Mitteilungen Maßgeschneidert - Eine neue DFN-Entgeltordnung gewinnt Konturen - DFN-Verein
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Deutsches Forschungsnetz | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | www.dfn.de
mitteilungen
Maßgeschneidert
Eine neue DFN-Entgeltordnung gewinnt Konturen
Erfolg verpflichtet Vielfalt und Fairness
Das Zukunftskonzept für die DFN-AAI NHR im Verbund
Impressum Herausgeber: Verein zur Förderung eines Deutschen Forschungsnetzes e. V. DFN-Verein Alexanderplatz 1, 10178 Berlin Tel.: 030 - 88 42 99 - 0 Fax: 030 - 88 42 99 - 370 Mail: dfn-verein@dfn.de Web: www.dfn.de ISSN 0177-6894 Redaktion: Maimona Id Lektorat: Angela Lenz Gestaltung: Labor3 | www.labor3.com Druck: Druckerei Rüss, Potsdam © DFN-Verein 12/2019 Fotonachweis Titelfoto: © chepkoelena / iStockphoto Seite 6/7 © Koldunov / iStockphoto Seite 42/43 © BDMcIntosh / iStockphoto Umschlag Rückseite: © ortodoxfoto / Adobe Stock
DFN Mitteilungen Ausgabe 96 | 3
Günter Springer
Leiter Universitätsrechenzentrum / CIO
Technische Universität Ilmenau
K
ontinuität und stetige Erneuerung – das sind Begriffe, die mir sehr schnell einfallen,
wenn ich an den DFN-Verein denke. Auch konstruktive Auseinandersetzung und
Lösungsorientierung aller Beteiligten. Aber vielleicht bedingt ja das eine das andere.
25 von den 35 Jahren DFN-Verein konnte ich in verschiedenen Rollen miterleben. Und es ist
der Umgang des DFN-Vereins mit den größeren und großen Herausforderungen, die mir
besonders in Erinnerung geblieben sind. Da sind z. B. die Liberalisierung des IT-Marktes, der
Übergang von G-WiN auf X-WiN, die Entlassung in die wirtschaftliche Selbstständigkeit, die
Bewältigung des immer breiter werdenden Dienstportfolios und die regelmäßige Anpassung
des Tarifmodells.
Im Sommer 2018 musste sich die Mitgliederversammlung mit einer Situation auseinander
setzen, die seit dem Zeitpunkt der Entlassung des DFN-Vereins in die wirtschaftliche Selbst-
ständigkeit 2004 neu war. Eine Entgeltanhebung für die Dienste DFNInternet und Mitnutzung
ab 2020 war auf Empfehlung des Vorstands und des Verwaltungsrates erforderlich und wurde
beschlossen. Ich gehörte zu denen, die vor einem solchen Beschluss eine Überprüfung für
dringend notwendig hielten: beispielsweise, ob der DFN-Verein Anwender, die DFN-Dienste
durchaus gern nutzten, sich aber den Internetanschluss scheinbar kostengünstig auf anderen
Wegen besorgten, stärker zur Kasse bitten könnte.
Das Ergebnis der Abstimmung war damals die mehrheitliche Zustimmung der Mitgliederver-
sammlung zur Entgelterhöhung, verbunden mit dem Auftrag an den Vorstand, die Nachhaltig-
keit und Zukunftsfähigkeit des bestehenden Entgeltmodells zu prüfen.
Seit gut einem Jahr befasst sich der Verein nun in seinen Gremien, so auch in den letzten beiden
Mitgliederversammlungen, mit den möglichen Konturen einer neuen Entgeltordnung, wie sie
von den Verantwortlichen in dieser Ausgabe der DFN-Mitteilungen zum ersten Mal vorgestellt
wird. Das vorgeschlagene Modell regelt nach meiner Einschätzung Wichtiges im Grundsatz, oh-
ne unnötig kleinteilig zu sein. Vieles ist nun, nach teilweise sehr intensiven Diskussionen, neu
geordnet worden. Und ich bin mir sicher, dass wir bald gemeinsam ein gutes und für alle Seiten
verträgliches Ergebnis erzielen werden.
4 | DFN Mitteilungen Ausgabe 96 | Dezember 2019
1 2 3 4 5
6 7 8 9 10
11 12 13 14 15
16 17 16 17 20 21
Unsere Autoren dieser Ausgabe im Überblick
1 Prof. Dr. Hans-Joachim Bungartz, Technische Universität München (bungartz@in.tum.de);
2 Jochem Pattloch, DFN-Verein (pat@dfn.de); 3 Wolfgang Pempe, DFN-Verein (pempe@dfn.de);
4 Christian Meyer, DFN-Verein (cmeyer@dfn.de); o. Abb. Hartmut Pröger, DFN-Verein (proeger@dfn.de);
5 Maimona Id, DFN-Verein (id@dfn.de); 6 Anja Busch, ZBW (a.busch@zbw.eu); 7 Dr. Jakob Tendel, DFN-Verein
(tendel@dfn.de); 8 Martin Waleczek, DFN-CERT (waleczek@dfn-cert.de); o. Abb. Stefan Kelm, DFN-CERT
(kelm@dfn-cert.de); 9 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de); 10 Heike Ausserfeld, DFN-Verein
(ausserfeld@dfn.de); 11 Ralf Paffrath, DFN-Verein (paffrath@dfn.de); 12 Rene Schneider, DB Systel GmbH
(rene.schneider@deutschebahn.com); 13 Denise Dittrich, IT Center RWTH Aachen
(dittrich@itc.rwth-aachen.de); 14 Dr. Thomas Eifert, IT Center RWTH Aachen (eifert@itc.rwth-aachen.de);
15 Dr. Thomas Hildmann, Technische Universität Berlin (thomas.hildmann@tu-berlin.de);
16 Johannes Baur, Forschungsstelle Recht im DFN (johannes.baur@uni-muenster.de); 17 Nico Gielen,
Forschungsstelle Recht im DFN (nico.gielen@uni-muenster.de)
DFN Mitteilungen Ausgabe 96 | 5
Inhalt
Wissenschaftsnetz Campus
Eine neue Entgeltordnung gewinnt Konturen Cloud Migration und Transformation der DB Systel
von Hans-Joachim Bungartz, Jochem Pattloch .................... 8 von Rene Schneider ...................................................................... 43
AAIplus – ein Zukunftskonzept für die DFN-AAI Heiter bis wolkig – Cloud-Dienste an
von Wolfgang Pempe ................................................................... 13 der RWTH Aachen
von Denise Dittrich, Thomas Eifert ........................................ 46
DFN VoIP-Centrex macht mobil
von Christian Meyer ..................................................................... 20 TUB Collab Cloud – Zusammenarbeit
über Grenzen hinweg
Virtualisierungsverwaltung leicht gemacht von Thomas Hildmann ................................................................. 49
von Hartmut Pröger ...................................................................... 22
Recht
Forschung
Unmaskiert wird abkassiert!
Vielfalt und Fairness fördern – NHR im Verbund von Johannes Baur ........................................................................ 52
Interview mit Dr. Achim Basermann ..................................... 26
Die Sicherheit unserer Daten
GeRDI – disziplinübergreifende von Nico Gielen ............................................................................... 55
Forschungsdateninfrastruktur von morgen
von Anja Busch, Jakob Tendel ................................................... 30
DFN-Verein
Sicherheit DFN unterwegs .............................................................................. 58
Wir sind dabei – European Cyber DFN live ............................................................................................. 60
Security Month 2019
von Martin Waleczek, Stefan Kelm ......................................... 36 Überblick DFN-Verein .................................................................. 63
Let’s DFN-PKI! Mitgliedereinrichtungen ........................................................... 65
von Ralf Gröper ............................................................................... 38
Sicherheit aktuell .......................................................................... 41
6 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 | 7 Wissenschaftsnetz Eine neue Entgeltordnung gewinnt Konturen von Hans-Joachim Bungartz, Jochem Pattloch AAIplus – ein Zukunftskonzept für die DFN-AAI von Wolfgang Pempe DFN VoIP-Centrex macht mobil von Christian Meyer Virtualisierungsverwaltung leicht gemacht von Hartmut Pröger
8 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
Eine neue Entgeltordnung
gewinnt Konturen
Seit über 35 Jahren gibt es den DFN-Verein, und von Anfang an brauchte es eine Antwort
auf die Frage: Nach welchen Regeln legen wir die Kosten für Netz und Dienste auf
die teilnehmenden Einrichtungen um? Über Jahrzehnte entstand so eine Vielzahl an
Regelungen, die das heutige Entgeltmodell des DFN-Vereins darstellen. Aber passt
das alles eigentlich gut zusammen? Und ist es noch zeitgemäß? Und was ist eigentlich
ein „gutes“ Entgeltmodell? Eine von den Mitgliedern beauftragte Prüfung soll
Antworten finden.
Text: Hans-Joachim Bungartz, Jochem Pattloch (DFN-Verein)
„Fair, solidarisch, bedarfsgerecht“ – wenn sich der
DFN-Verein ans Werk macht und das Entgeltmodell
für seine Dienste auf den Prüfstand stellt, dann
sind diese Begriffe schnell in der Diskussion. Aber
was bedeuten sie genau? Und gibt es noch mehr
Prinzipien, auf denen eine Entgeltordnung aufge-
baut sein sollte? Fragen über Fragen, mit denen
sich die Mitglieder immer wieder intensiv ausein-
andergesetzt haben. Und natürlich ist solch eine
Diskussion für die Mitglieder keine leichte Heraus-
forderung, denn neben dem strategischen Blick
für den DFN-Verein als Ganzes schwingt ja immer
auch, mehr oder minder lautstark formuliert, die
Frage mit: „Alles schön und gut mit irgendwelchen
Prinzipien. Aber was heißt das für mein eigenes
Budget?“ Keine leichte Aufgabe also, mit der die
Mitgliederversammlung den Vorstand beauftragt
hat. Aber mittlerweile zeigt sich: Eine neue Ent-
geltordnung gewinnt Konturen!
Warum jetzt?
Die Kostendeckung des DFN-Vereins ist ein ganz
grundlegendes Thema, das regelmäßig behandelt
wird. Ein konkreter Anlass, sich ganz intensiv da-
mit zu befassen, ergab sich aber im April 2017.
So erkannte der Verwaltungsrat damals im Rah-
men seiner strategischen Finanzplanung, dass
Foto © Photology1971 / Stock Adobe
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 | 9
ab dem Jahr 2020 die geplanten Ausgaben nicht Weichenstellungen
mehr mit den geplanten Einnahmen zu decken
wären. Seitdem der DFN-Verein im Jahr 2004 Unter dem Strich war damit klar: Es war an der
in die wirtschaftliche Unabhängigkeit entlas- Zeit, dass sich der DFN-Verein grundlegend mit
sen wurde, war das ein Novum. Denn vor al- der Kostendeckung des Netzes und seiner Diens-
lem durch das seinerzeit völlig neu gestaltete te befassen muss. Welche Weichenstellungen
Betriebskonzept des Wissenschaftsnetzes war waren erforderlich, um auch über 2020 hinaus
ein Grundstein gelegt worden, mit dem dann den Auftrag der Mitglieder erfüllen zu können?
die Beschaffungsverfahren für benötige Vor-
leistungen immer wieder zu sehr wirtschaft- Ein erster Gedanke, die Steigerung der Leistung
lichen Ergebnissen geführt werden konnten. der DFN-Dienste zukünftig nicht mehr am Be-
So entwickelte sich für viele Jahre das bei al- darf der Mitglieder zu orientieren, war schnell
len Beteiligten sehr beliebte und irgendwann vom Tisch. Während in der Wissenschaft die di-
auch gewohnheitsmäßig erwartete Szenario: gitale Transformation mit hohem Tempo voran-
„Der DFN-Verein steigert die Leistung seiner schreitet und neben kompetitiven auch koope-
Dienste entsprechend der Bedarfe seiner Mit- rative Facetten hat, bei denen der DFN-Verein
glieder und kann dennoch auf eine Erhöhung ins Spiel kommt, kann er nicht einfach „Auszeit,
der betreffenden Entgelte verzichten.“ Für die Auszeit“ rufen. Damit würde er ganz schnell –
Teilnehmer an den DFN-Diensten bedeutete das um in diesem Bild zu bleiben – als relevanter
eine komfortable Form von Planungssicherheit, Player vom Spielfeld verschwinden.
denn sie brauchten in ihren Häusern keine Aus-
einandersetzungen um steigende Mittelanfor- Blieben zwei weitere Optionen: Zunächst sollte
derungen für den benötigten Zuwachs an Leis- die Suche nach Optimierungspotenzialen neu
tungen führen. Und nun platzte in diesen an- gedacht werden, indem auch bislang wertge-
genehm eingeschwungenen Zustand im April schätzte Positionen auf den Prüfstand gestellt
2017 also die Botschaft: „Achtung! Ab dem Jahr werden, beispielweise: „Können wir in vertret-
2020 geht es so nicht weiter.“ barem Umfang die gegenwärtige Dienstquali-
tät vermindern und damit Investitionen einspa-
Was war passiert? Zunächst einmal hatte sich bei ren?“ Eben die typische Controller-Frage (bei der
mehreren Ausgabenpositionen die allgemeine manche Ingenieure grimmige Gesichter bekom-
Preissteigerung über die Jahre bemerkbar akku- men). Wer zu den Mitgliederversammlungen kam,
muliert. Ein probates Gegenmittel, nämlich die kennt die Antwort: „Ja, das geht und hat beispiels-
ständige Suche nach Optimierungspotenzialen, weise die aktuelle Gestaltung der IP-Plattform
war hingegen über die Jahre immer schwieriger mitbestimmt. Es kann aber nicht die ganze Ant-
und kleinteiliger geworden. Viele Verbesserun- wort auf unser Problem sein.“ Darum hatte die
gen waren schlicht schon gefunden und umge- Mitgliederversammlung ergänzend beschlos-
setzt. Aber vor allem: Mit dem Tempo seiner Leis- sen, die Entgelte für DFNInternet und Mitnut-
tungssteigerungen hatte der DFN-Verein offen- zung zum 1. Januar 2020 um 14,5 Prozent zu er-
bar eine Schwelle überschritten, mit dem wich- höhen. Begleitend wurde damit die Planungs-
tige Lieferanten von Vorprodukten überfordert sicherheit in Aussicht gestellt, die Entgelte für
schienen. Das zeigte sich besonders schmerz- diese DFN-Dienste bis zum Ende der kommen-
lich nach dem 2016 abgeschlossenen Beschaf- den Dekade nicht mehr anpassen zu müssen.
fungsverfahren für das Zugangsnetz, das ins-
gesamt nicht den erwarteten dämpfenden Ef- Die Frage der mittelfristigen Kostendeckung
fekt auf die betreffenden Ausgaben erzielte. Da war damit also ausführlich diskutiert und be-
das Zugangsnetz circa ein Drittel der Gesamt- antwortet. Damit wäre bei diesem Thema doch
ausgaben des DFN-Vereins verursacht, war das alles gut, oder?
ein echtes Problem.
10 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
Maß nehmen
Nicht ganz. Wenn wir schon mal dabei sind, uns grundlegende PRINZIPIEN DER NEUEN DFN-
Gedanken zur Kostendeckung zu machen, dann sollten wir ENTGELTORDNUNG
uns – nachdem wir über die Anpassung der Höhe der Entgelte
einen breiten Konsens erzielt haben – jetzt auch mal die gel-
tenden Regelungen der Kostenumlage und ihre Umsetzung 1. Kostendeckend: Eine Entgeltordnung muss zur
anschauen. In diesem Sinne wurde die Diskussion in der Mit- mittelfristigen Deckung der Kosten für Betrieb und
gliederversammlung fortgesetzt. Salopp formuliert: „Passt der Weiterentwicklung der DFN-Dienste führen.
alte Anzug noch, oder sind wir angesichts des sich schnell wan- 2. Nachvollziehbar: Eine Entgeltordnung soll auf
delnden Umfelds mit einem neuen Anzug besser gekleidet?“ interpretationsfreie Sachverhalte aufbauen und
möglichst einfach zu verstehen sein.
Am Anfang stand die Frage: „Wo kneift denn der Anzug?“ Erste 3. Einfach: Eine Entgeltordnung soll sowohl für die
Kritikpunkte am heutigen Entgeltmodell waren schnell bei teilnehmenden Einrichtungen als auch für den
der Hand: dass zum Beispiel die gegenwärtigen Regelun- DFN-Verein einfach und mit möglichst geringem
gen für sehr kleine Einrichtungen nicht bedarfsgerecht sei- Aufwand anwendbar sein.
en. Weitere Schwächen ließen sich aufdecken, wenn sie im
kollektiven Bewusstsein der Mitgliedschaft ohnehin schon 4. Bedarfsgerecht: Eine Entgeltordnung soll allen
länger rumorten. Kniffeliger wurde es hingegen, wenn Posi- Einrichtungen eine bedarfsgerechte Teilnahme an
tionen formuliert wurden, in denen sich triftige Kritikpunk- den DFN-Diensten ermöglichen.
te mit partikularen Interessen vermischten. Insgesamt war 5. Fair: Alle teilnehmenden Einrichtungen sollen
wichtig: Es muss alles auf den Tisch. Letztendlich ergab ein von den Vorteilen des gemeinsamen Handelns im
ausführliches Verfahren zum Feedback seitens der Mitglie- DFN-Verein profitieren und die Verteilung der
der sowie einem erweiterten Umfeld von Stakeholdern eine Vorteile dabei als angemessen wahrnehmen. Darum
stattliche Sammlung an Kritik beziehungsweise an Vorschlä- soll die Höhe der Kostenbeteiligung (Entgelt) einer
gen. Auf die Frage „Wo kneift es?“ gab es somit eine Antwort. Einrichtung in einem angemessenen Verhältnis zu
ihrer Nutzung von DFN-Diensten stehen.
Den „DFN-Style“ finden 6. Solidarisch: Eine Entgeltordnung soll allen
Einrichtungen möglichst einheitliche Bedingungen
Gleichzeitig begann eine Diskussion zu der Frage, woran wir zur Teilnahme an DFN-Diensten bieten. So sollen die
die Qualität einer neuen Entgeltordnung bewerten wollen. Einrichtungen z. B. nicht wegen ihrer Verfasstheit
Diese Diskussion führte schnell zu einer vielschichtigen Be- (z. B. ob Hochschule, Forschungseinrichtung,
griffswelt: „Fair, solidarisch, bedarfsgerecht“ – ist das alles, Behörde oder gewerbliche Wirtschaft) oder
und was heißt das? Und wie kann aus diesen Begriffen ein wegen ihres Standortes bevorzugt oder
DFN-Style geformt werden? benachteiligt werden.
Was von Dritten vielleicht als ein Selbstfindungstrip belächelt 7. Vertretbar: Eine Entgeltordnung soll für alle
werden könnte, war im Kern ein wichtiger Willensbildungs- Einrichtungen gegenüber ihren Aufsichtsgremien
prozess, der auch für die Zukunft des DFN-Vereins wortwört- und Mittelgebern überzeugend vertretbar sein.
lich Maßstäbe gesetzt hat. So wurden insgesamt neun Prin- 8. Strategisch: Eine Entgeltordnung soll die
zipien (siehe Kasten) identifiziert, die eine Entgeltordnung Zusammenarbeit in der Wissenschaft befördern,
erfüllen soll und die bei Zielkonflikten abgewogen berück- indem ein abgestimmtes Portfolio von laufend
sichtigt werden sollen. Mit den Prinzipien war der Style für weiterentwickelten DFN-Diensten eine weite
den neuen Anzug gesetzt. Verbreitung findet.
9. Robust: Eine Entgeltordnung soll Auslegungen von
Neben dem Bestreben, die komplette Sammlung von Kritik- Regelungen vermeiden, mit denen eine Teilnahme
punkten zu behandeln und möglichst alle davon zu adressie- an DFN-Diensten unter Missachtung dieser
ren, waren die neun Prinzipien die maßgeblichen Leitplanken, grundlegenden Prinzipien begründet werden
entlang derer nun ein Vorschlag für eine neue Entgeltord- könnte.
nung entwickelt werden konnte. Ein weiterer Leitstern war,
dass die Überarbeitung der Regelungen einnahmenneutralWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 | 11 gestaltet werden sollte – die Einnahmen-Situation war ja bereits lungen festgehalten sind und die somit alle früheren betreffen- mit der Anpassung der Entgelte auf solide Beine gestellt worden. den Beschlüsse und Interpretationen ersetzt. Patchwork hat ausgedient Maßgeschneidert Was hat das heutige Entgeltmodell des DFN-Vereins mit der bri- Wie ist der Vorschlag für eine neue Entgeltordnung nun zuge- tischen Verfassung gemeinsam? Es ist nicht an einer Stelle ko- schnitten? Die Details liegen der kommenden Mitgliederversamm- difiziert, sondern eine Sammlung historischer Entscheidungen lung in einem ausgearbeiteten Vorschlag vor. An dieser Stelle sol- und Auslegungen. (Und am Kopfende des Parlamentes muss ei- len die wichtigsten Eckpunkte beleuchtet werden. ner sitzen und immer wieder beherzt „order! order!“ rufen.) Hier ein Beschluss der Mitgliederversammlung, dort ein Beschluss des Zunächst einmal: Nicht der ganze Kleiderschrank wird erneu- Vorstands, garniert mit Interpretationsspielräumen, die ausge- ert. Der vorliegende Vorschlag für eine Entgeltordnung befasst legt werden müssen – in einem eingeschwungenen und nach in- sich nicht mit allen Diensten des DFN-Vereins. Er befasst sich nerer Stabilität strebenden Umfeld wie dem DFN-Verein hat das mit den Schwergewichten. Das sind der Dienst DFNInternet so- funktioniert – wie die vergangenen Jahrzehnte zeigten. Wirklich wie die heute in dessen Entgelt mit enthaltenen Dienste DFN- gut war das aber nicht. Darum hat sich auch recht schnell der CERT, DFN-PKI, DFN-AAI, DFNconf, eduroam, DFN-MailSupport, Gedanke geformt als Ergebnis der gegenwärtigen Diskussion, DFN-Listserv und DFN-DoS-Basisschutz. eine kodifizierte Entgeltordnung zu verfassen, in der alle Rege- WILLENSBILDUNG IM DFN-VEREIN Abbildung 1: WILLENSBILDUNG IM DFN-VEREIN. Ein Motto des DFN-Vereins ist: „Mitglied sein heißt mitentscheiden“. Das gilt auch für die neue Entgelt- ordnung des DFN-Vereins. Ein weiteres gutes Argument, nicht nur am Wissenschaftsnetz und den Diensten des DFN-Vereins teilzunehmen, sondern auch Mitglied im DFN-Verein zu sein.
12 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
sollen auch andere betriebliche Verpflichtungen wie zum Bei-
spiel eine präzise Zuordnung von IP-Adressbereichen zu den je-
weils teilnehmenden Einrichtungen, entfallen. Insgesamt soll
so einer mittlerweile veränderten Wissenschaftslandschaft
besser entsprochen werden, bei der verschiedene wissen-
schaftliche Einrichtungen sehr eng in Versorgungsverbün-
den zusammenarbeiten und so technische Grenzen zerfließen.
Der Anzug soll robuster werden.
•• Wer das oben genannte Dienstpaket ohne Anschluss buchen
möchte, soll seinen Beitrag zur Kostenumlage nicht frei wäh-
len können. Sein Beitrag soll sich vielmehr nach der Anzahl
seiner Nutzenden bemessen.
Foto © as_seen / Photocase
•• Wer an einem Versorgeranschluss teilnehmen möchte, soll
Der neue Zuschnitt soll mehr Bewegungsmöglichkeiten bieten. zusätzlich das Dienstpaket buchen müssen.
•• Die bisherige Kopplung von Diensten mit einem Anschluss an •• Die bislang tolerierte Möglichkeit, dass Einrichtungen un-
das Wissenschaftsnetz soll aufgehoben werden. Zukünftig abhängig von der Anzahl ihrer Nutzenden ein Dienstpaket
soll ein Paket von Diensten auch ohne einen Anschluss an das beauftragen können, soll im Zuge der beabsichtigten Abschaf-
Wissenschaftsnetz gebucht werden können. Das Paket soll fung der Port-Anschlüsse beendet werden.
die Dienste DFN-CERT, DFN-PKI, DFN-AAI, DFNconf, eduroam,
DFN-MailSupport und DFN-Listserv umfassen. •• Für die Nutzung von Regel- oder Clusteranschlüssen soll ei-
ne Mindestkategorie eingeführt werden, die pro Teilnehmer
•• Das Verbot einer Weitergabe von Diensten soll gelockert wer- von der Anzahl seiner Nutzenden abhängig sein soll.
den. Viele Einrichtungen haben in ihrem lokalen Umfeld einen
Versorgungsauftrag. Mit einer pauschal geregelten Möglich- Einmal anprobieren bitte!
keit, in einem begrenzten Umfang DFN-Dienste an satzungs-
gemäß berechtigte Dritte weitergeben zu dürfen, sollen der Ein ausgearbeiteter Vorschlag für eine Entgeltordnung von
Handlungsspielraum der Teilnehmer verbessert und zudem DFNInternet, DFN-DoS-Basisschutz und von einem Dienstpaket
auch kleinteilige und zeitraubende Abstimmungen mit dem liegt vor. Im nächsten Schritt sind die Mitglieder am Zug und
DFN-Verein vermieden werden. Damit sollen auch die bishe- werden sich auf ihrer Versammlung im Dezember 2019 zu die-
rigen Regelungen zur Mitnutzung abgelöst werden. sem Vorschlag austauschen. Als Ziel steht weiterhin im Raum,
dass die Mitglieder im Sommer 2020 eine neue Entgeltordnung
•• Die Versorgung von Gästen soll präzisiert und erweitert beschließen können.
werden, unter anderem um bisherige Unsicherheiten für
Betreiber von Forschungsgroßgeräten auszuräumen. Hat das alles dann viel zu lange gedauert? Drei Jahre seit dem
ersten Befassen mit der Frage der Kostendeckung wären schließ-
•• Eine neue kleinste Kategorie soll eingerichtet werden. So kön- lich ein stattlicher Zeitraum. Nun, da mag man geteilter Meinung
nen auch kleinste Einrichtungen bedarfsgerecht am Netz und sein. Festzuhalten ist, dass eine Organisation wie der DFN-Verein
an den Diensten teilnehmen. Das Entgelt für diese kleinste den intensiven und manchmal auch anstrengenden inneren Dis-
Kategorie soll möglichst gering ausfallen, was zur Folge hat, kurs braucht, um bei einem durchaus facettenreichen Thema
dass Teilnehmer in dieser Kategorie nur einfach an das Wis- wie seiner Finanzierung zu einem Ergebnis zu kommen. In der
senschaftsnetz angebunden werden. Mitgliedschaft gibt es eben auch divergente Interessen und Vor-
stellungen, die im besten Fall alle in einem Konsens berücksich-
•• Beim Dienst DFNInternet soll eine neue Anschlussart einge- tigt sind. Der große Nutzen eines solchen Vorgehens liegt auf der
führt werden: der Versorgeranschluss. Mit einem Versorger- Hand. Die Mitglieder bestimmen selbst, wohin die weitere Rei-
anschluss soll es mehreren Einrichtungen gestattet werden, se geht. Haben sie sich nach reiflicher Überlegung entschieden,
gemeinsam einen Anschluss zu beauftragen und dessen Band- dann sollte der neue Anzug den passenden Style haben, stra-
breite in eigener Entscheidung unter sich aufzuteilen. Damit pazierfähig sein und auch eine ganze Weile lang gut passen. MWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 | 13 AAIplus – ein Zukunfts- konzept für die DFN-AAI Nach zwölf Jahren kontinuierlichen Wachstums gehört die DFN-AAI zu den weltweit größten Föderationen. Doch die Größe bringt auch eine Reihe Herausforderungen mit sich. Dieser Beitrag beschäftigt sich mit den drängendsten Problemen und zeigt Lösungsansätze auf, die im Rahmen einer Gesamtstrategie umgesetzt werden sollen. Text: Wolfgang Pempe (DFN-Verein) Foto © ASDF / Adobe Stock
14 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
Zwölf Jahre DFN-AAI – eine fließen, dessen Ziel es ist, die DFN-AAI zu- Standpunkt, die Nutzer schützen zu müs-
kunftssicher zu gestalten. sen, indem sie an die meisten SP grund-
reine Erfolgsgeschichte?
sätzlich keine Attribute übertragen. Das
Im 13. Jahr seit ihrer Entstehung zählt Attributfreigabe und geschieht möglicherweise aus Unkennt-
die DFN-AAI zu den weltweit größten nis über die oben erwähnten Ergebnisse
Datenschutz
Föderationen. Doch misst sich der Er- oder aufgrund von Anweisungen der ört-
folg einer Föderation an ihrer Größe? Problembeschreibung lichen Datenschutzbeauftragten oder des
Was die Qualität des Miteinanders von Dienstanbieter in der DFN-AAI betreiben ei- Justiziariats. Selbst auf die Bitte mancher
Identity Providern (IdP) und Service nen oder mehrere Service Provider, die den Service Provider, die vom Dienst benötig-
Providern (SP) angeht, so erweist sich Zugriff auf die jeweiligen Dienste und Res- ten Attribute freizugeben, wird oftmals
die schiere Größe tatsächlich als Risiko- sourcen kontrollieren bzw. ermöglichen. zögerlich oder gar nicht reagiert. In man-
faktor. Denn die hohe Anzahl an teil- Damit Endnutzer auf diese Dienste zugrei- chen Fällen fordern die IdP-Betreiber von
nehmenden Einrichtungen und Dienst- fen können, müssen vom IdP der Heimat- Dienstanbietern trotz online verfügbarer
anbietern, die IdP und SP betreiben, einrichtung neben der und in den SP-Metada-
führt zwangsläufig zu einer gewissen Information, dass eine ten verlinkten Daten-
Heterogenität, die sich auf unterschied- Authentisierung erfolg- schutzerklärungen so-
lichen Ebenen und in unterschiedlichen te, in der Regel weite-
„Häufig enthalten gar eine schriftliche Er-
Aspekten manifestiert. Hierzu gehören: re Angaben (Attribu- die übertragenen klärung, welche Attri-
te) an einen SP über- Attribute personen- bute warum benötigt
•• Prozesse und technische Systeme, die tragen werden, die werden. Erst wenn der
an den Einrichtungen für das Identity zur Nutzung des jewei-
bezogene Daten“ oder die lokale Daten-
Management etabliert worden sind, ligen Dienstes erforder- schutzbeauftragte sei-
•• Ressourcen und technische Kenntnis- lich sind (Personalisie- ne/ihre Zustimmung
se, die bei der Konfiguration und dem rung, Autorisierung). Häufig enthalten die erteilt hat, erfolgt die Freischaltung der
Betrieb der technischen AAI-Kompo- übertragenen Attribute personenbezoge- Attribute. Dass dieses Verfahren weder
nenten (IdP, SP) zum Einsatz kommen, ne oder personenbeziehbare Daten. innerhalb der DFN-AAI mit derzeit über
•• die Auslegung der Datenschutzgeset- 500 nicht-lokalen SP noch international
ze und die daraus resultierende Defini- Die überwiegende Mehrzahl der in der – über eduGAIN sind derzeit etwa 2500
tion lokaler Richtlinien und Prozesse, DFN-AAI angemeldeten Identity Provider SP verfügbar – skaliert, steht außer Fra-
die wiederum bei der Attributfreigabe (IdP) verfügt über ein sogenanntes User- ge. Befördert wird diese übervorsichtige
am IdP zum Tragen kommen, Consent-Modul, mit dessen Hilfe die End- Grundhaltung durch das Verhalten einiger
•• das Bewusstsein für die Risiken, die nutzer je nach Anwendungsfall weniger Dienstanbieter, die in der Vergan-
mit der Teilnahme und dem Betrieb genheit zunächst mehr Attribute einfor-
technischer Komponenten in einer •• ihre Einwilligung zur Übertragung von derten als zur Nutzung des betreffenden
AAI verbunden sind, personenbezogenen oder -beziehba- Dienstes tatsächlich erforderlich waren.
•• die Anforderungen an Nutzerda- ren Daten an einen Online-Dienst (Ser- So wurde fallweise der Grundsatz der Da-
ten und deren Qualität seitens der vice Provider/SP) geben können (EU- tensparsamkeit missachtet.
SP-Betreiber. DSGVO Art. 6.1 lit. a),
•• über andere Rechtsgrundlagen bzw. Risiken
Diese Liste ließe sich noch weiter fortfüh- Erlaubnisgründe sowie gegebenen- Bevor sie mit jeder relevanten Heimatein-
ren, umfasst aber die wichtigsten Aspekte, falls ihr Widerspruchsrecht in Kennt- richtung mühsam verhandeln und gegebe-
die uns im Folgenden beschäftigen wer- nis gesetzt werden (Art. 6.1 lit. e/f oder nenfalls die Attributfreigabe wie beispiels-
den: Attributfreigabe, Verlässlichkeit /Le- Art. 88 i.V.m. § 26 BDSG), weise eine E-Mail-Adresse schriftlich be-
vels of Assurance und Sicherheit. Und nicht •• über die Datenschutzerklärungen der antragen, wissen sich viele Dienstanbie-
zuletzt muss sich auch der DFN-Verein als verantwortlichen Stellen für IdP und ter nicht anders zu helfen, als alternativ
AAI-Betreiber an die eigene Nase fassen SP informiert werden. zum Föderations-Login die Anmeldung
und die Qualität des Dienstes selbstkri- über Google und/oder Facebook anzu-
tisch hinterfragen. Insofern ist eine datenschutzkonforme bieten. Ein Angebot, das die vom restrik-
Attributfreigabe und -übertragung prin- tiven Verhalten ihrer Heimateinrichtung
Die Lösungsansätze für diese Bereiche sol- zipiell möglich [FSRecht2018]. Ungeach- genervten Endnutzer üblicherweise ger-
len in das Gesamtkonzept „AAIplus“ ein- tet dessen vertreten viele IdP-Betreiber den ne annehmen. Ein prominentes BeispielWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 | 15
Innerhalb der DFN-AAI soll eine virtuel-
le Subföderation geschaffen werden, in
der ein besonderes Vertrauensniveau ge-
währleistet wird. SP-Betreiber lassen sich
von einer noch zu benennenden Instanz
bezüglich der benötigten Attribute (oder
generell datenschutzrechtlich) auditieren
und erhalten im Gegenzug von den teil-
nehmenden IdP ohne weitere Nachfragen
oder Verhandlungen die Zusicherung, alle
benötigten Attribute zu erhalten.
Im Rahmen eines solchen Audits wird der
minimale Attributsatz festgelegt, der zur
Nutzung des Dienstes erforderlich ist. Da-
ten für darüber hinausgehende Features
müssen gegebenenfalls getrennt abfrag-
bar sein. Dadurch soll allen Endnutzern ei-
Erfolg verpflichtet: Wolfgang Pempe (DFN) informiert die Community über den aktuellen Stand der DFN-AAI. ne möglichst datensparsame Dienstnut-
Foto © Maimona Id/DFN-Verein zung ermöglicht werden.
für diese Lösung ist LIGO (Laser Interfe- bunden sind. Als Modell dient hier in der Die auditierten Attribute werden in der
rometer Gravitational-Wave Observatory). Regel die AARC Blueprint Architecture. DFN-AAI-Metadatenverwaltung für den be-
Wenn die Schnittstelle zu einer akademi- treffenden SP deklariert und können nur
In einem anderen Fall erhielt eine Person, schen Föderation nicht funktioniert, steht im Rahmen eines erneuten Audits geän-
die Zugriff auf einen von CLARIN (European zu erwarten, dass Communities zukünftig dert werden. Der DFN-Verein unterstützt
Research Infrastructure for Language Re- vollständig ihr eigenes Identity Manage- die Teilnehmer, sowohl SP- als auch IdP-Be-
sources and Technolo- ment mit jeweils eige- treiber, mit Best Practice-Empfehlungen
gy) betriebenen SP be- nen Anmeldediensten hinsichtlich der Verwendung von Attribu-
nötigte, sich aber auf- „Bei anderen Dienstan- betreiben. Bei anderen ten, insbesondere was die Wahl der Attri-
grund fehlender Attri- Dienstanbietern, insbe- bute zur Personalisierung von Diensten
bute nicht anmelden
bietern ist zu befürchten, sondere aus dem kom- angeht, also Name Identifier und funkti-
konnte, kurzerhand dass sie ausschließlich merziellen Bereich, ist onsanaloge Attribute.
einen Account an dem auf „Social Login“ setzen“ zu befürchten, dass sie
von CLARIN betriebe- ausschließlich auf „So- An der vorgeschlagenen Subföderation teil-
nen Gast-IdP. Der IdP cial Login“ setzen, also nehmende Identity Provider müssen in der
der Hochschule, die von CLARIN einen Anmeldung via Google, Facebook, LinkedIn Lage sein, die vom DFN-Verein empfohle-
schriftlichen Antrag zur Attributfreigabe und Konsorten. Die Identity Provider der nen Attribute zu generieren. Die IdP-Betrei-
verlangt hatte, wurde „geblacklistet“, d. h., Heimateinrichtungen werden unter sol- ber verpflichten sich, die für den jeweiligen
die von CLARIN betriebenen SP führen die- chen Bedingungen dann nur noch für lo- SP als erforderlich deklarierten Attribute
se Hochschule nicht mehr im Dialog zur kale oder allenfalls Landesdienste genutzt. automatisch freizugeben. Die letztendliche
Einrichtungsauswahl (Discovery Service). Übertragung der Attribute wird dann von
Letztendlich bedeutet eine solche Situ- Endnutzern über das User-Consent-Modul
Viele große Forschungscommunitys und ation das Ende akademischer Föderatio- im IdP gesteuert. Fälle, in denen andere Er-
-gemeinschaften haben in den vergange- nen beziehungsweise macht diese schlicht laubnisgründe als EU-DSGVO Art. 6.1 lit. a)
nen Jahren erheblichen Aufwand mit der überflüssig. vorliegen, sind hier nicht relevant, da die
Errichtung eigener Authentifizierungs- Attributfreigabe im Interesse der eigenen
und Autorisierungs-Infrastrukturen be- Lösungsansatz Heimateinrichtung erfolgt.
trieben, die jeweils über eine wohldefi- Gemeinsam mit dem Team der DFN-AAI hat
nierte Schnittstelle mit einer der natio- eine Gruppe von IdP-Betreibern folgenden Letztendlich dient dieses Verfahren als
nalen akademischen Föderationen ver- Lösungsansatz erarbeitet: Ersatz für die oben beschriebene Praxis16 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
mancher Hochschulen, von SP-Betreibern schon mal Aussagen wie diese: „Das mit tel der Wahl. Wenn diese Angaben aber
schriftliche Anträge für die Attributfrei- den Verlässlichkeitsklassen ist doch alles nicht stimmen und sich der Dienstanbie-
gabe einzufordern. Quatsch! Wir wollen ter nicht auf deren Korrektheit verlassen
Die Details dazu, ins- Springerlink nutzen, kann, hat er ein ernsthaftes Problem. Be-
besondere des Audits, „Weiterhin gilt es, Feed- deshalb ist unser IdP rechtigungen für den Zugriff auf beispiels-
werden derzeit ausge- back seitens der Daten- „Advanced“. In solchen weise ein Experiment (Hochenergiephy-
arbeitet. Weiterhin gilt Fällen folgt dann stets sik) oder auf vertrauliche Forschungsda-
es, Feedback seitens
schutzbeauftragten in ein sehr ernstes Bera- ten (Medizin, Life Sciences) werden letzt-
der Datenschutzbe- den betroffenen Einrich- tungsgespräch. Andere endlich auf der Basis von Informationen
auftragten in den be- tungen einzuholen“ Aussagen sind zwar we- vergeben, die vom IdP der jeweiligen Hei-
troffenen Einrichtun- niger dramatisch, stim- mateinrichtung übertragen werden. Die-
gen einzuholen. Ohne men aber ebenfalls be- se Angaben, insbesondere die sogenann-
deren Unterstützung würde die ganze Vor- denklich: „Ich wüsste bei uns im Haus kei- te Affiliation, müssen stets korrekt sein
gehensweise keinen Sinn machen. Erste po- ne zeichnungsberechtigte Person, die in und etwaige Änderungen möglichst zeit-
sitive Rückmeldungen liegen bereits vor. der Lage wäre, die Qualität des Identity nah propagiert werden. Fälle, bei denen
Mit der Einführung des Verfahrens ist Mit- Managements zu bestätigen.“ Auf der an- beispielsweise ehemalige Mitarbeiterin-
te 2020 zu rechnen. deren Seite drängt sich bisweilen der Ver- nen oder Mitarbeiter in einer Einrichtung
dacht auf, dass nicht alle SP-Betreiber die noch monatelang auf geschützte Ressour-
Verlässlichkeit von Nutzer- Dokumentation der Verlässlichkeitsklas- cen zugreifen können, weil Statusänderun-
sen in der DFN-AAI zur Kenntnis genom- gen nur zeitversetzt in das IdM gelangen
daten, Levels of Assurance
men haben. Insbesondere bei SP, die an- und erst dann für den IdP verfügbar wer-
Problembeschreibung sonsten auch in Föderationen teilnehmen, den, gilt es zu vermeiden.
Einige Jahre nach dem Start der DFN-AAI in denen keine diesbezüglichen Standards
zeichnete es sich ab, dass nicht alle Heimat- definiert sind, scheint die Beschränkung Lösungsansatz
einrichtungen die damals zur Teilnahme an auf „Advanced“-IdP innerhalb der DFN-AAI Ziel ist, die Zuordnung zu einer Verläss-
der DFN-AAI erforderlichen Voraussetzun- zumindest fraglich. lichkeitsklasse verbindlicher zu gestalten.
gen hinsichtlich der Qualität des Identity Der aktuelle Planungsstand sieht vor, dass
Managements und der Verlässlichkeit der Risiken die in der Dienstvereinbarung genannten
Nutzerdaten erfüllen konnten. Um auch Im Gegensatz zum „Social Login“ via Google Ansprechpartner künftig neben den Me-
diesen Einrichtungen die Teilnahme an der & Co bietet ein „Academic Login“ über den tadaten-Administratoren auch eine oder
DFN-AAI zu ermöglichen, wurde für die Pro- IdP der Heimateinrichtung den entschei- mehrere Personen als Ansprechpartner für
duktiv-Föderation eine weitere Verlässlich- denden Vorteil, dass die Identitäten bei Fragen des Identity Managements an der
keitsklasse „Basic“ definiert. Die bisherigen der Registrierung im Identity Management betreffenden Einrichtung benennen. Die-
Anforderungen erhielten das Label „Ad- System der Hochschule einer gründlichen se IdM-Ansprechpartner sollen angehalten
vanced“. Seitdem können SP-Betreiber ent- Überprüfung unterzogen werden und so- werden, in noch festzulegenden Intervallen
scheiden, ob sie nur mit IdP der Teilmenge mit deutlich verlässlicher sind, als dies in einen Online-Fragebogen zum Thema Iden-
„Advanced“ zusammenarbeiten möchten sozialen Netzwerken der Fall ist. Ein echtes tity Management auszufüllen und an den
oder auch mit „Basic“-IdP. Alleinstellungsmerkmal eines „Academic“ DFN-Verein weiterzuleiten. Anhand dieser
gegenüber „Social Login“ stellt die Über- Angaben erfolgt dann die Zuordnung zu
Laut Dienstvereinbarung werden die teil- tragung der „Affiliation“ dar, also die Art einer Verlässlichkeitsklasse beziehungs-
nehmenden Einrichtungen in ihrer Rolle der Zugehörigkeit zur jeweiligen Heimat weise zu analogen Kategorien im REFEDS
als IdP-Betreiber dazu verpflichtet, den IdP einrichtung. Hierfür existiert ein interna- Assurance Framework.
einer Verlässlichkeitsklasse zuzuordnen tional anerkanntes, kontrolliertes Voka-
und die damit verbundenen Mindestanfor- bular („student“, „staff“, „faculty“, „mem- Die bestehenden Verlässlichkeitsklassen in
derungen sicherzustellen. Eine Kontrolle ber“, etc.), das SP-seitig für Autorisierungs- der DFN-AAI sollen mittelfristig durch das
seitens des DFN-Vereins erfolgt nicht. Wäh- entscheidungen ausgewertet wird und so REFEDS Assurance Framework [REFEDSAs-
rend viele Einrichtungen diese Selbstver- der Zugriffskontrolle auf bestimmte ge- surance] abgelöst werden. Während die
pflichtung sehr ernst nehmen, gibt es leider schützte Ressourcen dient. Diese Vortei- Verlässlichkeitsklassen in der DFN-AAI tech-
einige schwarze Schafe, die die oben ge- le machen einen „Academic“ beziehungs- nisch über zwei Metadatensätze definiert
nannte Selbstverpflichtung nicht berück- weise AAI-Login für Dienstanbieter insbe- sind, zwischen denen SP-Betreiber auswäh-
sichtigen . An der DFN-AAI-Hotline hört man sondere im Forschungsumfeld zum Mit- len können, werden im REFEDS AssuranceWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 | 17
Framework die relevanten Informationen Sicherheit, Umgang mit Lösungsansatz
in Form von Attributen übertragen. Hierbei Um im AAI-Umfeld schnellstmöglich auf
Vorfällen und Angriffen
werden die folgenden Aspekte behandelt: Sicherheitsvorfälle reagieren zu können
Problembeschreibung und deren Folgen so weit wie möglich ein-
•• Identifier uniqueness Mit der Teilnehmerzahl der Föderation und zudämmen, wurde bereits 2015 auf inter-
•• Identity proofing and credential der zunehmenden internationalen Vernet- nationaler Ebene das „Sirtfi Framework“
issuance, renewal and replacement zung (eduGAIN) vergrößert sich auch die etabliert. „Sirtfi“ steht für „Security Inci-
•• Attribute quality and freshness Angriffsfläche für Identitätsdiebstahl, für dent Response Trust Framework for Fede-
Hacking von Service Providern und An- rated Identity“ [Sirtfi], das seit 2016 auch
SP-Betreiber müssen anhand der übertra- griffe auf von der Föderation betriebene innerhalb der DFN-AAI unterstützt und
genen Attributwerte die für sie relevanten Infrastrukturkomponenten. propagiert wird. Seither wird in den IdP-/
Informationen auswerten. Auf diese Wei- SP-Metadaten die Angabe einer Kontakt-
se wird das Bewusstsein für die Relevanz Risiken adresse für Sicherheitsvorfälle erwartet.
von Verlässlichkeitsinformationen bezie- Es ist von mindestens drei Gefährdungs- Die Konformität mit Sirtfi wird metada-
hungsweise Levels of Assurance auch auf szenarien auszugehen: tentechnisch anhand eines Entity Attri-
SP-Seite geschärft. Ein oftmals vom Bauch- buts (auch als „Trust Mark“ bezeichnet)
•• IdP: Bei Identity Providern liegt das Ri- modelliert, das nach Prüfung der Voraus-
siko beim Identitätsdiebstahl. Bereits setzungen von Föderationsseite gesetzt
„Fälle, bei denen ein gehackter User-Account kann, ent- wird. Manche SP-Betreiber wie die Großfor-
ehemalige Mitarbeiter sprechende Berechtigungen voraus- schungseinrichtung CERN lassen nur An-
gesetzt, großen Schaden anrichten. meldungen über IdP zu, bei denen dieses
noch monatelang auf
Beispiele sind der Diebstahl von For- Entity-Attribut gesetzt ist. Sirtfi definiert
geschützte Ressourcen schungsdaten oder der Missbrauch einen Katalog von Voraussetzungen, die
zugreifen können, gilt es von hochschulinternen Diensten (z. B. gegeben sein müssen, um volle Konformi-
SAP-Systeme). tät zu erlangen. Der Katalog umfasst Kri-
zu vermeiden“
•• SP: Bei Service Providern besteht die terien unter anderem aus den Bereichen
Gefahr des Diebstahls von dienstlo- Betriebssicherheit (Operational Security),
gefühl gesteuertes Hin- und Herschalten kalen Forschungs- und/oder Nutzer- Incident Response und Traceability.
zwischen Metadatensätzen wird somit daten.
obsolet. Dieser Ansatz funktioniert aber •• Föderation: Durch Hacking können in Im Bereich Incident Response erfolgt eine
nur, wenn er auf breiter Basis von den an der Metadatenverwaltung unter an- enge Kooperation mit dem DFN-CERT,
der DFN-AAI teilnehmenden IdP umge- derem Manipulationen an den Föde- dessen Incident Response Team auch AAI-
setzt wird. Hierzu wird der DFN-Verein rationsmetadaten vorgenommen wer- spezifische Zwischenfälle betreut.
bis Jahresende ausführliche Konfigurati- den. Im schlimmsten Fall kann durch
onsbeispiele und Richtlinien bereitstel- einen Hacking-Angriff der gesam- Derzeit (Stand Oktober 2019) nehmen ledig-
len. Weiterhin wird das Thema in zukünf- te Föderationsbetrieb zum Erliegen lich etwa zehn Prozent der Identity Provi-
tigen Shibboleth- und AAI-Workshops be- kommen. der und zwei Prozent der Service Provider
handelt werden. in der DFN-AAI an Sirtfi teil. Hier muss der
Inviting
new vector of
attack + Uncertainty
in security
capability of
participants
= Lack of trust
Organisations are choosing to opt out of eduGAIN, or block authentication, due to lack of trust.
Ursachen von Vertrauensverlust18 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
Qualität des Föderations-
All i need is one betriebs
account ...
Problembeschreibung
Auch auf Seiten des Föderationsbetreibers
besteht Optimierungsbedarf. Die Metada-
tenverwaltung ist in die Jahre gekommen
und entspricht längst nicht mehr den ak-
SP Federation 2 tuellen Anforderungen hinsichtlich Nutzer-
IdP
freundlichkeit und Portabilität. Die Pflege
Federation 1 SP SP IdP und Weiterentwicklung des in über zwölf
SP Jahren gewachsenen Quellcodes erweist
SP SP
SP sich als zunehmend aufwendig. Bereits
IdP mehrfach wurde der Wunsch nach einer
REST-basierten Schnittstelle zur automati-
sierten Pflege von Metadaten geäußert. Mit
IdP
SP OpenID Connect existiert seit einiger Zeit
IdP ein weiterer AAI-relevanter Standard, den es
SP
zukünftig neben SAML zu unterstützen gilt.
SP Federation 3
Weitere wichtige Punkte sind die Verfüg-
barkeit der technischen Infrastruktur
und der technische Support. Eine wich-
Angriffsszenario: Ein gehackter Account reicht, um über eduGAIN auf geschützte Ressourcen tige Baustelle ist in diesem Zusammen-
zuzugreifen hang auch die technische Dokumen-
tation, die in manchen Bereichen nur
DFN-Verein in stärkerem Maße als bisher Erfreulicherweise sind mittlerweile unab- einsprachig vorliegt. Mit zunehmender
darauf hinwirken, sowohl das Bewusstsein hängig von Sirtfi Sicherheitskontakte für internationaler Vernetzung sollte zu-
für die Sicherheitsproblematik zu schär- die überwiegende Mehrheit der IdP und mindest für die Kernbereiche der Doku-
fen, als auch die Teilnehmer beratend bei mehr als die Hälfte aller SP in den Meta- mentation auch eine englische Version
der Erfüllung der notwendigen Kriterien daten hinterlegt. Diese Angaben sollen vorgehalten werden.
zu unterstützen. Dies kann nur gemein- zukünftig regelmäßig im Rahmen von
sam mit dem DFN Security Team und dem Test-Alarmen überprüft werden, um si- Risiken
DFN-CERT geschehen. cherzustellen, dass sie stets aktuell sind. Die technischen Hürden für die Teilnah-
me an einer Föderation wie der DFN-AAI
AAIplus
Standards
Sirtfi, REFEDS Assurance Framework, SAML, OIDC, …
Community
Sicherheit Vertrauen Qualität
IdP Attributfreigabe IdM-Prozesse
•• Betriebs- und
•• Informationssicherheit
SP (u.a. aktuelle Software) Datenschutz-Audit SP-Nutzung
•• Incident Response
Metadatenverwaltung, Support,
FO Policies
Dokumentation
Best Practices
Das Konzept auf einen Blick. (FO = Federation Operator/Föderationsbetreiber)WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 96 | 19
sind bereits sehr hoch. Der Föderationsbetreiber soll- Fazit und Ausblick
te alles in seiner Macht Stehende unternehmen, um
den Prozess der Teilnahme und den Verbleib in der Fö- Die oben beschriebenen Probleme und Herausforde-
deration so einfach und überschaubar wie möglich zu rungen sind seit Längerem bekannt und mit der Umset-
halten. Ansonsten besteht die Gefahr, dass potenziel- zung der Lösungsansätze wurde in den meisten Fällen
le Teilnehmer in parallele Strukturen abwandern oder bereits begonnen. Die Idee aber, die Lösungsansätze im
sich sonstigen alternativen Lösungen zuwenden. Rahmen einer Gesamtstrategie, sozusagen einer Quali-
tätsoffensive „AAIplus“, koordiniert zu verfolgen, wur-
Lösungsansatz de erst im Rahmen der vergangenen zwei Betriebsta-
Die Programmierung der nächsten Version der Meta- gungen geboren. Letztendlich profitieren alle an der
datenverwaltung der DFN-AAI wird ab dem kommen- DFN-AAI teilnehmenden Einrichtungen und Dienstan-
den Jahr am DFN-CERT durch hauptberufliche Soft- bieter von einem gleichbleibend hohen Niveau hinsicht-
ware-Entwickler erfolgen. Neben dem derzeit maß- lich Verlässlichkeit, Datenschutz, Sicherheit und Stabi-
geblichen Standard SAML soll dieser auch OpenID lität – und am Ende Millionen von Endnutzerinnen und
Connect unterstützen sowie über eine REST-API für -nutzern aus dem Bereich Bildung und Forschung. Vor
die automatisierte Metadaten-Pflege seitens der teil- diesem Hintergrund sind Föderationen wie die DFN-
nehmenden Einrichtungen und Dienstanbieter verfü- AAI heute ein unverzichtbarer Bestandteil des akade-
gen. Weiterhin ist angedacht, dass das DFN-CERT künf- mischen Lebens.
tig auch den Betrieb der Metadatenverwaltung über-
nimmt, sodass die DFN-AAI auch hier von den hohen Bei der Qualitätsoffensive „AAIplus“ handelt es sich um
Sicherheitsstandards des Dienstleisters profitiert. keine Kopfgeburt. Vielmehr wurden Ideen und Inhal-
te aus dem Kreis der Community an das DFN-AAI-Team
Bereits im vergangenen Jahr wurde damit begonnen, die herangetragen und einige der Ansätze gemeinsam mit
wichtigsten vom DFN-Verein betriebenen technischen Vertreterinnen und Vertretern der teilnehmenden Ein-
Komponenten in eine neue Infrastruktur zu überführen, richtungen und Organisationen entwickelt. Im Laufe der
die ein erhöhtes Maß an Ausfallsicherheit und Redundanz kommenden Monate sollen die noch offenen Fragen be-
bietet: unter anderem durch die Einführung von Load züglich der Lösungsansätze geklärt werden. Ziel ist es,
Balancern und Datenbank-Clustern sowie redundanten bis Ende des Jahres gemeinsam eine Roadmap zur Um-
virtuellen Maschinen. Diese Maßnahmen sind weitge- setzung der erforderlichen Maßnahmen zu entwickeln.
hend abgeschlossen. Mit der Verstärkung des DFN-AAI-
Teams konnte die technische Dokumentation über die Der stete Austausch mit der Community ist der Mo-
vergangenen Monate weiter ausgebaut und um weitere tor für die Weiterentwicklung der DFN-AAI. Dieser
Themen ergänzt werden. In den nächsten Monaten steht Dialog wird fortgeführt und vertieft werden. Ob und in-
die Überarbeitung der englischsprachigen Seiten an. Um wieweit dieser Prozess zukünftig formalisiert werden
eine gleichbleibende Qualität des technischen Supports kann und soll, steht noch zu prüfen. Letztendlich geht es
zu gewährleisten, sind verschiedene interne Maßnahmen darum, gemeinsam die Zukunftsfähigkeit der DFN-AAI
angedacht, die im Rahmen der neuen DFN-internen Be- sicherzustellen. M
reichsstruktur umgesetzt werden sollen. Hierzu gehört
zum Beispiel die Einführung eines Verhaltenscodex für
den Support von DFN-Diensten. Ein weiterer wichtiger
Punkt ist die Erstellung einer zentralen „Federation Po-
licy“ – ein Dokument, in dem alle wichtigen Regeln für
die Teilnahme an der DFN-AAI zusammengefasst werden.
Bislang liegen diese Informationen verstreut vor. Dazu REFERENZEN
gehören unter anderem die Definition der jeweils gül- [FSRecht2018] M. Mörike, A. Strobel, Datenschutzrechtliche
tigen Verlässlichkeitsklassen bzw. Levels of Assurance, Analyse das AAI-Verfahrens. Vortrag im AAI-Forum der
die maßgeblichen Technologie-Profile (derzeit SAML, zu- 69. Betriebstagung
künftig auch OpenID Connect), Regeln zur Verwendung [REFEDSAssurance] https://refeds.org/assurance
von Zertifikaten und das Metadata Registration Practice [Sirtfi] https://refeds.org/sirtfi
Statement.20 | DFN Mitteilungen Ausgabe 96 | Dezember 2019 | WISSENSCHAFTSNETZ
DFN VoIP-Centrex
macht mobil
DFN VoIP-Centrex in neuem Gewand: Ob Telefonkon-
ferenzen, mobile App, Desktop-App oder Faxlösungen
– mit der Weiterentwicklung seines Dienstes kann der
DFN-Verein hinsichtlich Unified Communications (UC)
nun alle Funktionen aus einer Hand in einer einheitli-
chen Anwendungsumgebung anbieten.
Text: Christian Meyer (DFN-Verein)
Illustration © frikota / iStock
Heutige Forschung ist geprägt von dis- Flexibilität und Mobilität: Vom Heimarbeits-
ziplinübergreifenden Kooperationen platz bis hin zu „free seating“-Arbeitsplät-
– nicht selten von mehreren Tausend zen können sie das umfangreiche Ange-
Wissenschaftlerinnen und Wissenschaft- bot des Dienstes nutzen. Jedes Endgerät,
lern, die noch dazu räumlich voneinander ob Smartphone, Tablet oder Desktop-Rech-
getrennt auf unterschiedlichen Kontinen- ner, ist möglich.
ten arbeiten. Eine sichere und vor allem
stabile Echtzeitkommunikation spielt für Die neue Anwendungsumgebung kann
deren reibungslose Zusammenarbeit eine ganz einfach personalisiert werden – bei-
große Rolle. Virtuelle Hochleistungstele- spielsweise mit einer Präsenzstatus-Über-
fonanlagen in der IP/Cloud-Telefonie und sicht der einzelnen Favoriten. Sie hat ein
daran angepasste Kommunikationstools intuitives User Interface mit Drag-&-Drop-
müssen den Ansprüchen eines „verteilten sowie Plug-&-Play-Funktionen und ist für
Arbeitens“ genügen. verschiedene Browser verfügbar. So hat
der Nutzer quasi eine vollwertige Tele-
Die Einführung neuer mobiler und browser- fonanlage, fast schon ein kleines Büro, in
basierter Anwendungen in DFN VoIP-Centrex der Tasche und ist in Verbindung mit dem
bedeutet für die Teilnehmer am Deutschen klassischen Tischtelefon über eine einzige
Forschungsnetz (DFN) einen Zuwachs an Festnetznummer überall erreichbar.Sie können auch lesen
