Schlagwortarchiv für: Datensicherheit

In den letzten Wochen haben wir mehrere sicherheitsrelevante Updates durchgeführt. Diese passieren meist im Hintergrund, manchmal wirken sie sich aber auch auf das bestehende System aus. Aus diesem Grund gibt es hier eine kurze Zusammenfassung der Änderungen:

Update PDF-Wandler

Um PDF-Dateien für Formulare oder bspw. Teilnahmebescheinigungen zu erzeugen, bietet HiOrg-Server unterschiedliche Versionen des PDF-Wandlers „dompdf“ an. Wie bereits vor längerem angekündigt, wurden die veralteten Versionen dompdf 0.5.1 oder dompdf 0.6.1 aufgrund von regelmäßigen Sicherheitsupdates nun endgültig abgeschaltet.
Weitere Hinweise finden Sie in unserem vorigen Beitrag, zusätzlich haben wir in unserem Handbuch einen Leitfaden zur Migration von Vorlagen bereitgestellt. Bitte kontrollieren Sie Ihren Vorlagen und aktualisieren Sie diese bei Bedarf.

Abschaltung der öffentlichen Kursangebote (alte Version)

Mit HiOrg-Server KURSE können Ausbildungsangebote nicht nur verwaltet, sondern auch direkt auf der eigenen Webseite eingebunden werden. So können sich potentielle Teilnehmer bequem informieren, zum gewählten Kurstermin anmelden und auf Wunsch direkt per PayPal bezahlen.

Ende 2020 haben wir die neue Oberfläche für öffentliche Kursangebote und Teilnehmeranmeldung vorgestellt, die mittels neuem Link eingebunden werden kann. Im Zuge der laufenden Updates wurde die alte Darstellung nun komplett entfernt und ist nicht länger verfügbar. Sollten Sie es noch nicht getan haben, so müssen Sie die Verknüpfung auf Ihrer Webseite JETZT zwingend austauschen, um weiterhin Kursangebote aus HiOrg-Server präsentieren zu können.

Nachtrag zu Log4J

Im Dezember sorgte eine kritische Sicherheitslücke in der Java-Bibliothek Log4J für Aufregung. Zu diesem Thema haben uns mehrere Nachfragen erreicht.
Die Anwendung HiOrg-Server benötigt zur Ausführung kein Java. Auch auf den Servern, die unmittelbar der Bereitstellung der HiOrg-Server-Anwendung dienen, wird kein Paket eingesetzt welches das betroffene Modul nutzt. Somit ist die HiOrg-Server Kernanwendung von der Lücke nicht betroffen. Von den Anbietern unserer internen Entwicklungsumgebung, Kommunikations- und Projektsoftware gibt es öffentliche Statements, dass die jeweils von uns eingesetzte Software nicht betroffen ist.

Darüber hinaus betreiben wir auf getrennten Servern weitere Dienste, z.B. ein Ticketsystem zur Beantwortung von Supportanfragen und Qualitätsanalyse von Sourcecode. Diese Systeme waren grundsätzlich theoretisch angreifbar, sind jedoch überwiegend nur aus unserem internen Netzwerk erreichbar.  Wir haben trotzdem unmittelbar nach Bekanntwerden der Log4J-Lücke die jeweils von den Herstellern empfohlenen Sofort-Absicherungsmaßnahmen getroffen und nach Verfügbarkeit die entsprechenden Updates eingespielt, so dass wir auch hier keiner Gefahr mehr ausgesetzt sind.

Die Priorität unseres Unternehmens ist die zuverlässige Bereitstellung eines stabilen und fehlerfreien Systems, welches dauerhaft erreichbar und nutzbar ist. Bei Fragen zu diesem oder anderen Themen kontaktieren Sie uns bitte einfach.

Die Zeiten ändern sich… Dieser Beitrag wurde vor über 4 Jahren erstellt. Der Inhalt könnte daher veraltet sein.

Der Stichtag für die Wirksameit der Datenschutz-Grundverordnung (DS-GVO) kommt näher, und die Sensibilität im Bezug auf dieses wichtige Thema wächst spürbar. Wir merken dies an der erhöhten Anzahl von Rückfragen, aber auch an verunsicherten Aussagen wie „…man weiß ja nicht so genau, wie das bei HiOrg-Server so läuft“, die an uns herangetragen wurden.
In diesem Beitrag wollen wir Sie daher über die Relevanz der Themen Datenschutz und Datensicherheit bei HiOrg-Server, sowie insbesondere über die Änderungen anlässlich der gesetzlichen Neuregelungen informieren.

Schon seit Jahren liegt uns bei der Entwicklung und dem Betrieb von HiOrg-Server der Schutz und die Sicherheit der Nutzerdaten sehr am Herzen. Vor längerem haben wir beispielsweise über ein erfolgreiches externes Datenschutz-Audit berichtet und auch auf unserer Infoseite stellen wir viele Informationen zum Umgang mit Nutzerdaten bereit, die wir natürlich streng nach allen relevanten Datenschutz-Richtlinien behandeln.

Dazu gehört auch, dass wir schon seit langer Zeit unseren Kunden nahelegen eine besondere Vereinbarung zur Auftragsdatenvereinbarung mit uns abzuschließen. Obwohl diese schon umfangreicher und konkreter ausgearbeitet war als das bisher gültige BDSG es gefordert hatte, gibt es nach der neuen Gesetzeslage nun einige Anforderungen an eine solche Vereinbarung, welche in unserer bestehenden Vorlage nicht erfasst waren.

Aus diesem Grund haben wir bereits eine aktualisierte DV-Vereinbarung erarbeitet, die allen Anforderungen der DS-GVO und des BDSG-neu (sowie der entsprechenden DSG der Kirchen) genügt, und auch eine aktualisierte Version der „Anlage technische und organisatorische Maßnahmen (TOM)“ enthält.

Leider liegt diese Vereinbarung derzeit (Stand: 04.05.2018) noch zur Prüfung beim unabhängigen Datenschutzzentrum Saarland, ebenso steht die abschließende Freigabe seitens unseres Haupt-Rechenzentrums (als Co-Autor der Anlage TOM) noch aus.
Sobald diese Prüfungen abgeschlossen sind, werden Sie als Admin die neue Vereinbarung über einen entsprechenden Hinweis direkt in Ihrem HiOrg-Server erhalten.

„Privacy by design“ und „Privacy by default“

Die von der DS-GVO geforderten Punkte Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen setzen wir im HiOrg-Server z.B. so um, dass in sämtlichen Formularmasken nur die Daten als Pflichtfelder abgefragt werden, die zwingend zur Bearbeitung des Datensatzes erforderlich sind. Diese Datenfelder erkennen Sie an einem * neben dem Eingabefeld („Datensparsamkeit“).
Grundsätzlich ist durch personalisierte Zugänge für jeden Benutzer und das differenzierte Rechtesystem gewährleistet, dass jeder Nutzer nur die Daten sehen kann, die er aufgrund seiner Aufgaben und Tätigkeiten in der Organisation auch sehen darf und zu seiner Arbeit benötigt („Privacy by Design“). Zusätzlich werden schon seit Jahren sämtliche Daten über eine verschlüsselte Verbindung übertragen, damit es „unterwegs“ nicht zu Datendiebstahl kommt.

Im System kann jedes Mitglied selbst wählen, welche seiner persönlichen Daten für andere Mitglieder sichtbar sein dürfen: dazu kann das „Schloss“-Symbol vor jedem Datenfeld geöffnet oder geschlossen werden. Bei der Anlage eines neuen Mitgliedes sind diese Schlösser grundsätzlich „geschlossen“ („Privacy by default“). Sie als Admin können in den System-Einstellungen sogar festlegen, dass diese Daten immer geschützt sind und auch vom Mitglied nicht freigegeben werden dürfen. Generell empfehlen wir außerdem, dass Sie Ihre Mitglieder motivieren, ihre personenbezogenen Daten selbstständig einzutragen und zu pflegen.

Checkbox auf Anforderungsformular / Teilnehmeranmeldung

Werden mittels eines Kontaktformulars personenbezogene Daten übertragen, so sollte dies erst geschehen, nachdem der Nutzer über die Verwendung der Daten informiert wurde und aktiv seine Zustimmung gegeben hat. Wir haben dazu die öffentlichen Formulare zur Dienstanforderung (HiOrg-Server PRO) und die Teilnehmeranmeldung (HiOrg-Server KURSE), welche Sie in Ihrer Webseite einbinden können, entsprechend angepasst. Zukünftig gibt es eine Checkbox für die Einwilligung zur Datenverarbeitung. Diese muss der Nutzer aktivieren, bevor die Daten abgesendet werden können.
Da die Bedürfnisse für die Beschriftung dieser Checkbox individuell abweichen und wir keine Rechtsberatung geben können, lassen sich die Texte im Menü „System > Einstellungen > Rechnungen / Anforderungsformular“ bzw. „System > Einstellungen > Ausbildung allgemein“ einfach anpassen.

BDSG-konforme Mustervorlage „Teilnehmerdatenblatt“

Da die bislang beliebte Teilnehmerliste (in welcher jeder Kursteilnehmer auch die Daten anderer Teilnehmer einsehen kann) bereits jetzt nicht mehr zulässig ist, haben wir in HiOrg-Server KURSE eine neue Mustervorlage hinterlegt. Diese ermöglicht unkompliziert die Ausgabe der Teilnehmerdaten auf einzelne Blätter, so wie es das BDSG vorsieht. Bitte achten Sie darauf, dass die Häkchen „bei Anzeige ins PDF-Format umwandeln“ und  neue Seite nach 1 Kursteilnehmer“ gesetzt sind. Jedem Teilnehmer kann dann sein individuelles Blatt zur Unterschrift und Überprüfung seiner Daten ausgehändigt werden.

Bei Fragen zu HiOrg-Server in Verbindung mit der DS-GVO können Sie sich jederzeit an uns wenden. Wir helfen Ihnen gerne weiter.

Die Zeiten ändern sich… Dieser Beitrag wurde vor über 6 Jahren erstellt. Der Inhalt könnte daher veraltet sein.

Datensicherheit beginnt am eigenen Arbeitsplatz. Um Sie an dieser Stelle aktiv zu unterstützen, meldet HiOrg-Server den angemeldeten Nutzer nach 30 Minuten Inaktivität (= ohne Aufruf einer neuen Seite) selbstständig vom System ab. Diese Zeit kann über die Anzeige am Fuß der Menüleiste kontrolliert werden.
Manchmal dauert das Tippen einer Rundmail aber einfach ein wenig länger, und damit dabei trotzdem nichts verloren geht, warnt HiOrg-Server rechtzeitig vor dem Logout und die Zeitspanne kann bequem per Klick verlängert werden.

Sitzung inaktiv

Wem das noch nicht genug ist, der hat zusätzlich auch die Möglichkeit, den automatischen Logout durch Klick auf die Zeitanzeige zu deaktivieren. Bitte denken Sie daran, am Ende Ihrer Arbeit das Browserfenster zu schließen oder besser noch: sich über einen Klick auf „Logout“ ganz oben im Menü aktiv abzumelden.

Sitzung bleibt aktiv