Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine kritische Schwachstelle in der Zeichenketten-Verarbeitungskomponente Apache Commons Text veröffentlicht (CVE-2022-42889). Auch in Softwareprodukten von M.O.S.S. und CADMAP wird diese Komponente eingesetzt, so dass diese potenziell verwundbar sind.
Um Abhilfe bei diesem Risiko zu schaffen, steht in unserem Kundenbereich ein Hotfix zur Verfügung, das die verwundbare Bibliothek in den Webapplikationen unserer Software durch die fehlerbereinigte Version ersetzt. Das Einspielen des Hotfix wird allen Anwendern unserer Software dringend empfohlen. Für jene Anwender, bei denen wir den Betrieb der Software übernehmen bzw. durch eine entsprechende Zusatzvereinbarung unterstützen, erfolgt das Einspielen im Rahmen der vereinbarten Abläufe durch unsere Experten.
Alle erforderlichen Informationen und Updates finden Sie in unserem Kundenbereich.

Eine erfolgreiche Messewoche auf der WindEnergy Hamburg liegt hinter uns. Ein großes Dankeschön an alle, die uns besucht haben und danke an unser Team!

Zusammen mit unserem tollen Partner Nefino konnten wir auf unserem gemeinsamen Stand viele zielführende Gespräche mit Interessenten führen, unsere Kunden mal wieder persönlich treffen und neue Kontakte knüpfen. Insbesondere unser Angebot für die Flächensicherung und Wind-PIA, unsere umfassende Web-GIS Lösung für die Energieparkplanung, standen auf der Messe im Mittelpunkt.

Sie haben es nicht nach Hamburg geschafft? Dann besuchen Sie uns doch vom 08. bis 10. November auf den Windenergietagen in Linstow! Hier haben Sie am Stand 37 erneut die Gelegenheit, M.O.S.S. und Nefino zu treffen.

Mehr Infos dazu finden Sie hier: https://www.moss.de/veranstaltungen/windenergietage-linstow/

Der WEGA-Auth-Service übernimmt zwei Aufgaben: Authentifizierung und Autorisierung von Benutzern. Weil dieser Service wichtige Verbesserungen in puncto IT-Sicherheit sowie Benutzerfreundlichkeit mit sich bringt und die Gesamtkomplexität Ihrer IT-Architektur drastisch reduziert, wird er ab den Herbstreleases 2022 verpflichtend.

Alles, was Sie über diese Umstellung und die Vorteile von WEGA-Auth wissen müssen, erfahren Sie in diesem Beitrag.

Authentifizierung

Authentifizierung bedeutet: Ich weise mich gegenüber einem System aus. Typischerweise mit der Kombination Benutzername und Passwort. Diese Informationen gleicht das System bei der Anmeldung im Hintergrund mit dem Identitätsspeicher ab.
Der Identitätsspeicher kann beim WEGA-Auth-Service eine lokale Datei, wie zum Beispiel die shiro.ini sein, in der im Klartext die Identitäten verwaltet werden. Es lässt sich aber auch eine Verbindung zu einem bereits existierenden Identitätsspeicher, etwa das Active Directory (AD), herstellen, sodass die Windows-Anmeldedaten genutzt werden können.

Autorisierung

Sind die eingegebenen Anmeldeinformationen im Identitätsspeicher vorhanden, übernimmt WEGA-Auth im nächsten Schritt die Autorisierung des Benutzers. Also: Was darf der Benutzer in diesem System? Welche Menüfunktionen sind sichtbar oder welche Datenzugriffe sind erlaubt. Diese Berechtigungen sind in den Rollen festgelegt, die Sie mit WEGA-RBA verwalten können.

Bei lokalen Identitätsspeichern werden die Rollen in der entsprechenden Datei den Benutzern zugeordnet. Ist ein organisationsweiter Identitätsspeicher wie das Active Directory die Grundlage für die Anmeldung, steuern die Gruppen im Active Directory die Rollenverteilung bei einer Anmeldung.

Somit benötigen Identitätsspeicher wie das Active Directory keinerlei spezielle Anpassungen. Die Verwendung von Benutzern und Gruppen ist hier ausreichend.

Authentifizierung und Autorisierung mittels Tokens

Darüber hinaus bietet WEGA-Auth eine Anmeldemethode mittels „JSON Web Token“ (JWT). Nach einer einmaligen Anmeldung mit Benutzername und Passwort beispielsweise in WEGA wird ein Token erstellt, der nun einen passwortlosen, aber trotzdem geschützten Zugriff auf zum Beispiel novaFACTORY erlaubt. Die Anmeldung in novaFACTORY erfolgt dabei über den Token im Hintergrund.

Außerdem gibt es noch einen großen administrativen Vorteil bei der Nutzung von Tokens: Sind beispielsweise vier Instanzen von novaFACTORY und ein WEGA in einer Organisation im Einsatz, bei denen die Authentifizierung über Tomcat läuft, müssten bei Änderungen am Identitätsspeicher fünfmal der jeweilige Tomcat-Server angepasst werden. Die Umstellung auf den WEGA-Auth vereinfacht die Architektur drastisch, da nur der WEGA-Auth-Service mit dem Identitätsspeicher kommunizieren muss oder ihn selbst in einer lokalen Datei vorhält. Das bedeutet, dass Konfigurationen jetzt nur noch an einer zentralen Stelle, vorgenommen werden müssen.

Zudem gibt es mit WEGA-Auth nur noch einen Server, mit dem das Active Directory kommunizieren muss, was beispielsweise für AD-Administratoren die Konfiguration von Firewalls erleichtert.

Warum Token sicher sind

Die im Token enthaltenen Informationen, nämlich

• der Besitzer des Tokens (Benutzername),
• die Rollen des Benutzers und
• das Ablaufdatum des Tokens

werden kryptographisch mit einer starken Verschlüsselungsmethode gesichert. Ein erstellter Token kann daher nicht verändert werden. Es kann sich also z.B. niemand selbst Rollen vergeben, die der Benutzer eigentlich nicht hat oder sich mit einem manipulierten Token als Administrator ausgeben.

Außerdem kann durch das Ablaufdatum der Token in sogenannten Replay-Attacken, bei der ein Token von einem Angreifer abgegriffen wird, nach einer bestimmten Zeit nicht mehr verwendet werden.

Zudem erhält jeder ausgestellte Token einen zufällig generierten Schlüssel. Dieser Schlüssel stellt sicher, dass ein Token nicht für die Authentifizierung an fremden Systemen missbraucht werden kann. Stellt eine Applikation fest, dass ein Token einen unpassenden Schlüssel aufweist, wird die Anmeldung abgelehnt.

So wird gesichert, dass gefälschte Token nicht für eine Anmeldung verwendet werden können.

Schnittstellen-Zugriff

Der WEGA-Auth-Service basiert auf Dienste-Schnittstellen. In diesem Fall eine klassische REST-Schnittstelle. Das bedeutet, dass auch ein programmtechnischer Zugriff auf Anwendungen, die mit WEGA-Auth arbeiten, über Tokens möglich ist. Auch unsere Python-Schnittstellen EMSPY und NFPY beinhalten die Möglichkeit, Tokens vom WEGA-Auth zu erhalten. Damit ist es zum Beispiel möglich, in Workflows auf Daten in WEGA-Variant zuzugreifen und mit diesen Analysen durchzuführen.

Was bedeutet die Umstellung für Sie als Kunde?

Als Bestandteil des Standard-WEGA-Setups ist WEGA-Auth in der Basis-Lizenz von WEGA enthalten.

Somit ist der erste Schritt, den WEGA-Auth-Service in Betrieb zu nehmen. Dazu muss entscheiden werden, welcher Identitätsspeicher (z.B. lokal, AD oder ArcGIS Portal) verwendet werden soll. Dazu bieten wir gerne Beratung an. Implementierungen anderer bereits vorhandener Identitätsspeicher können Sie bei uns anfragen.

Im nächsten Schritt muss WEGA-Auth für den entsprechenden Identitätsspeicher konfiguriert werden. Hier muss eventuell mit den zuständigen Administratoren zusammengearbeitet werden, um beispielsweise notwendige Zugänge einzurichten.
Daraufhin erfolgt ein Test des WEGA-Auth. Der Service hat eine eigene Website, bei der man sich testweise anmelden kann. Dabei wird angezeigt, welche Rollen ein Benutzer hat und überprüft somit, ob auch der Autorisierungsteil funktioniert.

Schließlich ist bei WEGA und novaFACTORY die Anmeldung auf WEGA-Auth umzustellen.

Für die Anbindung von Identitätsspeicher liefern wir Ihnen Beispielkonfigurationen mit. Diese können Sie für Ihre Bedürfnisse anpassen.

Alle diese Schritte können Sie als Kunde selbst übernehmen. Die notwendigen Informationen finden Sie in den Releasenotes zum Herbstrelease sowie in der Dokumentation von WEGA und novaFACTORY.

Wir empfehlen Ihnen allerdings, im Vorfeld der Umstellung auf uns zuzukommen, um für Sie den maximalen Nutzen aus der Umstellung herauszuholen. Melden Sie sich dazu bitte bei Ihrem jeweiligen Ansprechpartner.

Umstellung und Prüfung aller GeDIS-Dokumente nach PDF/A-2b

Das Landesamt für Vermessung und Geobasisinformation Rheinland-Pfalz (LVermGeo) setzt im Rahmen des Verfahrens Dragon@VermKV die Software WEGA der Firma M.O.S.S. GmbH, insbesondere als Grafikdatenkomponente (GDK) innerhalb der Auskunfts- und Transferkomponente (ATK) des Landes Rheinland-Pfalz, ein. Mit dem Geo-Dokumentenmanagementsystem (GDM bzw. GeDIS) werden aktuell über 3 Millionen Geodokumente des Liegenschaftskatasters, des Vermessungstechnischen Raumbezugs, der Geotopografie und der Werteermittlung durch das LVermGeo für die Vermessungs- und Katasterverwaltung Rheinland-Pfalz verwaltet (VermKV).

Die Risse bzw. Dokumente wurden in der Vergangenheit in unterschiedlichen Formaten wie TIFF, JPM, PNG oder Ähnlichem verwaltet.

Für eine dauerhafte Aufbewahrung und Lesbarkeit wurde entschieden, alle Geodokumente in ein einheitliches Format PDF/A-2b zu wandeln, welches auf der Norm ISO 19005-2 basiert. Das Format PDF/A-2b bietet u.a. folgende Vorteile:

• eine eindeutige, visuelle Reproduzierbarkeit
• zusätzlich JPEG2000 Kompression (verlustfrei und verlustbehaftet)
• Darstellung von Ebenen und transparenten Elementen (“Layered-PDF”)
• alle Ressourcen zur Darstellung sind im Dokument enthalten (Langzeitarchivierung)
• unabhängig von Betriebssystemen und Plattformen
• weltweit anerkannter Standard, der weiterentwickelt wird
• viele Open-Source Programme für Anzeige und Druck nutzbar
• …

Die Arbeiten wurden als Dienstleistung durch die Firma M.O.S.S. GmbH scriptbasiert durchgeführt und kontinuierlich überwacht.

Gleichzeitig wurde in DRAGON die WEGA-Software so angepasst, dass standardmäßig nur noch PDF/A-2b Dateien eingerichtet oder ausgetauscht werden können. Die einzurichtenden bzw. zu aktualisierenden Dateien werden dabei auf PDF/A-2b Konformität geprüft und bei Nichterfüllung abgewiesen.

Nicht nur Konvertierung, sondern auch Konsolidierung und Qualitätssicherung der Daten

Die produktive Wandlung der Dokumente konnte Mitte diesen Jahres erfolgreich abgeschlossen werden. Es wurden insgesamt 3.126.857 Hauptdokumente und 296.702 Attachments nach PDF/A-2b erfolgreich umgesetzt.

Gleichzeitig wurden die Daten qualitätsgesichert und Datenfehler aufgedeckt, wie z.B. mit einem Passwort verschlüsselte Dokumente, korrupte ZIP-Archive, etc. Somit erfolgte nicht nur eine Konvertierung nach PDF/A-2b, sondern auch eine Konsolidierung des Datenbestandes.

Damit sind jetzt alle Geodokumente des LVermGeo im Rahmen des Geo-Dokumentenmangementssystems auf der Basis von WEGA langfristig gesichert und zugänglich, sodass sie auch in Zukunft mit unverändertem Inhalt angezeigt werden können.

Quellen:
https://www.docubyte.de/was-ist-pdf-a-und-wann-empfiehlt-es-sich-fuer-gescannte-dokumente/
https://www.pdf-tools.com/de/know-how/pdfa-archivformat/pdfa-2-uebersicht/

Spätestens seit dem Frühjahrsrelease in diesem Jahr wird es offensichtlich: WEGA und novaFACTORY wachsen zusammen und befinden sich auf dem Weg zur nächsten Generation unserer Software.

Der WEGA 10 Client ist das Gesicht dieser neuen Generation. Dort wo Anwendungsprozesse heute noch mit dem WEGA 9 Client oder der novaFACTORY-Oberfläche bearbeitet werden, wird der WEGA 10 Client diese Bearbeitung vereinfachen und mit neuen Möglichkeiten anreichern. Ein erstes Beispiel dafür ist die neue Datenübersicht für alle in novaFACTORY verwalteten Daten.

Der nächste Schritt ist der vollkommen neue Import-Assistent, mit dem der Anwender lokale oder serverseitig vorliegende Geodaten komfortabel in die Nutzungsprozesse integrieren kann. Sei das als temporäre Visualisierung im Web-Client oder als dauerhafte Speicherung in einer novaFACTORY-Datenebene. Eine erste Version dieses Komfort-Import-Assistenten wird voraussichtlich noch in 2022 zur Verfügung stehen.

Danach werden wir uns der Thematik der Datenbereitstellung widmen. Auch hier wird es einen neuen Oberflächen-Assistenten geben, mit dem Daten aus der novaFACTORY-Datenhaltung für unterschiedlichste Nutzungsprozesse als Dienst oder als Dateien bereitgestellt werden können.

Die nächste Generation von WEGA und novaFACTORY zeichnet sich nicht nur durch eine moderne, endnutzerfreundliche und durchgängige Benutzeroberfläche aus. Vielmehr schaffen wir jetzt die Grundlage für aktuelle und zukünftige Deployment- und Betriebsszenarien wie z.B. Containerisierung und Cloud. Dies erfolgt u.a. durch folgende Maßnahmen:

• Unterstützung offener und standardisierter Kommunikationsschnittstellen wie z.B. OGC API Features oder OGC API 3D GeoVolumes
• Durchgängige Authentifizierung und Autorisierung aller Komponenten und Schnittstellen mittels WEGA-Auth und WEGA-RBA
• Bereitstellung von Python-basierten APIs für den individuellen Zugriff auf Serverkomponenten (NFPY, EMSPY)
• Unterstützung offener Basistechnologien wie GDAL oder GeoServer
• Bereinigung von historisch gewachsenen Redundanzen in einzelnen Softwarekomponenten
• Vereinfachung der Modulstruktur und der Skalierungsoptionen

Aus Anwendersicht mündet diese Aktivität unter anderem in einem neuen novaFACTORY-Modul für das Management und die Verteilung von Rasterdaten, welches wir in 2023 bereitstellen wollen. Dazu hier bereits ein paar Eckpunkte:

• Datenhaltung erfolgt als TIFF-Dateien im Dateisystem – perspektivisch auch in Cloud-orientierten verteilten Dateisystemen
• Zugriff via GDAL und NFPY
• Unterstützung von Cloud Optimized TIFF

Je nach Einsatzgebiet und Nutzungsumfang von WEGA und novaFACTORY sind dabei zusätzliche Schritte wie z.B. die Überführung von Daten in neue Strukturen notwendig. Kommen Sie bereits jetzt auf uns zu, um diese Schritte gemeinsam mit uns zu planen und die neuen Möglichkeiten für Ihre Anwendungsprozesse optimal zu nutzen.