„Data Sharing“ und „Öffnung der Datensilos“ – mit diesen Begrifflichkeiten werden mit Nachdruck Forderungen zur Erschließung des vollen Potenzials von Geoinformationen gestellt. Was in der Theorie gefordert wird, ist in der Praxis oft noch nicht umsetzbar. Ein Gastbeitrag von Rüdiger Gartmann.

Data Sharing stößt zumeist an seine Grenzen, sobald es um sensible Geodaten geht, die aus unterschiedlichen Gründen nicht für jedermann bestimmt sind.

Dies können ebenso Gründe des gesetzlich vorgeschriebenen Datenschutzes sein wie auch Barrieren, die durch die Einbindung unternehmenskritischer Informationen entstehen.


Während seines Wirtschaftsinformatik-Studiums begeisterte sich unser Gastautor Rüdiger Gartmann für das Thema IT Security. Nach seinem Start bei con terra 2007 war die Übernahme der Verantwortung für das Produkt security.manager der konsequente Schritt.


Auch wächst die Filterung relevanter Informationen durch eine uneingeschränkte Bereitstellung der Daten für den Nutzer zu einer Mammutaufgabe heran. Somit muss der Spagat zwischen einer offenen, zugleich aber auch effizienten Erschließung der Geoinformationen gemeistert werden.

In der Praxis wird diesem Problem aktuell auf zwei verschiedene Weisen begegnet: Sensible Informationsbestände werden entweder gar nicht verteilt oder als redundante Services für unterschiedliche Nutzergruppen publiziert, indem individuelle Teilmengen des vorhandenen Datensatzes bereitgestellt werden.

Beide Varianten stellen allerdings keine effizienten Lösungen dar, weil entweder das Potenzial der vorhandenen Daten nicht ausgeschöpft wird, oder ein erheblicher Administrationsaufwand in Kauf genommen werden muss.


Hinweis: con terra wird auch auf der Esri Konferenz vom 03. bis 04. März 2020 in Bonn vertreten sein und informiert Sie gerne tiefergehend über den security.manager.


Effiziente Bereitstellung von Geodaten

Der security.manager erweitert die Fähigkeiten von ArcGIS Enterprise, bzw. des ArcGIS Servers dahingehend, dass statt vieler individueller Services, die von einem Datenbestand publiziert werden, nun ein einziger individualisierbarer Service abgegeben werden kann. Individualisierbar heißt, dass der security.manager in Abhängigkeit von der Identität des Nutzers bestimmte Daten verbirgt und so eine individuelle Sicht auf den Service ermöglicht.

Der security.manager in der Praxis

Für Betreiber großer Infrastrukturen wie Leitungsnetze, Flughäfen oder Telekommunikationsanlagen besteht beispielsweise eine große Herausforderung darin, Dienstleistern, die Bau-, Wartungs- oder Reparaturarbeiten an dieser Infrastruktur durchführen, mit passenden Geodaten zu versorgen.

Diese Dienstleister sollen zwar nicht auf den Gesamtbestand der Daten zugreifen aber dennoch mit allen für die Arbeiten relevanten Daten versorgt werden.

Auch in dem für sie relevanten Bereich sollen sie möglicherweise nicht die volle Tiefe des Informationsbestandes einsehen. In solchen Fällen wäre es mit einem hohen Umsetzungsaufwand verbunden, individuelle Karten für jedes aktuelle und in Planung befindliche Projekt zu publizieren.

Der security.manager ermöglicht eine individualisierte Nutzung nur eines publizierten Dienstes, indem er nutzerspezifisch alle Informationen aus dem Datenbestand herausfiltert und dem Nutzer bereitstellt.

An einem Beispiel aus der Praxis erläutert bedeutet dies, dass die Stadtwerke einer Gemeinde sämtliche Gas-, Frischwasser-, Abwasser- und Stromleitungen in einem einzigen Dienst publizieren und für die eigenen Mitarbeiter unter vollem Zugriff freischalten kann.

Ein Dienstleister, der eine Reihe von Hydranten warten und ggf. austauschen muss, erhält jedoch nur Zugriff auf den Layer der Frischwasserleitungen, der auf die für seinen Auftrag relevanten Hydranten begrenzt ist.

Eine Baufirma wiederum, die die Kanalisation einer Straße erneuern soll, bekommt nur Zugriff auf sämtliche Leitungsinformationen des betroffenen Straßenzuges.

An diesem praxisnahen Beispiel der Stadtwerke wird schnell deutlich, welche unterschiedlichen Zugriffe verschiedene Nutzer auf einen einzigen Datensatz benötigen. Bei der Vielzahl an Arbeiten, die die Stadtwerke einer Kommune vergeben müssen, ist eine feingranulare Zugriffssteuerung der einzig sinnvoll handhabbare Weg, die relevanten Geoinformationen zielgerichtet bereitzustellen.

Ein erweiterter Zugriffsschutz stellt somit nicht ausschließlich ein Sicherheitsthema dar, sondern vereinfacht darüber hinaus auch die Arbeitsabläufe von GIS-Administratoren massiv und bietet dem Anwender eine gezieltere Informationsbereitstellung an.

Technische Informationen und Integration mit ArcGIS Enterprise

Da der security.manager als sogenannter Server Object Interceptor (SOI) eine Erweiterung des ArcGIS Servers darstellt, agiert er völlig transparent und ohne die Service-Schnittstellen zu verändern. Damit ist sichergestellt, dass vorhandene Anwendungen durch die Integration des security.manager nicht beschädigt werden.

Diese Eigenschaft erlaubt daher auch problemlos eine nachträgliche Integration des security.manager in bestehende Infrastrukturen, zumal die erweiterten Zugriffsschutzfunktionen für jeden einzelnen ArcGIS Service je nach Bedarf aktiviert werden können.

Darüber hinaus integriert sich die Administrationsoberfläche nahtlos in den ArcGIS Server Manager, um dem GIS-Administrator eine einheitliche Administrationsumgebung bereitzustellen. Somit kann ein feingranularer Zugriffsschutz über den security.manager einen erheblichen Mehrwert bieten, um das gesamte Potenzial der ArcGIS Plattform voll und effizient auszuschöpfen.