Am 25.02.2019 wurden wir nach Hinweis eines Admins auf einen Sicherheitsaspekt in unserem System aufmerksam. Einem Nutzer war es durch Ausnutzen einer Lücke im Programmcode gelungen, im eigenen HiOrg-Server hinterlegte Dokumente ohne entsprechende Rechte zu löschen.

Wir haben diese Lücke soeben mit einem Hotfix geschlossen. Der betroffene Code wird derzeit von unserer Entwicklungsabteilung weiterführend analysiert und die korrigierte Version wird heute im Laufe des Nachmittags auf dem Produktiv-System verfügbar sein.

Wir bedauern den Vorfall sehr, Datenschutz und Datensicherheit sind uns sehr wichtig. Durch den Eingriff war nur eine Löschung von Dokumenten innerhalb des eigenen HiOrg-Servers möglich, es konnten zu keiner Zeit Daten unberechtigt eingesehen oder verändert werden.
Wir werden trotzdem kurzfristig das komplette System erneut auf ähnliche Möglichkeiten überprüfen.

Um möglichst genau auf die Bedürfnisse unserer Nutzer einzugehen, pflegen wir eine öffentliche Wunschliste mit den Funktionsvorschlägen, die uns stetig erreichen.
Bisher wurden von dieser Liste meist größere, umfangreiche Projekte umgesetzt. Diese benötigten mehr Zeit und banden Ressourcen; die Weiterentwicklung des Systems erschien oft träge und viele Nutzer waren von der Wunschliste enttäuscht.

Neues Jahr – verbesserte Wunschliste

Um die dynamischere Umsetzung neuer Funktionen zu ermöglichen, haben wir den Algorithmus der Wunschliste optimiert und so die Bewertung von Ideen verbessert. Verschiedene neue Faktoren wie bspw. ‚Anzahl der abstimmenden HiOrg-Server‘ und ‚Votes in Relation zur Zeit‘ helfen nun bei der Bestimmung der Priorität der einzelnen Vorschläge.

Wie kann ich mitmachen?

Alle Nutzer können Vorschläge einreichen und Admins können für gewünschte Funktionen abstimmen. Unter „System > Wunschliste / Fehler melden“ findet Ihr die Wunschliste mit Anzeige der verfügbaren Voting-Punkte. Alle HiOrg-Server mit abgeschlossenem Abo erhalten pro Monat einen weiteren Voting-Punkt, zusätzlich gibt es Punkte für gemeldete Fehler. Momentan dümpeln über 37.000 ungenutzte Votingpunkte im System, fast doppelt so viele wie bisher abgegeben wurden.

Bitte votet fleißig, damit ein realistisches Bild der Nutzerwünsche entsteht!

Ihr könnt alle Votes für einen Vorschlag abgeben oder die Punkte auf mehrere Ideen aufteilen.
Wir wünschen Euch viel Freude mit der verbesserten Wunschliste und sind gespannt auf Eure Ideen.

Der Stichtag für die Wirksameit der Datenschutz-Grundverordnung (DS-GVO) kommt näher, und die Sensibilität im Bezug auf dieses wichtige Thema wächst spürbar. Wir merken dies an der erhöhten Anzahl von Rückfragen, aber auch an verunsicherten Aussagen wie „…man weiß ja nicht so genau, wie das bei HiOrg-Server so läuft“, die an uns herangetragen wurden.
In diesem Beitrag wollen wir Sie daher über die Relevanz der Themen Datenschutz und Datensicherheit bei HiOrg-Server, sowie insbesondere über die Änderungen anlässlich der gesetzlichen Neuregelungen informieren.

Schon seit Jahren liegt uns bei der Entwicklung und dem Betrieb von HiOrg-Server der Schutz und die Sicherheit der Nutzerdaten sehr am Herzen. Vor längerem haben wir beispielsweise über ein erfolgreiches externes Datenschutz-Audit berichtet und auch auf unserer Infoseite stellen wir viele Informationen zum Umgang mit Nutzerdaten bereit, die wir natürlich streng nach allen relevanten Datenschutz-Richtlinien behandeln.

Dazu gehört auch, dass wir schon seit langer Zeit unseren Kunden nahelegen eine besondere Vereinbarung zur Auftragsdatenvereinbarung mit uns abzuschließen. Obwohl diese schon umfangreicher und konkreter ausgearbeitet war als das bisher gültige BDSG es gefordert hatte, gibt es nach der neuen Gesetzeslage nun einige Anforderungen an eine solche Vereinbarung, welche in unserer bestehenden Vorlage nicht erfasst waren.

Aus diesem Grund haben wir bereits eine aktualisierte DV-Vereinbarung erarbeitet, die allen Anforderungen der DS-GVO und des BDSG-neu (sowie der entsprechenden DSG der Kirchen) genügt, und auch eine aktualisierte Version der „Anlage technische und organisatorische Maßnahmen (TOM)“ enthält.

Leider liegt diese Vereinbarung derzeit (Stand: 04.05.2018) noch zur Prüfung beim unabhängigen Datenschutzzentrum Saarland, ebenso steht die abschließende Freigabe seitens unseres Haupt-Rechenzentrums (als Co-Autor der Anlage TOM) noch aus.
Sobald diese Prüfungen abgeschlossen sind, werden Sie als Admin die neue Vereinbarung über einen entsprechenden Hinweis direkt in Ihrem HiOrg-Server erhalten.

„Privacy by design“ und „Privacy by default“

Die von der DS-GVO geforderten Punkte Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen setzen wir im HiOrg-Server z.B. so um, dass in sämtlichen Formularmasken nur die Daten als Pflichtfelder abgefragt werden, die zwingend zur Bearbeitung des Datensatzes erforderlich sind. Diese Datenfelder erkennen Sie an einem * neben dem Eingabefeld („Datensparsamkeit“).
Grundsätzlich ist durch personalisierte Zugänge für jeden Benutzer und das differenzierte Rechtesystem gewährleistet, dass jeder Nutzer nur die Daten sehen kann, die er aufgrund seiner Aufgaben und Tätigkeiten in der Organisation auch sehen darf und zu seiner Arbeit benötigt („Privacy by Design“). Zusätzlich werden schon seit Jahren sämtliche Daten über eine verschlüsselte Verbindung übertragen, damit es „unterwegs“ nicht zu Datendiebstahl kommt.

Im System kann jedes Mitglied selbst wählen, welche seiner persönlichen Daten für andere Mitglieder sichtbar sein dürfen: dazu kann das „Schloss“-Symbol vor jedem Datenfeld geöffnet oder geschlossen werden. Bei der Anlage eines neuen Mitgliedes sind diese Schlösser grundsätzlich „geschlossen“ („Privacy by default“). Sie als Admin können in den System-Einstellungen sogar festlegen, dass diese Daten immer geschützt sind und auch vom Mitglied nicht freigegeben werden dürfen. Generell empfehlen wir außerdem, dass Sie Ihre Mitglieder motivieren, ihre personenbezogenen Daten selbstständig einzutragen und zu pflegen.

Checkbox auf Anforderungsformular / Teilnehmeranmeldung

Werden mittels eines Kontaktformulars personenbezogene Daten übertragen, so sollte dies erst geschehen, nachdem der Nutzer über die Verwendung der Daten informiert wurde und aktiv seine Zustimmung gegeben hat. Wir haben dazu die öffentlichen Formulare zur Dienstanforderung (HiOrg-Server PRO) und die Teilnehmeranmeldung (HiOrg-Server KURSE), welche Sie in Ihrer Webseite einbinden können, entsprechend angepasst. Zukünftig gibt es eine Checkbox für die Einwilligung zur Datenverarbeitung. Diese muss der Nutzer aktivieren, bevor die Daten abgesendet werden können.
Da die Bedürfnisse für die Beschriftung dieser Checkbox individuell abweichen und wir keine Rechtsberatung geben können, lassen sich die Texte im Menü „System > Einstellungen > Rechnungen / Anforderungsformular“ bzw. „System > Einstellungen > Ausbildung allgemein“ einfach anpassen.

BDSG-konforme Mustervorlage „Teilnehmerdatenblatt“

Da die bislang beliebte Teilnehmerliste (in welcher jeder Kursteilnehmer auch die Daten anderer Teilnehmer einsehen kann) bereits jetzt nicht mehr zulässig ist, haben wir in HiOrg-Server KURSE eine neue Mustervorlage hinterlegt. Diese ermöglicht unkompliziert die Ausgabe der Teilnehmerdaten auf einzelne Blätter, so wie es das BDSG vorsieht. Bitte achten Sie darauf, dass die Häkchen „bei Anzeige ins PDF-Format umwandeln“ und  neue Seite nach 1 Kursteilnehmer“ gesetzt sind. Jedem Teilnehmer kann dann sein individuelles Blatt zur Unterschrift und Überprüfung seiner Daten ausgehändigt werden.

Bei Fragen zu HiOrg-Server in Verbindung mit der DS-GVO können Sie sich jederzeit an uns wenden. Wir helfen Ihnen gerne weiter.

Immer mal wieder kommt es vor, dass neue Funktionen von unseren Entwicklern fertiggestellt werden, diese aber aus unterschiedlichen Gründen noch nicht vollständig ans bestehende System angebunden werden können. Bisher schlummerten diese Features dann im stillen Kämmerchen, bis ihr großer Tag endlich gekommen war.
Das wird sich nun ändern: in Zukunft haben interessierte Nutzer die Chance, im Entwicklungslabor zu stöbern und neue Funktionalitäten vorab zu testen.
Im Bereich ‚System > Einstellungen > Entwicklungslabor‚ können die Neuheiten vom Admin angeschaut und aktiviert werden.

Wichtiger Hinweis: Alle Funktionen im Bereich des Entwicklungslabors befinden sich im Beta-Stadium. Wir versuchen vor Veröffentlichung die bestmögliche Integration sicherzustellen, weisen aber darauf hin, dass manchmal noch Teile der (geplanten) Funktionalität fehlen. Außerdem gehören die vorgestellten Funktionen nicht zum offiziellen Leistungsumfang von HiOrg-Server, können also jederzeit verändert oder auch wieder entfernt werden.

Lesebestätigung für Dokumente

Als erstes Laborprojekt stellen wir die „Lesebestätigung für Dokumente“ vor. Nach Aktivierung kann in den Details eines allgemeinen Dokuments angefordert werden, dass bestimmte Mitglieder die Kenntnisnahme bestätigen sollen. Dies lässt sich nach Gruppen differenzieren und kann auch nachträglich aktiviert werden. Eine Meldung auf der Übersicht weist auf die notwendige Bestätigung hin, im Dokumentenbereich kann die Kenntnisnahme kontrolliert werden. Eine Erinnerungsmöglichkeit per E-Mail rundet die Funktion ab.

Diese Neuerung setzt einen Vorschlag mit 55 Votes von der Wunschliste um.

Wie bereits angekündigt (siehe letzte Beiträge), führen wir derzeit ein umfangreiches Datenbank-Upgrade in Zusammenhang mit der Veröffentlichung eines größeren Update durch.

Die Datenbankarbeiten werden sicherlich mehrere Stunden dauern, so dass HiOrg-Server bis morgen früh nicht nutzbar sein wird. Wir bitten Sie um etwas Geduld, und werden an dieser Stelle über den Fortschritt berichten.

  • Update 6:30 Uhr: Die Konvertierung kommt gut voran, braucht allerdings ihre Zeit (inzwischen liegen mehr als 11 GB Daten von über 5.000 HiOrg-Servern in den Datenbanken). Wir rechnen damit, dass wir ab 13 Uhr die meisten Accounts wieder freigeben können.
  • Update 10:30 Uhr: Zukünftig können für einen Dienst ja mehrere Schichten/Abschnitte definiert werden. Hauptarbeit bei der Datenbank-Konvertierung ist die Erstellung dieser neuen „Zeiträume“ und Prüfung der Personalbesetzung für jeden einzelnen Dienst. Davon gibt es inzwischen mehrere Millionen.
    Je voller die neuen Tabellen im Rahmen der laufenden Konvertierung werden, umso langsamer schreitet der Prozess voran. Dadurch lässt sich der Zeitbedarf schwer abschätzen (weil nicht linear).
    Bei der Simulation vor 2 Tagen dauerte das Upgrade der gesamten Datenbank etwas über 12 Stunden. Offensichtlich benötigt unser echter Datenbank-Server leider deutlich länger.
    Aktuell ist etwa die Hälfte der Konvertierung durchlaufen. Wahrscheinlich werden die Arbeiten erst in den Abendstunden abgeschlossen sein.
    Die Verzögerung tut uns sehr leid. Während der Datenbankserver schuftet, diskutieren wir bereits wie wir solche Prozeduren zukünftig optimieren könnten.
  • Update 17:30 Uhr: Juhuu – endlich sind alle Konvertierungen abgeschlossen, und die neue Version eingespielt. Wir bedanken uns bei allen Nutzern für die Geduld, und wünschen viel Spaß beim Erkunden der neuen Funktionen !
  • Update 19:11 Uhr: Bitte ein wenig Geduld beim Erkunden der neuen Funktionen… es passen nicht alle gleichzeitig durch die Tür. Der Server ist gerade überlastet und hat die Grätsche gemacht 🙁
  • Update 23:50 Uhr: Hoppla, in der Android-App gab es leider in einigen Accounts beim Sync noch einen üblen Fehler. Diesen haben wir inzwischen gefixt und auch mit den Realdaten von 100 Accounts getestet: klappt bei uns. Das Update 3.3.1 ist bereits bei Google, und wird über Nacht auf den Geräten aktualisiert. Trotzdem überraschend für uns, wie viele 1*-Bewertungen man in nur 3 Stunden erhalten kann 😢
  • Update Di 15.11., 8:20 Uhr: Tatsächlich gibt es noch einige Fehler (zum Glück überwiegend kleinere) im System. Wir haben derzeit aber die meiste Arbeit damit, die Meldungen der Nutzer über die verschiedensten Kanäle zu überblicken. Aus diesen Grund wird die Kommentarfunktion in diesem Blog vorübergehend deaktiviert. Wenn Sie eine Fehlfunktion finden, melden Sie diese bitte direkt über Ihren HiOrg-Server, im Bereich „System – Wunschliste“ bzw. schauen dort nach, ob das Problem bereits gemeldet wurde. Wir arbeiten mit Hochdruck daran, dass Sie möglichst schnell wieder mit einem guten und fehlerfreien HiOrg-Server arbeiten können.

Wartung HiOrg-ServerAm Sonntag, 13.11.2016 werden wir ab 21 Uhr ein sehr umfangreiches Update ins Produktivsystem einspielen. Die dazu notwendigen Wartungsarbeiten werden mindestens bis Montag, 14.11.2016 gegen 13 Uhr dauern – in dieser Zeit werden Sie teilweise nur lesend auf HiOrg-Server zugreifen können, für einige Arbeitsschritte muss der Zugriff auch komplett unterbrochen werden.

Wenn Sie auch während des Wartungsfensters auf die wichtigsten Daten aus Ihrem HiOrg-Server zugreifen müssen, empfehlen wir Ihnen die vorherige Synchronisation der Daten mit der Mobilgeräte-App für Android.

Sie dürfen gespannt sein, wir haben einige grundlegende Änderungen und Erweiterungen vorgenommen, mit denen Sie dann im Laufe des Montag Vormittag in die neue Woche starten können. Näheres dazu erzählen wir nächste Woche hier im Blog.
Aber weil Vorfreude die schönste Freude ist, hier schon ein kleines Bildchen für Sie:

Preview Update Übersicht

Update 14.11.2016, 7:40 Uhr: Vorr. Verfügbarkeit ab 13 Uhr konkretisiert.

Seit 2 Tagen ist die Einlieferung von Mails an AOL gestört, bzw. unser Mailserver ist seitens AOL mit einem Limit belegt, so dass pro Stunde nur eine geringe Anzahl Mails von AOL akzeptiert und zugestellt werden. Dies führt dazu, dass Mails an AOL-Empfänger derzeit stark zeitverzögert zugestellt werden.

Wir haben bereits gestern Kontakt mit AOL diesbezüglich aufgenommen, und hoffen auf eine rasche Lösung des Problems.