Derzeit ist aufgrund einer technischen Störung die Nutzung von HiOrg-Server nicht möglich.

Wir arbeiten gemeinsam mit der Notfallbereitschaft unseres Rechenzentrums mit Hochdruck daran, die Ursache der Störung zu beheben.

Aufgrund unserer redundaten Datenbank sowie der mehrstufigen Backup-Strategie rechnen wir nicht mit einem Datenverlust.

Sobald uns weitere Informationen darüber vorliegen (z.B. auch eine Schätzung, wann die Störung behoben sein wird), werden wir dies hier als Update veröffentlichen.

Update 12:11 Uhr: Ursache der Störung war eine Datenbankänderung, die mehr Ressourcen erforderte als von uns vorausgesehen. Diese ist inzwischen abgeschlossen, der HiOrg-Server ist wieder wie gewohnt erreichbar. Wir entschuldigen uns für die ungeplante Störung und ggf. bei unseren Nutzern dadurch entstandene Unannehmlichkeiten.

Recht weit oben auf der Wunschliste befand sich sich der Vorschlag, über Geburtstage innerhalb der Organisation besser informiert zu werden. Diesen Wunsch haben wir nun umgesetzt, so dass seit letzter Woche entsprechende Benachrichtigungen im System angezeigt werden. HiOrg-Server mit aktiviertem Push-Versand liefern die Benachrichtigung auch an Mobilgeräte mit HiOrg-Server App aus.

Diese Geburtstagsbenachrichtigungen erhalten Personen aus dem Leitungsteam einer Organisation und alle Mitglieder der gleichen Gruppe. Ist das Geburtsdatum in den Mitgliedsdaten als verborgen gekennzeichnet (Schlosssymbol vor dem Eingabefeld), so geht die Benachrichtigung ausschließlich ans Leitungsteam. Die Push-Benachrichtigung wird je nach Servereinstellung mit oder ohne Namensnennung versendet.

🪄✨ Das Geburtstagsupdate erfüllt einen Wunsch mit 795 Votes von unserer Wunschliste, wobei wir den Originalvorschlag etwas an aktuelle Gegebenheiten angepasst haben. 🧞‍♂️

Seit dem 12. März sind Probleme bei der Mailzustellung an Dienste von United Internet bekannt, dies schließt insbesondere E-Mail-Adressen von GMX und Web.de ein. In einem solchen Fall werden die nicht zustellbaren Mails vom Server des Absenders (so auch vom HiOrg-Server) vorübergehend zwischengespeichert und einige Stunden (notfalls Tage) später die Zustellung erneut versucht.

Am Abend des 17. März schien das Problem zunächst gelöst zu sein: die zuvor abgewiesenen E-Mails wurden von GMX und Web.de wieder akzeptiert, einige Empfänger haben möglicherweise eine verspätete Zustellung bemerkt. Danach kam es jedoch zu einem Folgeproblem: Durch den vorherigen Aufstau wurde dann natürlich eine deutlich größere Menge E-Mails an United Internet übergeben als normalerweise üblich. Dies hat bei United Internet schließlich eine Grenze überschritten und der HiOrg-Server wurde als SPAM-Versender eingestuft. Die Folge war, dass ab dann erneut Mails vom HiOrg-Server an GMX und Web.de von United Internet zurückgewiesen wurden.

Wir haben die Zustellversuche dieser fehlerhaften Mails in unserem Mailserver gestoppt, um ein erneutes Auslösen der geschilderten SPAM-Erkennung zu verhindern. Trotzdem wird unser Server von United Internet weiterhin blockiert bzw. gebremst, so dass wir aktuell fortgesetzt Probleme bei der Mailzustellung an diese Dienste bemerkt haben und temporär die Auslieferung von E-Mails an GMX und Web.de pausiert haben. Derzeit werden E-Mails an diese Adressen nicht ausgeliefert.

Wir arbeiten bereits an einer Lösung für das Problem und streben an, die Zustellung der E-Mails an diese Anbieter baldmöglichst wieder zu aktivieren. Bitte rechnen Sie damit, dass dann manche E-Mails aus den vergangenen Tagen deutlich zeitverzögert zugestellt werden.

Die Auslieferung von E-Mails an andere Dienste war insgesamt nicht betroffen, ebenso mussten bislang keine Mails verworfen werden.

UPDATE 21.03.: Unsere Recherchen haben ergeben, dass United Internet wohl grundsätzlich neue Richtlinien zur SPAM-Erkennung eingeführt hat, und bereits bei deutlich niedrigeren Sendefrequenzen als früher eine SPAM-Wertung vornimmt. Mehrere Versuche unsere Mailauslieferung (gedrosselt) wieder zu starten, führten überraschend schnell zu erneutem Blacklisting unseres Mailservers. Ebenso versuchen wir Kontakt zu den verantwortlichen Technikern von United Internet aufzunehmen, um nähere Infos über erlaubte Sendefrequenzen zu erhalten oder möglicherweise auch ein Whitelisting unseres Mailservers zu erzielen.

UPDATE 22.03.: Inzwischen gelingt es uns die „straffreie“ Zustellung von ca. 3 Mails in 10 Sekunden. Da sich durch die mehrfachen Blockaden jedoch inzwischen rund 25.000 Mails angestaut haben (und durch den laufenden Betrieb des HiOrg-Servers täglich im Schnitt 10.000 neue Mails an Dienste von United Internet hinzu kommen), wird die vollständige Abarbeitung noch bis mindestens Donnerstag dauern – aber immerhin ist eine stabile Lösung in Sicht.

UPDATE 24.03.: Aktuell wird die E-Mail-Warteschlange jeden Tag weiter abgearbeitet. Es stehen momentan noch ca. 4900 E-Mails zum Versand an, die spätestens im Laufe der Nacht versendet werden. Konkret bedeutet das, dass Mails, die heute an GMX / Web.de verschickt werden, ggf. noch eine Verzögerung von mehreren Stunden haben können. Wir gehen davon aus, dass sich morgen früh wieder alles normalisiert hat.

UPDATE 25.03.: Die E-Mail-Warteschlange ist abgearbeitet. Nun sollten wieder alle E-Mails schnellstmöglich zugestellt werden.

Bei Planung und Durchführung von öffentlichen Kursangeboten kommt es vor, dass eine angemeldete Person doch nicht am Kurs teilnehmen kann oder auch einfach nicht zum vereinbarten Termin erscheint. Das führt dann oft zu erhöhtem Verwaltungsaufwand. Mit der neuen Funktion „Kursteilnahme stornieren“ bietet HiOrg-Server KURSE nun auch eine Lösung für diese Fälle.

Teilnahmestatus

In den Details zum Teilnehmers oder zur Teilnehmerin (Anzeige über Stiftsymbol) gibt es nun einen zusätzlichen Abschnitt „Status“. Bei einer angemeldeten Person ist dieser Bereich grün hinterlegt, die Teilnahme ist aktiviert.

Ist die Teilnahme nicht möglich, kann über den Button eine Stornierung durchgeführt werden. Dabei ist es möglich, eine Bestätigungsmail zur Stornierung zu verschicken. Der Text dafür kann unter System > Einstellungen > Systemmails > Stornierungsbestätigung nach Bedarf angepasst werden. In der Liste eines Kurses werden stornierte Teilnahmen ans Ende der Liste sortiert und mit einem entsprechenden Label versehen. Zusätzlich informiert ein Hinweis über Details zur Stornierung.

Die Daten zu einer stornierte Teilnahme verbleiben im System und können auf einen anderen Kurs umgebucht oder einfach wieder aktiviert werden. Alle Statusänderungen werden in der Teilnahmehistorie erfasst.

Eine Stornierung ist über den Selbstverwaltungslink auch direkt von einem Firmenkunden selbst möglich. Über diesen Link können Teilnahmen auch wieder aktiv gesetzt werden, solange noch Plätze im Kurs frei sind.

Umbuchung

Bei den Systemmails gibt es nun auch eine neue E-Mail-Vorlage zur Bestätigung einer Umbuchung. Diese Vorlage kann auf Ihre Bedürfnisse angepasst werden. Dabei beziehen sich die verwendeten Variablen auf den neuen Kurs. Neu sind diefolgenden beiden Variablen, die sich auf den alten Kurs beziehen:

  • [[$kursbezeich_vorher]] => Bezeichnung des ursprünglichen Kurses vor der Umbuchung
  • [[$kursbeginn_vorher]] => Kursbeginn (Datum) des ursprünglichen Kurses vor der Umbuchung

Berechnung

Wird eine Teilnahme storniert, so kann die angemeldete Person von der Zahlung der Kursgebühr befreit werden. Dazu muss nur das entsprechende Häkchen im Dialog gesetzt werden. Zur internen Dokumentation gibt es die Möglichkeit, eine Begründung zu hinterlegen. So kann die Entscheidung über die Berechnung auch im Nachgang von einem anderen Teammitglied getroffen werden.
Wird eine Teilnahme über den Selbstverwaltungslink storniert, kann selbstverständlich keine Entscheidung zur Bezahlung hinterlegt werden.

Zu diesem Thema gibt es auch einen Eintrag in unserem Wiki-Handbuch.

🪄✨ Das Update erfüllt einen Vorschlag mit 142 Votes von unserer Wunschliste. 🧞‍♂️

Als Disponent:in weiß man beim Anlegen eines Dienstes oder Termins oftmals genau, welcher Helferstunden-Typ später beim Erfassen der geleisteten Stunden genutzt werden soll. Da die Helferstunden-Abrechnung vielleicht von einem anderen Teammitglied gemacht wird, ist es wichtig, diesen Gedanken aus der Planung in die Endphase der Veranstaltung zu transportieren.

Mit der aktuellen Erweiterung ist es möglich, den Helferstunden-Typ bereits bei der Erstellung eines Dienstes oder eines Termins im Datensatz der Veranstaltung zu setzen.

Der gewählte Typ wird dann bei der Erfassung der Helferstunden voreingestellt, kann aber auch geändert werden.

🪄✨ Das Update erfüllt zwei Vorschläge mit 67 Votes von unserer Wunschliste. 🧞‍♂️

Neben der Erweiterung von HiOrg-Server mit neuen oder verbesserten Funktionen, gehört die Wartung – ähnlich der Inspektion beim KfZ – ebenso zu unseren Aufgaben. Zur Wartung gehört u.a. die regelmäßige Aktualisierung der Softwarekomponenten, aus denen bspw. die Mobile-App selbst besteht.

In der Regel bringen diese Aktualisierungen Fehlerbehebungen oder ebenfalls kleine Verbesserungen mit sich. Von Zeit zu Zeit werden auch komplett neue Versionen der von uns verwendeten Technologie veröffentlicht. Begleitet wird dies auch mit einer Ankündigung, wie lange die ältere Version noch mit Updates („Ersatzteilen“) versorgt wird und ab wann dies nur noch bei der neueren Version der Fall ist – ähnlich wie bspw. beim Betriebssystem eines Rechners. Zusätzlich wird eine Aufstellung aller Teilbereiche herausgegeben, die überhaupt nicht mehr oder nur noch in anderer Form verwendet werden können.

Mit Hilfe dieser Informationen planen wir solch große Versionssprünge recht frühzeitig. Seit längerem ist uns bekannt, dass die technologische Komponente auf der die aktuelle Veranstaltungsliste der Mobile-App basiert, nicht mehr verwendet werden kann. Damit der Versionssprung für die Mobile-App durchgeführt werden kann, muss diese Komponente (und damit auch die Liste) entfernt werden.

Mit dem Ziel eine aktuelle und sichere Infrastruktur für die Mobile-App anzubieten, haben wir aus der Not eine Tugend gemacht:

  • Wir haben damit begonnen eine neue Ansicht für die Veranstaltungen aufzubauen. Die ersten Veröffentlichungen richteten sich an die Nutzergruppe der Helfer. Zusätzlich haben wir hier umgesetzt, dass man zu mehreren Veranstaltungen gleichzeitig eine Rückmeldung abgeben oder sie in den Kalender übertragen kann.
  • Im Anschluss haben wir dann mit der alternativen Darstellung des Besetzungsstatus und dem direkten Link zur Einteilungsseite im Web-Produkt die Nutzergruppe der Disponenten / Admins adressiert.

Die Mobile-App hat nun einen Zustand erreicht, in der die aktuelle Version der neuen Helfer- bzw. Disponentenansicht einen Funktionsumfang bietet, welcher den der „alten“ Veranstaltungsliste übertrifft. Wir werden daher zeitnah die alte Liste entfernen, um den (sicherheitsrelevanten) Versionssprung durchführen zu können.
Wir verstehen, dass sich nicht alle Nutzer über diesen notwendigen Schritt freuen werden. Leider ist es nicht möglich, die alte Liste in der bestehenden Form zu erhalten. Wir möchten aber weiterhin auf das Feedback unserer Nutzer eingehen, die neue Ansicht wird kontinuierlich erweitert und anhand der Rückmeldungen verbessert.

In den letzten Wochen haben wir mehrere sicherheitsrelevante Updates durchgeführt. Diese passieren meist im Hintergrund, manchmal wirken sie sich aber auch auf das bestehende System aus. Aus diesem Grund gibt es hier eine kurze Zusammenfassung der Änderungen:

Update PDF-Wandler

Um PDF-Dateien für Formulare oder bspw. Teilnahmebescheinigungen zu erzeugen, bietet HiOrg-Server unterschiedliche Versionen des PDF-Wandlers „dompdf“ an. Wie bereits vor längerem angekündigt, wurden die veralteten Versionen dompdf 0.5.1 oder dompdf 0.6.1 aufgrund von regelmäßigen Sicherheitsupdates nun endgültig abgeschaltet.
Weitere Hinweise finden Sie in unserem vorigen Beitrag, zusätzlich haben wir in unserem Handbuch einen Leitfaden zur Migration von Vorlagen bereitgestellt. Bitte kontrollieren Sie Ihren Vorlagen und aktualisieren Sie diese bei Bedarf.

Abschaltung der öffentlichen Kursangebote (alte Version)

Mit HiOrg-Server KURSE können Ausbildungsangebote nicht nur verwaltet, sondern auch direkt auf der eigenen Webseite eingebunden werden. So können sich potentielle Teilnehmer bequem informieren, zum gewählten Kurstermin anmelden und auf Wunsch direkt per PayPal bezahlen.

Ende 2020 haben wir die neue Oberfläche für öffentliche Kursangebote und Teilnehmeranmeldung vorgestellt, die mittels neuem Link eingebunden werden kann. Im Zuge der laufenden Updates wurde die alte Darstellung nun komplett entfernt und ist nicht länger verfügbar. Sollten Sie es noch nicht getan haben, so müssen Sie die Verknüpfung auf Ihrer Webseite JETZT zwingend austauschen, um weiterhin Kursangebote aus HiOrg-Server präsentieren zu können.

Nachtrag zu Log4J

Im Dezember sorgte eine kritische Sicherheitslücke in der Java-Bibliothek Log4J für Aufregung. Zu diesem Thema haben uns mehrere Nachfragen erreicht.
Die Anwendung HiOrg-Server benötigt zur Ausführung kein Java. Auch auf den Servern, die unmittelbar der Bereitstellung der HiOrg-Server-Anwendung dienen, wird kein Paket eingesetzt welches das betroffene Modul nutzt. Somit ist die HiOrg-Server Kernanwendung von der Lücke nicht betroffen. Von den Anbietern unserer internen Entwicklungsumgebung, Kommunikations- und Projektsoftware gibt es öffentliche Statements, dass die jeweils von uns eingesetzte Software nicht betroffen ist.

Darüber hinaus betreiben wir auf getrennten Servern weitere Dienste, z.B. ein Ticketsystem zur Beantwortung von Supportanfragen und Qualitätsanalyse von Sourcecode. Diese Systeme waren grundsätzlich theoretisch angreifbar, sind jedoch überwiegend nur aus unserem internen Netzwerk erreichbar.  Wir haben trotzdem unmittelbar nach Bekanntwerden der Log4J-Lücke die jeweils von den Herstellern empfohlenen Sofort-Absicherungsmaßnahmen getroffen und nach Verfügbarkeit die entsprechenden Updates eingespielt, so dass wir auch hier keiner Gefahr mehr ausgesetzt sind.

Die Priorität unseres Unternehmens ist die zuverlässige Bereitstellung eines stabilen und fehlerfreien Systems, welches dauerhaft erreichbar und nutzbar ist. Bei Fragen zu diesem oder anderen Themen kontaktieren Sie uns bitte einfach.