

Suchmaschinen möglich. Darüber hinaus gibt es andererseits

49RECHT | DFN Mitteilungen Ausgabe 83 |

aber auch spezielle Suchmaschinen, die als sog. Link-Sammlun-

gen bezeichnet werden. Diese Suchmaschinen durchsuchen aus-

schließlich die Sammlungen der von den File-Hosting-Diensten

an den Nutzer übermittelten Links und zeigen Dritten alle er-

hältlichen Links zu einem von ihnen gewählten Schlagwort an.

Durch das Hochladen der Dateien werden diese öffentlich zu-

gänglich gemacht und können auch von Dritten heruntergeladen

werden. Die Nutzer dieses Dienstes laden ihre Dateien ohne vor-

herige Kenntnis der Betreiber hoch. Damit ist der Betreiber bei

einer durch das Hochladen möglicherweise begangenen Urhe-

berrechtsverletzung weder Täter noch Gehilfe. Dagegen kommt

aber bei der Verletzung von Prüfungspflichten eine Haftung auf

Unterlassung als Störer in Betracht. File-Hosting-Dienstebetrei-

ber sind als Diensteanbieter im Sinne des § 10 Telemediengesetz

(TMG) anzusehen. Als solche müssen sie die auf ihren Servern

gespeicherten Daten nicht allgemein und pauschal auf Rechts-

verletzungen überprüfen. Man könnte andererseits annehmen,

dass eine solche umfassende Prüfungspflicht etwa deswegen

geboten ist, weil derartige Dienste für Urheberrechtsverletzun-

gen besonders anfällig wären. Dieser Ansicht erteilt der BGH je-

doch eine klare Absage. Dies vor allem aus dem Grund, dass le-

gale Nutzungsmöglichkeiten dieser Dienste in starker Zahl vor-

handen und üblich sind und gleichzeitig ein großes Interesse

für eine derartige Nutzung besteht. Daher entsteht nach Auf-

fassung des BGH eine Prüfungspflicht der Diensteanbieter erst

in dem Zeitpunkt, in dem sie auf eine eindeutige Rechtsverlet-

zung hinsichtlich des jeweiligen Schutzobjekts (sei es ein Mu-

siktitel, ein Film, ein Softwareprodukt, ein Computerspiel oder

ähnliches) hingewiesen worden sind.

2. Die zumutbaren Prüfungspflichten in Bezug auf vergleich-

bare Rechtsverletzungen

Im konkreten Fall hatte die Schutzrechtsinhaberin dem Diens-

teanbieter einen Hinweis gegeben, dass eines ihrer Computer-

spiele auf den Servern des File-Hosting-Dienstebetreibers zum

Download bereitsteht. Daraufhin hatte der Diensteanbieter die

entsprechende Datei umgehend gelöscht. Dabei hat er es aber

unterlassen zu überprüfen, ob auf seinen Servern weitere Datei-

en anderer Nutzer liegen, die auch das Computerspiel der Schutz-

rechtsinhaberin beinhalten, sodass im Ergebnis das Spiel weiter-

hin heruntergeladen werden konnte. Nach Ansicht des Gerichts

war es in diesem konkreten Fall nicht ausreichend, dass seitens

des Diensteanbieters nur die konkret bezeichnete rechtsverlet-

zende Datei gelöscht wurde. Der Betreiber des File-Hosting-Diens-

tes hätte darüber hinaus alle ihm technisch und wirtschaftlich

zumutbaren Möglichkeiten ergreifen und ausschöpfen müssen,

um ein wiederholtes Angebot desselben Schutzobjekts durch

andere Nutzer auf den Servern des Betreibers zu verhindern.

Hinsichtlich der Zumutbarkeit schränkte der BGH die Prüfungs-

pflichten dahingehend ein, dass Maßnahmen das Geschäftsmo-

dell der Betreiber nicht gefährden dürfen. Nach Auffassung des

Gerichts kann die Prüfungspflicht in diesem Fall möglicherweise

deswegen verletzt worden sein, da der Betreiber keinen Wort-

filter für den zusammenhängenden Namen des Schutzobjekts

zur Überprüfung der auf ihren Servern befindlichen Dateinamen

verwendet hat.

Im konkreten Fall erfolgte jedoch hinsichtlich der Verletzung

der Prüfungspflicht seitens des Diensteanbieters keine abschlie-

ßende Entscheidung, sondern die Sache wurde vom BGH zur er-

neuten Verhandlung und Entscheidung an das Berufungsgericht

zurückverwiesen. Grund dafür war, dass die getroffenen Fest-

stellungen des Berufungsgerichts im Hinblick auf die Zumut-

barkeit von Überprüfungsmaßnahmen nicht ausreichend seien.

IV. Fazit

Durch die Zurückverweisung an das Berufungsgericht bleibt ei-

ne eindeutige, höchstrichterliche Rechtsprechung zur Haftung

von File-Hosting-Dienstebetreibern für Urheberrechtsverlet-

zungen weiterhin aus. Jedoch kann man der Entscheidung des

BGH erste Tendenzen entnehmen. Bestätigt wurde, dass eine

Prüfungspflicht für derartige Diensteanbieter erst in dem Zeit-

punkt entsteht, in dem er auf eine eindeutige Rechtsverletzung

hingewiesen worden ist. Jedoch bleibt abzuwarten, wie das Be-

rufungsgericht hinsichtlich der sich darüber hinausgehenden

Prüfungspflichten entscheiden wird. Der BGH hat nämlich auch

eine proaktive Prüfungspflicht ins Spiel gebracht, indem er vor-

gibt, dass die bloße Löschung der beanstandeten Datei nicht

ausreicht. Vielmehr müsse darüber hinaus alles technisch und

wirtschaftlich Zumutbare veranlasst werden, um eine erneute

Downloadmöglichkeit des Schutzobjekts durch das Hochladen

der Datei seitens anderer Nutzer zu unterbinden. Es müsse auch

im Falle eines Hinweises auf eine Rechtsverletzung überprüft

werden, ob die entsprechenden Dateien neu hochgeladen wer-

den. Dabei wird der Einsatz technischer Filter erwähnt. Spezi-

ell zu nennen wären hier Musik- oder Videofilter. Auch der Ein-

satz eines Wortfilters zur Überprüfung der auf dem Server des

Betreibers gespeicherten Dateien wäre denkbar. Jedoch könn-

te man dabei an der Effektivität zweifeln. Die bloße Umbenen-

nung der Datei würde einer erfolgreichen Überprüfung entge-

genwirken. Bei Urheberrechtsverletzungen auf derartigen Spei-

cherplattformen sind die Täter nur schwer identifizierbar. Daher

nimmt der BGH die Intermediäre stärker in die Pflicht. Die rein

passive Reaktion auf Hinweise von Dritten genügt nicht mehr.

Vielmehr müssen die Betreiber solcher Speicherplattformen ak-

tiv Urheberrechtsverletzungen unterbinden.

Für Hochschulen ist dieses Urteil im Hinblick auf die Bereitstel-

lung von Speicherplatz interessant, da sie in diesem Fall als

Host-Provider einzuordnen sind. Charakteristisch für Host-Pro-

50 | DFN Mitteilungen Ausgabe 83 | November 2012 | DFN-VEREIN

Nachruf

vider ist, dass sie die technische Infrastruktur zur Verfügung

stellen, um Nutzern die Möglichkeit zu bieten, Inhalte zu hin-

terlegen, auf welche die Nutzer dann persönlich oder aber auch

(autorisierte) Dritte zugreifen können. Es bleibt aber unsicher, ob

die Grundsätze des BGH auch uneingeschränkt auf Hochschulen

übertragen werden können, zumal es sich bei dem Dienstean-

bieter im beschriebenen Fall um einen kommerziellen File-Hos-

ting-Dienst handelte. Generell kann aber festgehalten werden,

dass die Hochschule jedenfalls dann aktiv werden muss, wenn

der Hinweis eines Dritten auf eine konkrete Rechtsverletzung

vorliegt. Ob die vom BGH geforderten weitergehenden Prüfungs-

pflichten auch die Hochschulen treffen werden, ist nach dem

derzeitigen Stand der Rechtsprechung offen, jedoch wohl zu ver-

neinen, da es sich bei Hochschulen eben nicht um kommerzielle

Diensteanbieter handelt, wobei der kommerzielle Charakter ein

wesentlicher Aspekt für die Begründung weitergehender Prüf-

pflichten darstellt.

Im Hinblick auf die genaue Ausgestaltung der Prüfungspflich-

ten sowie deren technischen und wirtschaftlichen Zumutbar-

keit bleibt nun die erneute Entscheidung des Berufungsgerichts

abzuwarten. M

Der DFN-Verein nimmt Abschied von Gerti Foest, die am 11. September 2012

nach schwerer Krankheit im Alter von 62 Jahren verstorben ist.

Der DFN-Verein verliert mit Gerti Foest eine Kollegin und Freundin, die sich

durch große Hingabe an ihre Aufgaben und durch ihr immer warmherziges,

den Menschen zugeneigtes Wesen auszeichnete. Ihre Offenheit und ihr po-

sitives Wesen brachten ihr die Wertschätzung und Zuneigung ihrer Kolle-

ginnen und Kollegen. Bis zuletzt hat sich Gerti in nationalen Projekten des

DFN-Vereins wie dem Auf- und Ausbau der DFN-PKI engagiert. International

wirkte Gerti initiativ an der Unterstützung des Aufbaus des afrikanischen

Forschungsnetzes und hier insbesondere  des kenianischen KENET mit.

Gerti hat mit großer Tapferkeit um ihr Leben gekämpft und hat sich ihrem

Schicksal noch in schwerster Stunde mit Mut und Optimismus gestellt. Wir

hätten uns von Herzen gewünscht, dass sich ihre Hoffnung auf Genesung

erfüllt.

Unser tiefes Mitgefühl gilt ihrer Familie, besonders ihren Söhnen Henning

und Holger.

51DFN-VEREIN | DFN Mitteilungen Ausgabe 83 |

Laut Satzung fördert der DFN-Verein die

Schaffung der Voraussetzungen für die

Errichtung, den Betrieb und die Nutzung

eines rechnergestützten Informations- und

Kommunikationssystems für die öffentlich

geförderte und gemeinnützige Forschung

in der Bundesrepublik Deutschland. Der

Satzungszweck wird verwirklicht insbe-

sondere durch Vergabe von Forschungs-

aufträgen und Organisation von Dienst-

leistungen zur Nutzung des Deutschen

Forschungsnetzes.

Als Mitglieder werden juristische Per-

sonen aufgenommen, von denen ein we-

sentlicher Beitrag zum Vereinszweck zu er-

warten ist oder die dem Bereich der insti-

tutionell oder sonst aus öffentlichen Mit-

teln geförderten Forschung zuzurechnen

sind. Sitz des Vereins ist Berlin.

Die Organe des DFN-Vereins sind:

• die Mitgliederversammlung

• der Verwaltungsrat

• der Vorstand

Die Mitgliederversammlung ist u. a. zustän-

dig für die Wahl der Mitglieder des Verwal-

Übersicht über die Mitgliedseinrichtungen

und Organe des DFN-Vereins (Stand: 10/2012)

tungsrates, für die Genehmigung des Jah-

reswirtschaftsplanes, für die Entlastung

des Vorstandes und für die Festlegung der

Mitgliedsbeiträge. Derzeitiger Vorsitzen-

der der Mitgliederversammlung ist Prof.

Dr. Gerhard Peter, HS Heilbronn.

Verwaltungsrat

Der Verwaltungsrat beschließt alle wesent-

lichen Aktivitäten des Vereins, insbeson-

dere die technisch-wissenschaftlichen Ar-

beiten, und berät den Jahreswirtschafts-

plan. Für die 10. Wahlperiode sind Mitglie-

der des Verwaltungsrates:

• Prof. Dr. Hans-Joachim Bungartz (TU

München)

• Prof. Dr. Rainer W. Gerling (MPG Mün-

chen)

• Prof. Dr. Ulrike Gutheil (TU Berlin)

• Dir. u. Prof. Dr. Siegfried Hackel (PTB

Braunschweig)

• Dr.-Ing.habil. Carlos Härtel (GE Global

Research)

• Prof. Dr.-Ing. Ulrich Lang (Univ. zu Köln)

• Prof. Dr. Joachim Mnich (DESY)

• Prof. Dr. Wolfgang E. Nagel (TU Dresden)

• Prof. Dr. Bernhard Neumair (KIT)

• Dr.-Ing. Christa Radloff (Univ. Rostock)

• Prof. Dr. Peter Schirmbacher (HU zu

Berlin)

• Dr. Wolfgang A. Slaby (Kath. Univ.

Eichstätt-Ingolstadt)

• Prof. Dr. Horst Stenzel (FH Köln)

Der Verwaltungsrat hat als ständige

Gäste:

• einen Vertreter der KMK: gegenwärtig

Herrn Grothe, SMWK Sachsen

• einen Vertreter der HRK: gegenwärtig

Prof. Dr. Metzner, Präsident der FH Köln

• einen Vertreter der Hochschulkanzler:

gegenwärtig Herrn Schöck, Kanzler

der Universität Erlangen-Nürnberg

• den Vorsitzenden des ZKI: gegenwär-

tig Prof. Dr. Lang, Universität zu Köln

• den Vorsitzenden der Mitgliederver-

sammlung: gegenwärtig Prof. Dr. Peter,

HS Heilbronn

Vorstand

Der Vorstand des DFN-Vereins im Sinne des

Gesetzes wird aus dem Vorsitzenden und

den beiden stellvertretenden Vorsitzen-

den des Verwaltungsrates gebildet. Der-

zeit sind dies Prof. Dr. Hans-Joachim Bun-

gartz, Vorsitz, sowie Prof. Dr. Ulrike Gutheil

und Prof. Dr. Bernhard Neumair.

Der Vorstand wird beraten von einem Tech-

nologie-Ausschuss (TA), einem Betriebsaus-

schuss (BA) und einem Ausschuss für Recht

und Sicherheit (ARuS), der zugleich auch

als Jugendschutzbeauftragter für das DFN

fungiert.

Der Vorstand bedient sich zur Erledigung

laufender Aufgaben einer Geschäftsstel-

le mit Standorten in Berlin und Stuttgart.

Sie wird von einer Geschäftsführung gelei-

tet. Als Geschäftsführer wurden vom Vor-

stand Jochem Pattloch und Dr. Christian

Grimm bestellt.

52 | DFN Mitteilungen Ausgabe 83 | November 2012 | DFN-VEREIN

Aachen Fachhochschule Aachen

Rheinisch-Westfälische Technische Hochschule Aachen (RWTH)

Aalen Hochschule Aalen

Albstadt Hochschule Albstadt-Sigmaringen (FH)

Amberg Hochschule Amberg-Weiden für angewandte Wissenschaften

Ansbach Hochschule für angewandte Wissenschaften, Fachhochschule Ansbach

Aschaffenburg Hochschule Aschaffenburg

Augsburg Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg

Universität Augsburg

Bamberg Otto-Friedrich-Universität Bamberg

Bayreuth Universität Bayreuth

Berlin Alice Salomon Hochschule Berlin

BBB Management GmbH

Beuth Hochschule für Technik Berlin – University of Applied Sciences

Bundesamt für Verbraucherschutz und Lebensmittelsicherheit

Bundesanstalt für Materialforschung und -prüfung

Bundesinstitut für Risikobewertung

Deutsche Telekom AG Laboratories

Deutsches Herzzentrum Berlin

Deutsches Institut für Normung e. V. (DIN)

Deutsches Institut für Wirtschaftsforschung (DIW)

Fachinformationszentrum Chemie GmbH (FIZ Chemie)

Forschungsverbund Berlin e. V.

Freie Universität Berlin (FUB)

Helmholtz-Zentrum Berlin für Materialien und Energie GmbH

Hochschule für Technik und Wirtschaft – University of Applied Sciences

Hochschule für Wirtschaft und Recht

Humboldt-Universität zu Berlin (HUB)

International Psychoanalytic University Berlin

IT-Dienstleistungszentrum

Konrad-Zuse-Zentrum für Informationstechnik (ZIB)

Robert Koch-Institut

Stanford University in Berlin

Stiftung Deutsches Historisches Museum

Stiftung Preußischer Kulturbesitz

Technische Universität Berlin (TUB)

T-Systems International GmbH

Umweltbundesamt

Universität der Künste Berlin

Wissenschaftskolleg zu Berlin

Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)

Biberach Hochschule Biberach

Bielefeld Fachhochschule Bielefeld

Universität Bielefeld

Bingen Fachhochschule Bingen

Böblingen Staatliche Akademie für Datenverarbeitung

Bochum ELFI Gesellschaft für Forschungsdienstleistungen mbH

Evangelische Fachhochschule Rheinland-Westfalen-Lippe

Hochschule Bochum

Hochschule für Gesundheit

Ruhr-Universität Bochum

Technische Fachhochschule Georg Agricola für Rohstoff,

Energie und Umwelt zu Bochum

Bonn Bundesministerium des Innern

Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit

Deutsche Forschungsgemeinschaft (DFG)

Deutscher Akademischer Austauschdienst e. V. (DAAD)

Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)

GESIS – Leibniz-Institut für Sozialwissenschaften e. V.

Rheinische Friedrich-Wilhelms-Universität Bonn

Zentrum für Informationsverarbeitung und Informationstechnik

Borstel FZB, Leibniz-Zentrum für Medizin und Biowissenschaften

Brandenburg Fachhochschule Brandenburg

Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen

GmbH

Helmholtz-Zentrum für Infektionsforschung GmbH

Hochschule für Bildende Künste Braunschweig

Johann-Heinrich von Thünen-Institut, Bundesforschungs-

institut für Ländliche Räume, Wald und Fischerei

Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen

Physikalisch-Technische Bundesanstalt (PTB)

Technische Universität Carolo-Wilhelmina zu Braunschweig

Bremen Hochschule Bremen

Hochschule für Künste Bremen

Jacobs University Bremen gGmbH

Universität Bremen

Bremerhaven Hochschule Bremerhaven

Stadtbildstelle Bremerhaven

Stiftung Alfred-Wegener-Institut für Polar- u. Meeresforschung (AWI)

Chemnitz Technische Universität Chemnitz

Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)

Technische Universität Clausthal-Zellerfeld

Coburg Hochschule für angewandte Wissenschaften, Fachhochschule Coburg

Cottbus Brandenburgische Technische Universität Cottbus

Darmstadt European Space Agency (ESA)

GSI Helmholtzzentrum für Schwerionenforschung GmbH

Hochschule Darmstadt

Merck KGaA

Technische Universität Darmstadt

T-Systems International GmbH

Deggendorf Hochschule für angewandte Wissenschaften,

Fachhochschule Deggendorf

Dortmund Fachhochschule Dortmund

Technische Universität Dortmund

Dresden Helmholtz-Zentrum Dresden-Rossendorf e. V.

Hannah-Arendt-Institut für Totalitarismusforschung e. V.

Hochschule für Bildende Künste Dresden

Hochschule für Technik und Wirtschaft

Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.

Leibniz-Institut für Polymerforschung Dresden e. V.

Sächsische Landesbibliothek – Staats- und Universitätsbibliothek

Technische Universität Dresden

Düsseldorf Fachhochschule Düsseldorf

Heinrich-Heine-Universität Düsseldorf

Information und Technik Nordrhein-Westfalen (IT.NRW)

Eichstätt Katholische Universität Eichstätt-Ingolstadt

Emden Johannes A Lasco Bibliothek – Große Kirche Emden

Hochschule Emden/Leer

Erfurt Fachhochschule Erfurt

Universität Erfurt

Erlangen Friedrich-Alexander-Universität Erlangen-Nürnberg

Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V.

Universität Duisburg-Essen

Esslingen Hochschule Esslingen

Flensburg Fachhochschule Flensburg

Universität Flensburg

53DFN-VEREIN | DFN Mitteilungen Ausgabe 83 |

Frankfurt/M. Bundesamt für Kartographie und Geodäsie

Deutsche Nationalbibliothek

Deutsches Institut für Internationale Pädagogische Forschung

Fachhochschule Frankfurt am Main

Johann Wolfgang Goethe-Universität Frankfurt am Main

KPN EuroRings B.V.

Philosophisch-Theologische Hochschule St. Georgen e.V.

Senckenberg Gesellschaft für Naturforschung

Frankfurt/O. IHP GmbH – Institut für innovative Mikroelektronik

Stiftung Europa-Universität Viadrina

Freiberg Technische Universität Bergakademie Freiberg

Freiburg Albert-Ludwigs-Universität Freiburg

Fulda Hochschule Fulda

Furtwangen Hochschule Furtwangen – Informatik, Technik, Wirtschaft, Medien

Garching European Southern Observatory (ESO)

Gesellschaft für Anlagen- und Reaktorsicherheit mbH

Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften

Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)

Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenfor-

schung GmbH

Gelsenkirchen Westfälische Hochschule

Gießen Technische Hochschule Mittelhessen

Justus-Liebig-Universität Gießen

Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)

Verbundzentrale des Gemeinsamen Bibliotheksverbundes

Greifswald Ernst-Moritz-Arndt-Universität Greifswald

Friedrich-Loeffler-Institut, Bundesforschungsinstitut für Tiergesundheit

Hagen Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft

FernUniversität in Hagen

Halle/Saale Institut für Wirtschaftsforschung Halle

Martin-Luther-Universität Halle-Wittenberg

Hamburg Bundesamt für Seeschifffahrt und Hydrographie

Datenlotsen Informationssysteme GmbH

Deutsches Elektronen-Synchrotron (DESY)

Deutsches Klimarechenzentrum GmbH (DKRZ)

DFN - CERT Services GmbH

HafenCity Universität Hamburg

Helmut-Schmidt-Universität, Universität der Bundeswehr

Hochschule für Angewandte Wissenschaften Hamburg

Hochschule für Bildende Künste Hamburg

Hochschule für Musik und Theater Hamburg

Technische Universität Hamburg-Harburg

Universität Hamburg

Hameln Hochschule Weserbergland

Hamm SRH Hochschule für Logistik und Wirtschaft Hamm

Hannover Bundesanstalt für Geowissenschaften und Rohstoffe

Hochschule Hannover

Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische

Landesbibliothek

Gottfried Wilhelm Leibniz Universität Hannover

HIS Hochschul-Informations-System GmbH

Hochschule für Musik, Theater und Medien

Landesamt für Bergbau, Energie und Geologie

Medizinische Hochschule Hannover

Technische Informationsbibliothek und Universitätsbibliothek

Stiftung Tierärztliche Hochschule

Heide Fachhochschule Westküste, Hochschule für Wirtschaft und Technik

Heidelberg Deutsches Krebsforschungszentrum (DKFZ)

European Molecular Biology Laboratory (EMBL)

Network Laboratories NEC Europe Ltd.

Ruprecht-Karls-Universität Heidelberg

Heilbronn Hochschule für Technik, Wirtschaft und Informatik Heilbronn

Hildesheim Hochschule für angewandte Wissenschaft und Kunst

Fachhochschule Hildesheim/Holzminden/Göttingen

Stiftung Universität Hildesheim

Hof Hochschule für angewandte Wissenschaften Hof – FH

Ilmenau Bundesanstalt für IT-Dienstleistungen im Geschäftsbereich des BMVBS

Technische Universität Ilmenau

Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen

Hochschule für angewandte Wissenschaften FH Ingolstadt

Jena Fachhochschule Jena

Friedrich-Schiller-Universität Jena

Institut für Photonische Technologien e. V.

Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)

Jülich Forschungszentrum Jülich GmbH

Kaiserslautern Fachhochschule Kaiserslautern

Technische Universität Kaiserslautern

Karlsruhe Bundesanstalt für Wasserbau

Fachinformationszentrum Karlsruhe (FIZ)

Karlsruher Institut für Technologie – Universität des Landes Baden-

Württemberg und nationales Forschungszentrum in der Helmholtz-

Gemeinschaft (KIT)

FZI Forschungszentrum Informatik

Hochschule Karlsruhe – Technik und Wirtschaft

Zentrum für Kunst und Medientechnologie

Kassel Universität Kassel

Kempten Hochschule für angewandte Wissenschaften, Fachhochschule Kempten

Kiel Christian-Albrechts-Universität zu Kiel

Fachhochschule Kiel

Institut für Weltwirtschaft an der Universität Kiel

Helmholtz-Zentrum für Ozeanforschung Kiel (GEOMAR)

Koblenz Hochschule Koblenz

Köln Deutsche Sporthochschule Köln

Fachhochschule Köln

Hochschulbibliothekszentrum des Landes NRW

Katholische Hochschule Nordrhein-Westfalen

Kunsthochschule für Medien Köln

Rheinische Fachhochschule Köln gGmbH

Universität zu Köln

Konstanz Hochschule Konstanz Technik, Wirtschaft und Gestaltung (HTWG)

Universität Konstanz

Köthen Hochschule Anhalt

Krefeld Hochschule Niederrhein

Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.

Landshut Hochschule Landshut, Fachhochschule

Leipzig Deutsche Telekom, Hochschule für Telekommunikation Leipzig

Helmholtz-Zentrum für Umweltforschung – UFZ GmbH

Hochschule für Grafik und Buchkunst Leipzig

Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“

Hochschule für Technik, Wirtschaft und Kultur Leipzig

Leibniz-Institut für Troposphärenforschung e. V.

Mitteldeutscher Rundfunk

Universität Leipzig

Lemgo Hochschule Ostwestfalen-Lippe

Lübeck Fachhochschule Lübeck

Universität zu Lübeck

54 | DFN Mitteilungen Ausgabe 83 | November 2012 | DFN-VEREIN

Ludwigshafen Fachhochschule Ludwigshafen am Rhein

Lüneburg Leuphana Universität Lüneburg

Magdeburg Hochschule Magdeburg-Stendal (FH)

Leibniz-Institut für Neurobiologie Magdeburg

Mainz Fachhochschule Mainz

Johannes Gutenberg-Universität Mainz

Universität Koblenz-Landau

Mannheim Hochschule Mannheim

TÜV SÜD Energietechnik GmbH Baden-Württemberg

Universität Mannheim

Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW)

Marbach a. N. Deutsches Literaturarchiv

Marburg Philipps-Universität Marburg

Merseburg Hochschule Merseburg (FH)

Mittweida Hochschule Mittweida

Mühlheim an

der Ruhr

Hochschule Ruhr West

Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V.

München Bayerische Staatsbibliothek

Hochschule München (FH)

Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V.

Helmholtz Zentrum München Deutsches Forschungszentrum für

Gesundheit und Umwelt GmbH

ifo Institut – Leibniz-Institut für Wirtschaftsforschung e. V.

Ludwig-Maximilians-Universität München

Max-Planck-Gesellschaft

Technische Universität München

Universität der Bundeswehr München

Münster Fachhochschule Münster

Westfälische Wilhelms-Universität Münster

Neubranden-

burg

Hochschule Neubrandenburg

Neu-Ulm Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm

Nordhausen Fachhochschule Nordhausen

Nürnberg Georg-Simon-Ohm-Hochschule für angewandte Wissenschaften,

Fachhochschule Nürnberg

Kommunikationsnetz Franken e. V.

Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen

Nuthetal Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke

Oberursel Dimension Data Germany AG & Co. KG

Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH

Offenbach/M. Deutscher Wetterdienst (DWD)

Offenburg Hochschule Offenburg, Fachhochschule

Oldenburg Carl von Ossietzky Universität Oldenburg

Landesbibliothek Oldenburg

Osnabrück Hochschule Osnabrück (FH)

Universität Osnabrück

Paderborn Fachhochschule der Wirtschaft Paderborn

Universität Paderborn

Passau Universität Passau

Peine Deutsche Gesellschaft zum Bau und Betrieb von Endlagern

für Abfallstoffe mbH

Potsdam Fachhochschule Potsdam

Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ

Hochschule für Film und Fernsehen „Konrad Wolf“

Potsdam-Institut für Klimafolgenforschung (PIK)

Universität Potsdam

Regensburg Hochschule für angewandte Wissenschaften – Fachhochschule

Regensburg

Universität Regensburg

Rosenheim Hochschule für angewandte Wissenschaften – Fachhochschule

Rosenheim

Rostock Leibniz-Institut für Ostseeforschung Warnemünde

Universität Rostock

Saarbrücken Universität des Saarlandes

Salzgitter Bundesamt für Strahlenschutz

Sankt Augustin Hochschule Bonn Rhein-Sieg

Schmalkalden Fachhochschule Schmalkalden

Schwäbisch

Gmünd

Pädagogische Hochschule Schwäbisch Gmünd

Schwerin Landesbibliothek Mecklenburg-Vorpommern

Senftenberg Hochschule Lausitz (FH)

Siegen Universität Siegen

Speyer Deutsche Universität für Verwaltungswissenschaften Speyer

Straelen GasLINE Telekommunikationsnetzgesellschaft deutscher

Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft

Stralsund Fachhochschule Stralsund

Stuttgart Cisco Systems GmbH

Duale Hochschule Baden-Württemberg

Hochschule der Medien Stuttgart

Hochschule für Technik Stuttgart

NextiraOne Deutschland GmbH

Universität Hohenheim

Universität Stuttgart

Tautenburg Thüringer Landessternwarte Tautenburg

Trier Fachhochschule Trier

Universität Trier

Tübingen Eberhard Karls Universität Tübingen

Ulm Hochschule Ulm

Universität Ulm

Vechta Universität Vechta

Private Fachhochschule für Wirtschaft und Technik

Wadern Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH (LZI)

Weidenbach Hochschule Weihenstephan

Weimar Bauhaus-Universität Weimar

Weingarten Hochschule Ravensburg-Weingarten

Pädagogische Hochschule Weingarten

Wernigerode Hochschule Harz (FH)

Weßling T-Systems Solutions for Research GmbH

Wiesbaden Hochschule RheinMain

Statistisches Bundesamt

Wildau Technische Hochschule Wildau (FH)

Wilhelmshaven Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth

Wismar Hochschule Wismar

Witten Private Universität Witten/Herdecke gGmbH

Wolfenbüttel Ostfalia Hochschule für angewandte Wissenschaften

Herzog August Bibliothek

Worms Fachhochschule Worms

Wuppertal Bergische Universität Wuppertal

Würzburg Hochschule für angewandte Wissenschaften – Fachhochschule

Würzburg-Schweinfurt

Julius-Maximilians-Universität Würzburg

Zittau Hochschule Zittau/Görlitz

Internationales Hochschulinstitut

Zwickau Westsächsische Hochschule Zwickau