Beiträge

Die Grundinstandsetzung des Hauses Unter den Linden

Zentrales Thema Denkmalschutz

Das Gebäude der Staatsbibliothek ist sowohl ein Einzeldenkmal als auch Bestandteil des Denkmalensembles Unter den Linden. Der Ehrenhof mit seiner aus den 1920er-Jahren stammenden eindrucksvollen Weinberankung ist zudem ein Gartendenkmal.

Bei der Grundinstandsetzung der Staatsbibliothek ist der denkmal-gerechte Umgang mit der historischen Bausubstanz deshalb ein zentrales Thema. Neben der weitgehenden Erhaltung der noch vorhandenen Bausubstanz wird ein weiterer Schwerpunkt darauf gelegt, das räumliche Konzept des Bestandsbaus wieder erlebbar zu machen. Das betrifft die Wiederherstellung der zentralen Erschließungsachse mit ihren repräsentativen öffentlichen Räumen, insbesondere aber auch die im Januar 2017 übergebenen Räume der Generaldirektion und des Veranstaltungsbereiches.

Farbgebung und Interieur der repräsentativen Lesesäle, Veranstaltungsräume und der Räume der Generaldirektion wurden teils nach vorhandenen Resten rekonstruiert, teils nach Fotos nachempfunden oder aber als erkennbar neu und heutig ergänzt. Ein signifikantes Beispiel ist der Ersatz für die verlorene historische Decke des großen Veranstaltungssaales. Hierfür wurde vom Architekturbüro HG Merz eine Decke aus kissenförmigen lichtdurchlässigen Elementen entworfen, welche eine besonders reizvolle räumliche Struktur bildet und ganz spezielle Beleuchtungseffekte erlaubt. Hergestellt wurde diese Sonderanfertigung aus Kunstharz von der Firma FLZ mit Sitz auf der Insel Rügen.

Ein weiterer denkmalpflegerischer Schwerpunkt besteht in der Erhaltung und Instandsetzung des nach seinem Erfinder Robert Lipman benannten Regalsystems der historischen Magazine. Dieses Stahlregalsystem erstreckt sich teilweise über acht Geschosse und trägt neben Regalböden und Büchern auch die Geschossdecken, Teile der Fassaden und das Dach.

Etappen der Großbaustelle

Im Architekturwettbewerb zur Grundinstandsetzung und Erweiterung der Staatsbibliothek Unter den Linden wurde im Jahr 2000 der Entwurf von Professor HG Merz mit dem ersten Preis ausgezeichnet. Nach einer umfangreichen Planungsphase wurde 2005 mit den Bauarbeiten begonnen. Alle Bauarbeiten finden bei laufendem Bibliotheksbetrieb statt, unterteilt in zwei Bauabschnitte: Der erste Abschnitt umfasste die Grundinstandsetzung des nördlichen Gebäudeteils, unter anderem auch den Erweiterungsbau für den neuen Allgemeinen Lesesaal sowie weitere Lesesäle. 2006 wurde dafür der Grundstein gelegt, 2008 wurde das Richtfest gefeiert. Im März 2011 wurden der sanierte Altbau dieses Bauabschnitts und die neu errichteten Tresormagazine an die Staatsbibliothek übergeben. Die feierliche Schlüsselübergabe für den Neubau mit den neuen Lesesälen fand dann im Dezember 2012 statt.

Der zweite Bauabschnitt ist in drei Teile gegliedert, von denen bereits zwei abgeschlossen sind. Hauptbestandteile dieses Bauabschnittes sind fünf Sonderlesesäle, die Räume der Generaldirektion und des Verwaltungsbereichs sowie das Bibliotheksmuseum. Bereits übergeben wurden im September 2014 die Räume der Berlin-Brandenburgischen Akademie der Wissenschaften im Gebäudeteil an der Ecke Universitäts-straße/Unter den Linden. Die Akademie der Wissenschaften ist seit der Erbauungszeit Mieter des Hauses. Vor kurzem wurden unter anderem die Veranstaltungsbereiche und die Räume der Generaldirektion übergeben.

Insgesamt werden im zweiten Bauabschnitt auf rund 20.000 Quadratmetern Nutzfläche Böden, Wände und Decken erneuert, 15.000 Quadratmeter Fassaden instandgesetzt, 6.000 Quadratmeter Dach-fläche neu aufgebaut, und eine komplett neue Haustechnik, insbesondere Klima-, Lüftungs- und Brandschutztechnik in den Bestand integriert.

Ein Gigant unter den Bibliotheksbauten

Das Gebäude der Staatsbibliothek Unter den Linden ist das Stammhaus der größten wissenschaftlichen Universalbibliothek im deutsch-sprachigen Raum und gehört zu den bedeutendsten Bibliotheksbauten weltweit. Es ist mit einer Grundfläche von 107 mal 170 Metern und einer Bruttogrundfläche von mehr als 100.000 Quadratmetern zudem eines der größten Gebäude Berlins.1903 bis 1914 nach den Plänen des kaiserlichen Hofbaumeisters Ernst von Ihne errichtet, ist die Staatsbibliothek einer der jüngsten wilhelminischen Repräsentations-bauten überhaupt. Sie ist als Steigerung repräsentativer Räume konzipiert. Den Höhepunkt bildet der Allgemeine Lesesaal mit einer der damals größten Kuppelkonstruktionen Berlins.

Das Gebäude wurde im Zweiten Weltkrieg stark beschädigt, insbesondere der zentrale Lesesaal mit seiner imposanten, reich verzierten Kuppel fiel der Zerstörung zum Opfer. An seiner Stelle erhebt sich seit 2012 der 36 Meter hohe Neubau des heutigen Allgemeinen Lesesaals.

****************************************************************************

Endspurt auf der Baustelle

‘Tout Berlin’ willkommen am 10. Juni

Bilder + Erläuterungen

****************************************************************************

Darüber berichteten neben anderen auch

Deutsche Presseagentur, dpa (hier übernommen von Berliner Zeitung)
Der Tagesspiegel
rbb Abendschau (Nachrichtenblock I, 1:43)

****************************************************************************

 

Schinkelfest 2017

Welcher Ort dürfte geeigneter sein für die Preisverleihung des renommierten Schinkel-Preises des Architekten- und Ingenieurvereins zu Berlin (AIV) als der Veranstaltungssaal einer Ikone der modernen Architektur? So dachten wohl auch die Veranstalter des 162. Schinkelfestes und wählten den Otto-Braun-Saal unseres Hauses Potsdamer Straße bereits zum zweiten Mal nach 2015 für ihren Festabend aus. Barbara Schneider-Kempf begrüßte die Gäste herzlich und unterstrich in ihrem Grußwort den Einklang zwischen Veranstaltung und Ort. Sie freute sich, dass  “das Schinkelfest heute Abend gerade hier, gerade in diesem Gebäude gefeiert wird, um den Architektennachwuchs auszuzeichnen”.

Der Schinkel-Preis geht an die Gewinner eines jährlich ausgeschriebenen Wettbewerbs und wird stets am 13. März eines Jahres, dem Geburtstag von Karl-Friedrich Schinkel, an den Nachwuchs im Architektur- und Planungswesen vergeben. 2017 lag der Fokus der Wettbewerbsaufgaben auf dem Berliner Westkreuz, einem sicher nicht leicht zu gestaltenden Gelände, das von Verkehrstrassen, dem zurzeit nicht genutzten ICC, dem Omnibusbahnhof und Brachflächen dominiert wird. Drei verschiedene Aufgabenstellungen boten den Teilnehmerinnen und Teilnehmern Möglichkeiten unterschiedlichster Herangehensweisen.

Die Intention der Veranstalter, mit dem Wettbewerb und der Preisverleihung durchaus Einfluss auf die aktuelle Stadtentwicklung nehmen zu wollen, spiegelte sich in der Gästeliste wider. Katrin Lompscher, Senatorin für Stadtentwicklung und Wohnen, lobte in ihrem Grußwort die Arbeiten der Preisträger als Ideenpool mit realistischem Umsetzungspotential und Oliver Schruoffeneger, Bezirksstadtrat für Stadtentwicklung, Bauen und Umwelt in Charlottenburg-Wilmersdorf, wünschte sich Anregungen für den Umgang mit diesem problematischen Bezirksteil.

Die Ausstellung – Staatsbibliothek zu Berlin-PK – Carola Seifert – Lizenz CC-BY-NC-SA 3.0

Der Festvortrag von Prof. Dr. Harald Bodenschatz mit dem nur für Berlin-Kennerinnen und -Kenner nicht überraschenden Titel ‚2020: Berlin wird 100 Jahre alt’, gab einen interessanten und kenntnisreichen Überblick über die Situation der werdenden Großstadt im Jahre 1920. Hatte sicher der eine oder andere unter den Gästen nach der 750-Jahrfeier der Stadt im Jahre 1987 ein deutlich höheres Alter der heutigen Hauptstadt vor Augen, so führte die Frage, ob Wannsee, Spandau und Köpenick auch zu Berlin gehörten, auf die richtige Spur. Erst mit der Eingemeindung von 59 Landgemeinden und 27 Gutsbezirken zu einer Einheitsgemeinde mit 20 Bezirken wurde Berlin 1920 zu der Stadt, wie wir sie heute kennen. Verblüffend ähnelten die Fragen der damals beteiligten Planer denen der heute Verantwortlichen, auch dies wurde im Vortrag deutlich.

Oriel-Quartett – Staatsbibliothek zu Berlin-PK – Carola Seifert – Lizenz CC-BY-NC-SA 3.0

In der anschließenden, feierlichen Zeremonie wurden die Schinkel-Preise in den drei Kategorien und zahlreiche Sonderpreise verliehen. Die vollständige Dokumentation der Arbeiten und der vergebenen Preise ist online einsehbar. Bereits am Vormittag des 13. März wurde die Ausstellung mit den Arbeiten der Wettbewerbsteilnehmer in der Eingangshalle eröffnet. Sie ist noch bis zum 20. März geöffnet und für jeden frei zugänglich.

Eine würdige Entsprechung der Vielfalt der eingereichten Arbeiten bot die Musikauswahl des Oriel Quartetts. Hier stand mit Peteris Vasks Streichquartett Nr. 4 ein zeitgenössischer Aspekt Stücken von Mozart und Britten gegenüber.

V.l.n.r.: Prof. Dr. h.c. Wolfgang Schuster, Vorsitzender des AIV; der Festredner, Prof. Dr. Harald Bodenschatz; Karin Lompscher, Senatorin für Stadtentwicklung und Wohnen des Landes Berlin; Barbara Schneider-Kempf, Generaldirektorin der Staatsbibliothek – Staatsbibliothek zu Berlin-PK – Carola Seifert – Lizenz CC-BY-NC-SA 3.0

‚Für Forschung und Kultur’ steht seit einigen Jahren als eine Art Claim unter dem Namen der Bibliothek. Nicht alle großen Ereignisse, die in der Staatsbibliothek stattfinden, finden ihren Niederschlag in den Lesesälen und in der Wahrnehmung ihrer Benutzerinnen und Benutzer. Das Schinkelfest und die Preisverleihung an den Architektur-Nachwuchs gehört dabei ganz sicher zu den kulturellen Highlights des Bibliotheksjahres.

Microservices, Sicherheit

Dieser Beitrag in unserer Blogserie zum Thema Microservices, behandelt das Thema Authentifizierung und Autorisierung basierend auf dem OAUTH2 – Verfahren. Es werden die Vorteile und Herausforderungen dieser Lösung erörtert.

Im Rahmen der Entwicklungsprojekte der Staatsbibliothek zu Berlin, ist eine technische Anforderung, die nahezu in jedem Projekt gefordert wird, die Anmeldung von Benutzern und die Verwaltung der entsprechenden Benutzerrechte und Rollen. Es ist dabei zu prüfen, ob diese Anforderung im Rahmen einer Organisationslösung oder als eine individuelle, projektspezifische Lösung umgesetzt wird. Eine mögliche Organisationslösung sollter meiner Meinung nach folgende wichtige Anforderung unterstützen:

  • Integrierbarkeit in eine Microservices Architektur.
  • Unterstützung mehrerer Authentifizierungsverfahren, wie zum Beispiel, LDAP, Shibboleth oder ein individuelles Verfahren.
  • Unterstützung von Single Sign On und Single Sign Out.
  • Unterstützung verschiedenster Anwendungen.
  • Individuelle Erweiterbarkeit.

Im Vorfeld zur Lösungsbeschreibung möchte ich einige Begriffe, welche häufig in diesem Kontext verwendet werden, erläutern.

Authentifizierung
Die Authentifizierung dient der Überprüfung der Benutzeridentität. In der Regel geschieht dies mit der Eingabe eines Benutzernamens und eines Passworts.

Autorisierung
Hierunter werden die Gewährung von Benutzerrechten und das Zulassen bzw. Verweigern der entsprechenden Aktion in der Anwendung verstanden.

Single Sign On / Single Sign Out
Mittels Single Sign On wird das einmalige Anmelden am System ermöglicht, um mehrere Anwendungen ohne wiederholte Anmeldung nutzen zu können. Analog existiert der Single-Sign-Out-Mechanismus zum Abmelden.

LDAP
Ein Verzeichnis Dienst zur Verwaltung von Benutzerinformationen.

Token
Ein codierter Text welcher Nutzer bzw. Zugriffsinformationen enthält. Enthält allerdings keine Passwortinformationen.

Begibt man sich in diesem Bereich auf die Suche nach möglichen aktuellen Verfahren und Lösungen, findet man folgende populäre Lösungsansätze, welche einige der oben genannten Anforderungen unterstützen:

OAUTH2
OAUTH2 ist eine reine Autorisierungslösung und der Nachfolger von OAUTH 1.0. Das OAUTH2 Protokoll ermöglicht Anwendungen, Zugriff auf Webservices mit begrenzten Benutzerinformationen zu erhalten. Es wird bereits durch Anbieter von Webservices, wie zum Beispiel Facebook, Google oder auch Twitter verwendet. Alle Informationen zum Verfahren können Sie unter folgendem Link nachlesen.

OPEN ID Connect
Open ID Connect ist eine einfache Identitätsverwaltungsschicht basierend auf OAUTH2. Es ermöglicht Client Anwendungen die Identität eines Nutzers zu verifizieren und Nutzerinformationen zu erhalten. Es basiert auf HTTP REST Kommunikation.

SAML2, Security Assertion Markup Language
SAML2 ist ein Standard zum Austausch von Authentifizierungs-, und Autorisierungsinformationen und Nachfolger vom SAML Standard. SAML 2.0 ist XML-basiert und benutzt Sicherheitstoken zum Austausch von Nutzerinformationen. SAML basiert auf dem Zusammenspiel von einem Principal, dem Benutzer, einem Serviceprovider, einem Webservice zum Zugriff auf eine geschützte Ressource und einem Identity-Provider zur Prüfung der Identität eines Benutzers. SAML2 ist damit eine sogenannte Enterprise – Lösung, welche im gesamten Unternehmen bzw. der Organisation eingesetzt werden muss.

Für alle diese Verfahren sind bereits vielfältige Softwarebibliotheken und Produkte entwickelt worden. Eine Auswahl an Produkten welche diese Verfahren unterstützen sind folgende:

Eine gute Wahl ist meiner Meinung nach das Spring Security Framework. Die wichtigsten Gründe dafür sind:

  • Die gute Integrationsmöglichkeit für die Nutzung REST basierten Microservices,
  • Die Möglichkeiten der individuellen Erweiterbarkeit,
  • Die Unterstützung aller gängigen Authentifizierungsverfahren und Standards
  • Eine aktive Community und Weiterentwicklung
  • Die gute Integration in die Spring-Technologie.

Wie genau kann nun aber eine Lösung aussehen?

Eine mögliche Lösung hierfür wäre eine Remote-Fassade im Bereich der Sicherheit aufzubauen. Diese kann mögliche Autorisierungsverfahren verstecken und in Richtung der Anwendungen auf ein Verfahren standardisiert werden. Alle Anwendungen sind auf Basis des OAUTH2 Verfahren integriert.Folgende Abbildung veranschaulicht die Komponenten und das Verfahren.

Authentifizierung, Remote Fassade

Authentifizierung, Remote Fassade

Möchte der Benutzer eine Anwendung verwenden, wird dieser bei fehlender Authentifizierungsinformation auf die Anmeldeseite (Login) des Identity-Managementservers weitergeleitet. Dort kann der Nutzer seine Benutzerkennung eingeben und wird nach erfolgreicher Anmeldung zur ursprünglichen Anwendung zurück geleitet. Dieses Verfahren basiert auf dem OAUTH2 Flow „Authorization Code Grant“. Es können hier allerdings auch andere Flows für eine Anwendung verwendet werden. Beim Umleiten der Nutzeranfrage vom Identity-Management zur Anwendung wird dieser Umleitung ein sogenannter Token mitgegeben. Hier sollte meiner Meinung nach ein JSON Web Token (JWT) verwendet werden. Dieser Token enthält alle nutzerspezifischen Informationen und die entsprechenden Rechte und Rollen für diesen Benutzer. Die Anwendungen können nun diesen JWT auswerten und die entsprechenden Aktionen innerhalb der Anwendung zulassen bzw. verweigern. Zusätzlich zu dem OAUTH2 Standardverfahren ist es jetzt aber möglich für jede Anwendung ein Auhentifizierungsverfahren festzulegen. So könnte festgelegt werden, dass Benutzer der Anwendung A sich gegen das LDAP authentifizieren und Benutzer der Anwendung B sich gegen einen SAML2 Identity Provider authentifizieren. Hier agiert das Identity Management als eine Remote-Fassade zur Kapselung möglicher Authentifizierungsverfahren. Mit Hilfe des JWT können alle benutzerspezifischen Informationen platziert und ohne einen erneuten Login durch die Anwendungen ausgewertet werden.

Welche Vorteile bietet eine solche Lösung?

Diese Lösung hat den Vorteil, dass beliebige Authentifizierungsverfahren einmalig integrieren und mehrfach nachgenutzt werden können. Zusätzlich wird in Richtung der Anwendungen auf ein Verfahren standardisiert, was für die Client-Anwendungen weniger Anpassungen bei Erweiterungen des Indentity-Managements bedeutet und letztendlich auch Betriebsaufwände verringern kann. Ein weiterer Vorteil ist, dass jegliche Anwendungen mit allen benötigten Benutzerinformationen versorgen können ohne jemals die Benutzerauthentifizierung im Netzwerk ausgetauscht zu haben. Mit Hilfe des JWT können so auch Microservices ohne Userinterface die Nutzerinformationen erhalten und auswerten.

Welche Herausforderungen bringt diese Lösung mit sich?

Eine Herausforderung ist natürlich die Integration komplexer Authentifizierungsverfahren wie zum Beispiel SAML2. Hierbei müssen die Anmeldeinformationen bei dem entsprechenden Identity Provider der jeweiligen Organisation eingegeben werden und nicht im Standard-Login des Identity-Managements.
Eine weitere Herausforderung ist die unterschiedliche Darstellung derselben Anmeldeseite für unterschiedliche Anwendungen. Mögliche Ansätze zur Lösung dieser Thematik könnten auf Frontend-Komposition basieren. Dies bedeutet, dass die Anmeldeseite in die jeweilige Anwendung integriert und somit dem Anwendungslayout angepasst wird.
Neben der Anmeldung muss ebenfalls eine Lösung für eine einheitliche Abmeldung in allen Anwendungen gefunden werden. Dazu gibt es sogenannte Push Verfahren mit welcher das Identity Management die Anwendungen über die Benutzerabmeldung informieren kann.

Fazit

Das Thema Authentifizierung / Autorisierung und damit das Thema Sicherheit spielt im Bereich der Microservices eine wichtige Rolle. Bei der Konzeption einer Microservice-Architektur sollte aus meiner Sicht dieses Thema im Vorfeld separat und dediziert geplant werden. Es ist ein zentraler Bestandteil der so genannten Macroarchitektur. Denn jeder Microservices hat zur Aufgabe die Geschäftslogik entsprechend der Nutzerrechte zu gestalten. Dafür kann es natürlich nicht für jeden Microservices eine individuelle Sicherheitslösung geben. Die hier vorgestellte Lösung, hat den Vorteil, dass die Verwendung eines JWT und des OAUTH2-Verfahrens sich sehr gut für die Verwendung innerhalb einer Microservices Architektur eignet. Der JWT kann in jeden HTTP Request als Authorization Header mitgesendet werden, sodass ein HTTP REST basierter Microservice diesen auswerten kann. Es sollte allerdings darauf geachtet werden, dass die Anwendungslogik zur Auswertung des Tokens, sich nicht zu stark auf die Struktur des JWT festlegt. Wird diese nämlich im Laufe der Zeit grundlegend geändert müssen sämtliche Microservices angepasst werden. Mit der Auswahl des Frameworks Spring Security, dem OUATH2 Verfahren und dem JSON Web Token ist eine leichtgewichtige Integration sehr gut möglich.