Nur wenige Monate nach Entdeckung des durch die Medien bekannten Heartbleed-Fehlers (und rascher Behebung auf unserem Server) wurde gestern eine weitere Sicherheitslücke offengelegt, die auf den Namen „POODLE“ getauft wurde. Dabei kann ein Angreifer die Nutzung eines älteren Verschlüsselungs-Protokolls erzwingen, und dann alle Informationen aus Ihrer Verbindung mitlesen. Da unsere Nutzer mit sehr brisanten Personendaten (eigene Mitarbeiter, Kunden und Kursteilnehmer) umgehen, ist die Sicherheit der übermittelten Daten um so wichtiger.

Um diese Lücke auch rasch und sicher zu schließen, haben wir das betroffene veraltete Verschlüsselungsprotokoll sofort abgeschaltet. Dies hat auf alle halbwegs modernen Browser keine Auswirkung – lediglich Nutzer mit Internet Explorer 6 und älter (weniger als 0,1 % unserer Zugriffe) können den HiOrg-Server nun nicht mehr nutzen. Wir empfehlen zur Nutzung von HiOrg-Server beispielsweise Mozilla Firefox oder Google Chrome: diese Browser sind nach derzeitigem Stand der Technik nicht nur sicher und performant, sondern verfügen auch über einen sehr effizienten Mechanismus zur eigenständigen Aktualisierung.

Ende Oktober werden wir noch einen weiteren Schritt im Sinne Ihrer Sicherheit unternehmen und ein neues, hochwertigeres Sicherheitszertifikat für den HiOrg-Servers aktivieren. Bislang haben wir diesen Schritt hinausgezögert, um Benutzer mit älteren Browsern nicht überraschend „auszusperren“. Um ab November auf den HiOrg-Server zugreifen zu können, müssen Sie einen aktuellen Browser benutzen – Nutzer von Windows XP benötigen mindestens Service Pack 3.

Weitere Informationen zu Datenschutz und Datensicherheit bei HiOrg-Server

Im Laufe der vergangenen Jahre nahm das Aufkommen von E-Mail-SPAM und -Phishing kontinuierlich zu, auch die dabei verwendeten Techniken wurden immer raffinierter. Im Gegenzug entwickeln auch die Anbieter von E-Mail-Diensten immer komplexere Methoden, um solche unerwünschten Nachrichten zu erkennen und auszufiltern, damit die E-Mail-Kommunikation überhaupt noch möglich bleibt und die Benutzer die wenigen „echten“ E-Mails zwischen hunderten SPAM-Mails nicht übersehen.

Neben Blacklists und Inhaltserkennung werden zunehmend auch Techniken wie SPF und DKIM eingesetzt, und gerade in den vergangenen Monaten von immer mehr E-Mail-Diensten scharfgeschaltet. Dies konnte dann (je nach Empfänger) zu Problemen bei der E-Mail-Zustellung führen, insbesondere wenn Sie bei den Einstellungen im HiOrg-Server E-Mail-Adressen von gängigen Freemail-Diensten hinterlegt haben.

Um das Problem nachhaltig zu lösen und sicherzustellen, dass künftig die von Ihrem HiOrg-Server versandten E-Mails zuverlässig im Posteingang des Empfängers ankommen, haben wir einen heute einen nagelneuen E-Mail-Server in Betrieb genommen.

Damit werden zukünftig alle E-Mails die Sie über Ihren HiOrg-Server versenden, automatisch „in einen zusätzlichen Umschlag gesteckt“ und dieser über die Absender-Domain ….@users.hiorg-server.de versandt, somit kann SPF eingesetzt werden. Da die meisten E-Mail-Programme diesen „zusätzlichen Umschlag“ als solchen erkennen, wird beim Empfänger trotzdem Ihre eigentliche E-Mail-Adresse angezeigt. Im Sinne des Datenschutz erfolgt der Transport zum Zielserver auch mit einer aktuellen Verschlüsselung mit SHA256-Zertifikat – sofern der Zielserver dies unterstützt.

Die gute Nachricht zum Schluss: trotz dieser Umstellung müssen Sie selbst nichts unternehmen. Nur wenn Sie die Adresse unseres Mailservers bisher in einer „Whitelist“ Ihres Mailservers eingetragen hatten, oder sehr spezielle Filter einsetzen um nach der „Envelope-From“-Angabe in Mails zu filtern, kann es notwendig sein diese anzupassen.

Übersichts-Artikel zum Thema: heise.de/-221505

Die Themen Datenschutz und Datensicherheit spielen bei HiOrg-Server eine große Rolle: Sie als Nutzer speichern und verarbeiten nicht nur die sensiblen Daten Ihrer Mitarbeiter (wie Kontaktdaten, Bankdaten, Fotos, Dokumente), sondern auch unternehmenskritische Daten zu Ihren Kundenbeziehungen oder zu geplanten Einsätzen oder Ausbildungen.

Damit Sie keine Angst vor einem Datenverlust oder Hackerangriff haben müssen, sondern sich jederzeit auf Ihren HiOrg-Server verlassen können, arbeiten wir nach einem sorgfältig erarbeiteten Konzept sowie internen Vorschriften und Richtlinien, welche deutlich über das gesetzlich geforderte Niveau hinaus gehen. Alle von uns genutzten Server werden in Deutschland betrieben, das Produktivsystem ist in einem besonders hochwertigen Rechenzentrum untergebracht.

Obwohl wir viele Infos zu diesen Themen auf unserer Infoseite „Datenschutz und Datensicherheit“ bereitstellen und verständlich erklären, ersetzt dies nicht die Prüfung durch eine externe Stelle. Auf Veranlassung des bayerischen Landesamtes für Datenschutzaufsicht wurde Ende Juni vor Ort in St. Ingbert ein routinemäßiges Datenschutz-Audit durchgeführt. Die beiden angereisten Landes-Datenschutzbeauftragten des DRK nahmen dabei nicht nur Verträge und Konzepte oder Funktionen der Software, sondern auch die Sicherheitsmaßnahmen des Rechenzentrum ganz genau unter die Lupe.

Inzwischen liegt uns der insgesamt sehr positive Prüfbericht vor, welcher nur einige unkritische Verbesserungsvorschläge enthält. Alle diese Vorschläge haben wir in den letzten drei Wochen umgesetzt, daraus haben sich folgende Änderungen ergeben:

  • Passwort-Richtlinien - Klick zum Vergrößern

    Passwort-Richtlinien können vom Admin im Bereich „System – Einstellungen – Sonstiges“ angepasst werden.

    die Passwörter zum Login müssen zukünftig bestimmten Mindest-Anforderungen entsprechen (Länge 8 Zeichen, mind. 1 Zahl, 1 Groß- und 1 Kleinbuchstabe). Der Admin kann diese Anforderungen weiter noch verfeinern, im Bereich „System – Einstellungen – Sonstiges“: siehe Screenshot.

  • unter dem neuen Punkt „System – Datenpflege – Bereinigen“ können mit nur wenigen Klicks alte Daten gelöscht werden, wenn diese nicht mehr benötigt werden.
  • die Bankdaten aller Mitglieder sind grundsätzlich als „versteckt“ gekennzeichnet und können nur von Mitgliedern des Leitungsteams eingesehen werden. Eine Änderung dieser Einstellung durch das Mitglied oder einen Admin ist nicht möglich.
  • die in der Mitgliederliste angezeigten Fotos der Mitglieder sind mit mehreren Techniken vor einer lokalen Speicherung (und z.B. unerlaubter Nutzung in sozialen Netzwerken) gesichert.
  • in zukünftig abgeschlossenen Nutzungsverträgen wird ausdrücklich darauf hingewiesen, dass 1 Monat nach Kündigung automatisch und ohne Rückfrage alle Kundendaten gelöscht werden.

Wenn Sie eine Frage zu dieser Thematik haben, die auch auf unserer Infoseite Datenschutz und Datensicherheit nicht beantwortet wird, sprechen Sie uns einfach darauf an!

Bei der Überarbeitung bestehender, sowie der Entwicklung neuer Funktionen für den HiOrg-Server wollen wir zunehmend moderne Techniken einsetzen, um Ihnen ein aktuelles, stabiles und performantes System anzubieten.

Dies bedeutet jedoch, dass der von Ihnen genutzte Internet-Browser diese Techniken auch verstehen, und korrekt umsetzen muss. Bei der Entwicklung nutzen wir daher nur Techniken, welche mindestens von den beiden letzten Versionen der am weitesten verbreiteten Browser-Modelle vollständig unterstützt werden.

Ie8_1Leider wird der Internet Explorer 8 immer noch von etwa 7% unserer Nutzer eingesetzt, obwohl dieser seit mehr als einem Jahr veraltet ist (im Oktober 2012 wurde bereits die Version 10 veröffentlicht, aktuell ist Version 11). Seit Anfang April 2014 hat Microsoft offiziell die Sicherheitsupdates für den Browser eingestellt und inzwischen wurde auch schon eine große Sicherheitslücke bekannt, die von Kriminellen aktiv ausgenutzt und seitens des Herstellers nicht mehr geschlossen wird. Ab 15. Mai 2014 werden wir diese veraltete Version offiziell nicht mehr unterstützen, es kann dann zu Fehlfunktionen des HiOrg-Server kommen.

Bitte überprüfen Sie hier, ob der von Ihnen eingesetzte Browser aktuell ist und somit den Anforderungen von HiOrg-Server entspricht. Wenn Sie noch (das ebenfalls veraltete) Windows XP einsetzen, müssen Sie vermutlich auf ein anderes Browser-Modell ausweichen, da IE 8 die letzte von diesem Betriebssystem unterstützte Version ist.

Wir empfehlen generell die Nutzung von HiOrg-Server mit Mozilla Firefox oder Google Chrome: diese Browser sind nicht nur sicher und performant, sondern verfügen auch über einen sehr effizienten Mechanismus zur eigenständigen Aktualisierung.

Roadmap 2014Da HiOrg-Server ständig weiterentwickelt wird, erreichen uns immer wieder Fragen, wann und wie diese oder jene Funktion künftig umgesetzt wird. Wie bereits im letzten Jahr, möchten wir Ihnen auch heute nochmal einen kleinen Einblick geben, wohin die Reise in den kommenden Monaten gehen soll.

Bei der Erstellung unserers „Fahrplans“ orientieren wir uns sehr stark an der Wunschliste (im HiOrg-Server unter dem Menüpunkt System > Wunschliste), wo alle Anregungen unserer Nutzer gesammelt werden. Dort finden sich kleinere Detail-Wünsche, aber auch Ideen für umfassende Umgestaltungen. Meist kombinieren wir mehrere einzelne Punkte und so entsteht dann der Plan für ein größeres Update eines gesamten Funktionsbereiches.
Für das kommende Jahr sind folgende Erweiterungen geplant:

  • Zuordnung von Material und Fahrzeugen zu Einsätzen, Terminen und Kursen. Nach dem Einsatz verbrauchtes / defektes / verschwundenes Material erfassen.
  • Posten auf externem Anforderungsformular direkt aus Material-Bestand wählbar
  • Möglichkeit zur Raum-Buchung (Belegungsplan)
  • Archiv der über HiOrg-Server versandten E-Mails / SMS
  • digitale Fahrtenbücher, nach dem Einsatz Fahrtenbuch für mitgeführte Fahrzeuge abfragen
  • Schlüsselverwaltung
  • überarbeitete Rechnungsstellung für Einsätze und verbesserter Kostenvoranschlag
  • Abrechnung Fahrtgelder nach verschiedenen Formeln, dabei sind die Abfrage der Anfahrtskilometer bei Einsatz-Ende oder Festlegung in den Mitgliedsdaten des Helfers denkbar
  • eigene Helferstunden einreichen
  • Helferstunden für Aufgaben
  • Filtern der Helferstunden nach Anforderungen (bspw. Blutspende, Sanitätsdienst, usw.)
  • Überarbeitung der Einsatz-Meldung (neuer Dialog mit Bemerkungsfeld bei Meldung, evtl. zusätzlichem Button „vielleicht“)
  • Dienststellungen bei Einsätzen wählbar, besondere Qualifikation / Praktikanten-Plätze bei Einsätzen
  • Wiederholung für Einsätze
  • Erweiterung der Dokumente und Barcodes für Dienste / Termine / Kurse / Aufgaben
  • Ausweitung Adressen-Verwaltung auf Veranstalter und Veranstaltungsorte, Erweiterung um eine Maps-Komponente zur exakten Ortsmarkierung
  • direkter Versand von Formularen per E-Mail oder Fax (Empfänger-Auswahl aus Adressenverwaltung)
  • Rechnungsstellung an Firma / BG (K)*
  • Überarbeitung der Teilnehmerliste, Hinterlegung der zuständigen BG beim Teilnehmer, Ausdruck der Formulare für Kurse wahlweise nach Firma / BG getrennt (K)*
  • Überarbeitung der Erinnerungsfunktion auf Basis der TN eines Kurstyps (K)*
  • automatische Vergabe von Kursnummern (K)*
  • Optimierung des Servers für Darstellung auf Mobilgeräten, somit einfacherer Zugriff auch über Windows Phone und Blackberry möglich
  • Neustrukturierung Preismodell SMS-Versand

*(K): diese Funktionen werden nur in der Vollversion HiOrg-Server KURSE verfügbar sein.

Natürlich ist diese Liste nicht in der genauen Reihenfolge sortiert und auch nicht unumstößlich. Parallel zu den kleineren Verbesserungen, die wir fast täglich an den unterschiedlichsten Stellen in HiOrg-Server vornehmen, arbeiten wir an diesen genannten, größeren Updates. Da bei der Umsetzung mehrere Personen / Teams beteiligt sind, werden meist einige dieser Projekte zeitgleich bearbeitet.

Falls Ihnen beim Lesen eigene Vorschläge in den Sinn gekommen sind, so tragen Sie diese ganz einfach im HiOrg-Server unter System > Wunschliste ein.

Vor dem Hintergrund der aktuellen Sicherheitsdiskussionen, hier ein paar Infos zur Datenverschlüsselung im HiOrg-Server.

Bestimmt haben Sie in den letzten Tagen schon gehört, dass das RC4-Verfahren, welches meist beim sicheren Zugriff auf Webseiten eingesetzt wird, nicht mehr als sicher gilt.
Wir setzen bereits seit 2 Jahren hochwertigere Verschlüsselungstechniken ein (bspw. Perfect Forward Secrecy, kurz: PFS), die von einem modernen Browser automatisch genutzt werden. Daher empfehlen wir grundsätzlich die Nutzung von Mozilla Firefox oder Google Chrome, die PFS im Gegensatz zu bspw. Internet Explorer bereits unterstützen.

Weitere Hintergrundinfos zur Problematik bei heise.de und Datenschutz & Datensicherheit bei HiOrg-Server

Kürzlich haben wir eine weitere Schnittstelle im HiOrg-Server freigegeben: Ab sofort können Sie ganz einfach eine Verknüpfung zur neuen Plattform rotkreuzkurs.de aktivieren, damit dort die von Ihnen angebotenen Führerscheinkurse zielgruppengerecht angezeigt werden.

Einfach Einrichten

Zur Einrichtung dieser dauerhaften Synchronisation sind nur einmalig wenige Schritte notwendig. Eine ausführliche Anleitung finden Sie in unserem Handbuch unter http://wiki.hiorg-server.de/
Für die DRK-seitige Freischaltung und nähere Informationen zu rotkreuzkurs.de, setzen Sie sich bitte mit Ihrem zuständigen Landesverband in Verbindung.

Arbeitserleichterung durch Schnittstellen

Diese neue Anbindungsmöglichkeit bildet eine schöne Erweiterung unserer bereits bestehenden Schnittstellen:

Für die Zukunft streben wir die Verknüpfung mit ähnlichen Datenbanken anderer Organisationen an und haben ein offenes Ohr für Ihren Wunsch nach weiteren (sinnvollen) Schnittstellen. Bitte melden Sie sich einfach bei uns.

Wir wünschen Ihnen viel Freude mit unserer neuen Schnittstelle und sind bei Fragen oder Problemen wie immer für Sie da: E-Mail genügt!