LQPP/Betriebsdoku

Aus Piratenwiki Mirror
Zur Navigation springen Zur Suche springen

Einleitung

Der Vorstand der Piratenpartei Deutschland betreibt die Software LiquidFeedback zur Findung von Meinungsbildern.

Die Software besteht aus zwei Teilen, und zwar zum einen LiquidFeedback-Core, bestehend aus einer PostgreSQL-Datenbank und Dienstprogrammen, sowie zum anderen LiquidFeedback-Frontend, welches ein Webfrontend zur Datenbank von LiquidFeedback-Core ist. Zum Betrieb der Software werden abhängige Softwarekomponenten sowie weitere Dienstprogramme benötigt.

Auf den folgenden Seiten veröffentlicht der Anbieter Informationen zur Software sowie die Software selber unter einer MIT/X11-Lizenz zur freien Verwendung durch jeden:

Formale Grundlage des LiquidFeedback-Systembetriebs bilden die folgenden Beschlüsse:


Der Systembetrieb gliedert sich in drei Bereiche:

  • das LiquidFeedback-System
  • die Clearingstelle sowie
  • der Abgleich mit der Mitgliederverwaltung.

Die drei Bereiche werden organisatorisch, technisch und personell getrennt betrieben.

Der Betrieb der Mitgliederverwaltung wird in diesem Dokument nur insoweit beschrieben, wie Prozesse des LiquidFeedback-Systembetriebs betroffen sind.

Dieses Dokument wird durch den Vorstand herausgegeben und bildet die Grundlage der Arbeit der beauftragten Mitarbeiter. Die in diesem Dokument beschriebenen Prozesse unterliegen der laufenden Fortentwicklung und stellen eine Mindestanforderung an den Systembetrieb dar.


Herausgegeben durch den

Bundesvorstand der Piratenpartei

vertreten durch


Ort, Datum, Beauftragter


Versionen

1.3 http://wiki.piratenpartei.de/wiki//index.php?title=LQPP/Betriebsdoku&oldid=856866

  • Neuer Prozess: Physikalische Absicherung (Zutrittskontrolle)
  • Neuer Prozess: Protokollierung manueller Datenbankabfragen und -eingaben
  • Neuer Prozess: Sperrung von Accounts nach Verstoß gegen die Nutzungsbedingungen
  • Anpassung des Prozesses "Teilnehmerkreisprüfung" (Rolle des Controllers)
  • Ergänzung um Übersicht über Maßnahmen des Datenschutzes

genehmigt:

1.2 http://wiki.piratenpartei.de/wiki//index.php?title=LQPP/Betriebsdoku&oldid=791316

  • Ergänzungen um Arbeitsdokumente

genehmigt:

1.1 http://wiki.piratenpartei.de/wiki//index.php?title=LQPP/Betriebsdoku&oldid=788431

  • Neuer Prozess: Löschung unzulässiger Inhalte
  • Prozess Kommission ausformuliert
  • Berichtigung im Prozess Referenzschlüssel verloren (Zuständigkeit)
  • Berichtigungen der Datenkategorien (fehlerhafte Erfassung im Urdokument)
  • Ergänzung um Arbeitsdokumente

genehmigt:

1.0 http://wiki.piratenpartei.de/wiki//index.php?title=LQPP/Betriebsdoku&oldid=774088

  • Version zum Zeitpunkt der Inbetriebnahme

genehmigt:

Prozesse LiquidFeedback-System und Clearingstelle

Die in diesem Bereich des Dokumentes aufgeführten Prozesse werden sowohl auf den Betrieb des LiquidFeedback-Systems als auch der Clearingstelle angewendet.

Prozess Änderung Softwarekomponenten

Änderungen an der Auswahl der verwendeten Softwarekomponenten werden durch die Administratoren vorgenommen, sofern dies für den Systembetrieb erforderlich oder zweckdienlich ist. Änderungen an der Auswahl der Softwarekomponenten, die Einfluß auf wesentliche Funktionsmerkmale des Systems haben, bedürfen einer vorherigen Genehmigung durch den Vorstand. Alle Änderungen der verwendeten Softwarekomponenten werden - gegebenenfalls einschließlich der Genehmigung des Vorstands - durch die Administratoren im Verzeichnis der Softwarekomponenten dokumentiert.

Prozess Einspielen Update

Sofern für Softwarekomponenten ein Update zur Verfügung steht, kann dieses durch die Administratoren eingespielt werden. Wenn das Update Einfluß auf wesentliche Funktionsmermale des Systems hat, bedarf das Einspielen einer vorherigen Genehmigung durch den Vorstand. Das Einspielen von Updates wird durch die Administratoren - gegebenenfalls einschließlich der Genehmigung des Vorstands - im Verzeichnis Softwarekomponenten dokumentiert.

Prozess Änderung Konfiguration

Änderungen an der Konfiguration der verwendeten Softwarekomponenten werden durch die Administratoren durchgeführt, sofern dies für den Systembetrieb erforderlich oder zweckdienlich ist. Konfigurationänderungen, die Einfluß auf wesentliche Funktionsmerkmale des Systems haben, bedürfen einer vorherigen Genehmigung durch den Vorstand. Alle Änderungen der Konfiguration sind durch die Administratoren - gegebenenfalls einschließlich der Genehmigung des Vorstands - im Verzeichnis Konfigurationsänderungen zu dokumentieren. Dieses Verzeichnis wird durch die Administratoren nicht-öffentlich geführt. Dem Vorstand wird jederzeit Einsicht gewährt. Das Verzeichnis der Konfigurationsänderungen kann mittels eines Revisionskontrollsystems elektronisch geführt. Der Datenbestand des Revisionskontrollsystems unterliegt dem Prozess Datensicherung.

Prozess Überprüfung auf sicherheitsrelevante Meldungen

Für alle verwendeten Softwarekomponenten werden durch die Administratoren regelmäßig - mindestens wöchentlich - die Seiten mit Sicherheitsmeldungen der Anbieter der eingesetzten Softwarekomponenten auf für den Systembetrieb relevante Meldungen überprüft. Für alle Softwarekomponenten, für die das automatisierte Bereitstellen von Sicherheitsupdates zur Verfügung steht, wird stattdessen regelmäßig durch die Administratoren überprüft, ob Sicherheitsupdates zur Installation anstehen. Sofern sich ergibt, dass Sicherheitsupdates durchzuführen sind, wird nach dem Prozess Einspielen Sicherheitsupdate vorgegangen.

Prozess Einspielen Sicherheitsupdate

Sofern durch den Prozess Überprüfung sicherheitsrelevanter Meldungen oder auf andere Art durch die Administratoren festgestellt wird, dass um den Systembetrieb zu gewährleisten ein Sicherheitsupdate einzuspielen ist, wird dieses Sicherheitsupdate durch die Administratoren unverzüglich eingespielt. Das Einspielen eines Sicherheitsupdates wird entsprechend dem Prozess Einspielen Update dokumentiert.

Prozess Überwachung Verfügbarkeit

Es wird ein automatisiertes Verfahren betrieben, das laufend die Verfügbarkeit der angebotenen Dienste überprüft. Das Verfahren wird derart eingerichtet, dass bei Auftreten einer eine festzulegende Zeitspanne übersteigenden Nichtverfügbarkeit die Administratoren darüber benachrichtigt werden. Bei Kenntniserlangung einer Nichtverfügbarkeit leiten die Administratoren unverzüglich geeignete Maßnahmen zu Wiederherstellung der Verfügbarkeit ein. Die Ereignisse der Nichtverfügbarkeit sind durch das eingesetzte Verfahren zu dokumentieren.

Prozess Überwachung Systemressourcen

Es wird ein automatisiertes Verfahren betrieben, das laufend die für den Systembetrieb relevanten Ressourceninformationen protokolliert. Hierzu gehören insbesondere

  • Auslastung der CPU,
  • Auslastung des Arbeitsspeichers,
  • Auslastung des Festplattenspeichers,
  • Auslastung des Festplatten-IO,
  • Auslastung des Netzwerk-IO.

Die protokollierten Daten werden durch die Administratoren regelmäßig - mindestens wöchentlich - auf bevorstehende Engpässe von Ressourcen überprüft. Wenn aufgrund der protokollierten Daten anzunehmen ist, dass Engpässe an Ressourcen bevorstehen, ergreifen die Administratoren geeignete Maßnahmen um nicht mehr benötigte Ressourcen freizugeben. Sofern anzunehmen ist, dass die zu erwartenden Engpässe nur durch Bereitstellung weiterer Ressourcen vermieden werden können, ist der Vorstand hierüber unverzüglich in Kenntnis zu setzen.

Prozess Datensicherung

Es wird eine automatisierte Sicherung aller für den Systembetrieb relevanten Daten auf eine durch die IT der Piratenpartei unabhängig vom System betriebene DV-Anlage durchgeführt. Besonders schützenswerte Daten sind vor Übertragung unter Anwendung eines dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Der Schlüssel zur Entschlüsselung der Datensicherung wird durch die Administratoren aufbewahrt und zusätzlich beim Vorstand hinterlegt. Die Sicherung wird zumindest täglich durchgeführt. Es werden die Sicherungen zumindest der letzten 7 Tage aufbewahrt. Die Sicherungen werden spätestens nach 6 Monaten gelöscht.

Prozess Überprüfung der Datensicherung

Es wird regelmäßig - zumindest einmal im Quartal - durch geeignete Maßnahmen durch die Administratoren geprüft, ob ein Wiedereinspielen einer Datensicherung tatsächlich durchführbar wäre. Der Systembetrieb darf dabei nicht beeinträchtigt werden. Im Rahmen der Prüfung wiederhergestellte Daten werden unverzüglich nach Abschluß der Überprüfung gelöscht.

Prozess Wiederherstellung einer Datensicherung

Sofern sich zur Durchführung des Systembetriebs die Notwendigkeit ergibt, Datensicherungen ganz oder teilweise wiederherzustellen, wird dies durch die Administratoren durchgeführt. Sofern dabei Bestands- oder Nutzungsdaten des Systems wiederhergestellt werden, bedarf dies einer vorherigunden Genehmigung durch den Vorstand. Wenn die Datensicherung ganz oder teilweise nicht wiederhergestellt werden kann, teilen die Administratoren dies dem Vorstand mit. Die Wiederherstellung, einschließlich erfolgloser Versuche, von Datensicherungen wird durch die Administratoren dokumentiert.

Prozess Zugriffsberechtigung

Die Zugriffsberechtigung "Teilnehmer" wird durch die Mitgliederverwaltung bei Parteieintritt erteilt und bei Austritt wieder entzogen. Die Erteilung und der Entzug der Zugriffsberechtigung wird durch die Mitgliederverwaltung im entsprechenden Verzeichnis dokumentiert. Das nähere Verfahren wird in den unter Abgleich Mitgliederverwaltung und LiquidFeedback-System dargestellten Prozessen beschrieben.

Die Zugriffsberechtigung "Administrator LiquidFeedback" sowie "Administrator Clearingstelle" wird durch den Vorstand erteilt und auch wieder entzogen. Das Erteilen bzw. der Entzug der Berechtigung wird durch den Vorstand im entsprechenden Verzeichnis Zugriffsberechtigungen dokumentiert. Die Zugriffsberechtigung darf nur durch die Person ausgeübt werden, der sie erteilt wurde. Eine Weitergabe der Zugriffsberechtigung ist unzulässig. Die technische Durchführung der Erteilung bzw. des Entzugs des Zugriffs erfolgt durch die Administratoren.

Prozess Sicherheitsaudit

Zur unabhängigen fachlichen Überprüfung der sicherheitsrelevanten organisatorischen und technischen Maßnahmen des Betriebs von LiquidFeedback wird ein fortlaufendes IT-Sicherheitsaudit durchgeführt. Dieses wird durch den Vorstand beauftragt. Sofern aufgrund dieses Prozesses Mängel an Prozessen festgestellt werden, werden durch den Vorstand geeignete Änderungen vorgenommen, um diese abzustellen. Sofern Mängel an der Ausführung der Prozesse festgestellt werden, werden durch die Ausführenden geeignete Maßnahmen getroffen, um diese abzustellen. Der IT-Sicherheitsbeauftragte berichtet regelmäßig - zumindest halbjährlich - schriftlich über seine Tätigkeit an den Vorstand.

Prozess Erreichbarkeit in dringlichen Angelegenheiten

Jede an den in diesem Dokument beschriebenen Prozessen beteiligten Stellen stellt einen Rufnummernplan auf, der die Reihenfolge festlegt, in der die Mitarbeiter der Stelle im Falle einer dringlichen Angelegenheit durch die anderen beteiligten Stellen erreichbar sind. Die Rufnummernpläne werden nicht-öffentlich geführt und werden den anderen beteiligten Stellen bekanntgegeben. Änderungen an einem Rufnummernplan werden unverzüglich allen anderen beteiligten Stellen bekanntgegeben.

Prozess Disaster Recovery

Dieser Prozess wird nach dem Eintritt von Unglücksfällen, wie beispielsweise technischen oder menschlichen Fehlern, Naturereignissen, oder ausserrechtliche Zuständen, angewendet. Die einzelnen Unterbereiche finden nur Anwendung, wenn es aufgrund des Unglücksfalls notwendig oder zweckmässig ist.

Überprüfung und ggfs. Wiederherstellung der personellen Arbeitsfähigkeit

Es wird durch den Vorstand geprüft, ob die personelle Arbeitsfähigkeit der beauftragten Administratoren gegeben ist. Im Bedarfsfalle sind weitere Administratoren zu beauftragen.

Überprüfung und ggfs. Wiederherstellung der Infrastruktur- und Hardwarekomponenten

Die Administratoren überprüfen die Funktionsfähigkeit der Infrastruktur- und Hardwarekomponenten und vergewissern sich ggfs. von der Arbeitsfähigkeit der beauftragten Rechenzentren. Sofern Infrastruktur- oder Hardwarekomponenten ersetzt werden müssen oder ein beauftragtes Rechenzentrum nicht mehr arbeitsfähig ist, teilen die Administratoren dies dem Vorstand unter Angabe von Lösungsmöglichkeiten mit.

Überprüfung und ggfs. Wiederherstellung der Softwarekomponenten und Konfiguration

Die Administratoren überprüfen alle verwendeten Softwarekomponenten einschließlich ihrer Konfiguration auf Funktionsfähigkeit. Sofern Softwarekomponenten nicht funktionsfähig sind, werden diese durch die Administratoren erneut eingespielt. Hierbei wird jeweils die letzte im Verzeichnis Softwarekomponenten dokumentierte Version eingespielt. Sind Konfigurationsdaten fehlerhaft oder verloren, werden diese von den Administratoren durch den jeweils letzten durch den Prozess Änderung Konfiguration dokumentierten Konfigurationsstand ersetzt. Sofern die Softwarekomponenten einschließlich ihrer Konfiguration in erheblichem Maße verloren oder anderweitig funktionsunfähig sind, wird das entsprechende Rechnersystem - entsprechend dem Dokument Installationsskript sowie den vorgenannten Regelungen hinsichtlich der Versionen der Softwarekomponenten und der Konfiguration - durch die Administratoren vollständig neu eingerichtet.

Überprüfung und ggfs. Wiederherstellung von Daten

Die Administratoren überprüfen, ob die Daten des Systems vollständig sind. Sofern Daten ganz oder teilweise verloren gegangen sind, werden diese unter Anwendung des Prozess Wiederherstellung einer Datensicherung wiederhergestellt.

Löschung unzulässiger Inhalte

Die Administratoren sind dazu berechtigt zweifelsfrei unzulässige Inhalte im Sinne der Nutzungsbebingungen eigenständig zu löschen. Im Zweifelsfalle informieren die Administratoren den Bundesvorstand über fragwürdige Inhalte, falls diese den Administratoren zur Kenntnis kommen. Jede Löschung wird öffentlich dokumentiert.

Prozess physikalische Absicherung (Zutrittskontrolle)

Die für den Systembetrieb von LiquidFeedback sowie Clearingstelle verwendeten Datenverarbeitungsanlagen werden in Rechenzentren betrieben. Die Zutrittskontrolle ist daher nur durch das Rechenzentrum durchführbar. Dies wird bei der Auswahl von Rechenzentren berücksichtigt. Die entsprechenden Verfahrensbeschreibungen der Rechenzentren werden vor Abschluß eines Vertrages geprüft. Im Zweifelsfalle wird der Beauftragte für den Datenschutz zu Rate gezogen.

Prozess Protokollierung manueller Datenbankabfragen und -eingaben

Manuelle Abfragen und Eingaben von Daten in die Datenbank von LiquidFeedback bzw. der Clearingstelle werden durch die Administratoren über SQL-Abfragen durchgeführt. Da über SQL-Anfragen prinzipiell jegliche Art von Abfragen und Eingaben durchführbar sind, werden alle SQL-Abfragen mittels eines sogenannten Wrappers ausgeführt, der die SQL-Abfrage protokolliert. Das direkte Verwenden des Kommandozeilenprogramms zum Zugriff auf die Datenbank unter Umgehung der Protokollierung ist unzulässig. Da die SQL-Abfragen personenbezogene Daten enthalten können, werden diese vor der Protokollierung unter Verwendung eines dem Stand der Technik entsprechenden kryptographischen Verfahren verschlüsselt. Der Schlüssel für die Entschlüsselung wird bei den jeweiligen Administratoren und zusätzlich beim Vorstand verwahrt. Die Integrität dieses Prozesses wird nur gemeinsam mit dem "Prozess Ausführen von Kommandos mit besonderen Privilegien" gewährleistet

Prozess Sperrung von Accounts nach Verstoß gegen die Nutzungsbedingungen

Wenn ein Teilnehmer gegen die Nutzungsbedingungen von LiquidFeedback in einer Weise verstößt, die mit Sperrung sanktioniert ist, sperren die Administratoren den entsprechenden Account zunächst ohne Löschung zugehöriger Daten. Die Sperrung kann vor Ende der Teilnahme auf Anweisung des Vorstands wieder aufgehoben werden. Ein Ende der Teilnahme und die Löschung der entsprechenden Daten findet

  • durch Anweisung des Vorstands
  • oder durch Mitteilung des Besitzers des gesperrten Accounts über die im System hinterlegte Adresse an die Administratoren
  • oder durch den Prozess Statusänderung, wenn der Mitgliederverwaltung ein Ende der Teilnahme angezeigt oder ein neuer Account beantragt wurde
  • oder nach Ablauf vier regulärer Parteitage nach der Sperrung, wenn sie nicht aufgehoben wurde, statt.

Nach Ablauf vier regulärer Parteitage nach der Sperrung wird der gesperrte Account in jedem Fall so behandelt, als wäre die Teilnahme zum Zeitpunkt der Sperrung beendet worden.

Prozesse Abgleich Mitgliederverwaltung und LiquidFeedback-System

Für den Betrieb des Systems ist es erforderlich, dass eine Verknüpfung zwischen dem von der Mitgliederverwaltung geführten Mitglied und dem im LiquidFeedback-System angelegten Teilnehmerkonto hergestellt wird, damit:

  • nur Mitglieder der Partei ein Teilnehmerkonto erlangen können
  • im Falle des Endes der Parteimitgliedschaft oder des vorübergehenden Verlustes des Stimmrechts das Teilnehmerkonto gesperrt werden kann
  • im Falle der Wiedererlangung des Stimmrechts das Konto auch wieder entsperrt werden kann
  • im Falle von Löschungsansprüchen deren Zulässigkeit ermittelt werden kann
  • die ordnungsgemässe Erteilung von Zugangsberechtigungen nachträglich überprüft werden kann
  • im Falle von Rechtsverletzungen durch einen Teilnehmer dieser ermittelt werden kann

Das LF-Teilnehmerkonto wird erst nach Bestätigung der LF-Nutzungsbedingungen durch den Nutzer angelegt und mit einem Einladungsschlüssel verknüpft, den der Nutzer bei der Registrierung vorlegen muss.

Um eine Benutzung des Systems unter Verwendung eines Pseudonyms zu ermöglichen, das nicht durch eine einzelne Stelle aufgelöst werden kann, wird eine doppelte Trennung der Verknüpfungsinformation vorgenommen. Hierzu führt eine Clearingstelle eine Verküpfungsliste, welche Referenzschlüssel zu Einladungsschlüsseln zuordnet. Der Referenzschlüssel wird durch die Mitgliederverwaltung mit dem Datensatz des Mitglieds verknüpft. Der Einladungsschlüssel wird in LiquidFeedback mit dem Teilnehmerkonto verknüpft. Die Auflösung eines Pseudonyms kann somit nur unter Zusammenarbeit aller drei beteiligten Stellen erfolgen. Die Zusammenarbeit der beteiligten Stellen wird durch die folgenden Prozesse beschrieben.

Prozess Neues Mitglied

  1. Die Mitgliederverwaltung fordert von der Clearingstelle die Erstellung einer zu benennenden Anzahl an Schlüsselpaaren an.
  2. Die Clearingstelle erzeugt die vorgegebenen Zahl von in einer Verküpfungsliste zugeordneten Einladungs- und Referenzschlüsseln (Schlüsselpaare).
  3. Die Liste der erzeugten Einladungsschlüssel wird an die Administratoren des LiquidFeedback-Systems übermittelt. Die Einladungsschlüssel sind vor der Übermittlung unter Anwendung eines dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln.
  4. Die Administratoren fügen die Einladungsschlüssel unverzüglich in die Liste der gültigen Einladungsschlüssel des LiquidFeedback-Systems ein, und melden zusätzlich zur Dokumentation (s.u.) dieses zusätzlich der Clearingstelle und der Mitgliederverwaltung.
  5. Nach Vollzugsmeldung wird die Liste der erzeugten Referenzschlüssel an die Mitgliederverwaltung übermittelt. Die Referenzschlüssel sind vor der Übermittlung unter Anwendung eines dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln.
  6. Die Mitgliederverwaltung ordnet jedem neu aufgenommenen Mitglied einen Referenzschlüssel zu und übersendet diesen an das Mitglied.

Die durch die Mitgliederverwaltung und die Clearingstelle ausgeführten Schritte dieses Prozesses werden durch diese im Verzeichnis Erzeugung Schlüsselpaare Referenz-/Einladungsschlüssel sowie im Verzeichnis Versand Referenzschlüssel dokumentiert.

Prozess Statusänderung

Dieser Prozess findet für die Statusänderungen "Verlust der Stimmberechtigung", "Wiedererlangung der Stimmberechtigung" und "Ende der Teilnahme/Parteiaustritt" jeweils getrennt Anwendung.

  1. Schritt - Sammeln der Mitglieder mit Statusänderung durch den Vorstand bis zu einer bestimmten Menge.
  2. Schritt - Sichere Übermittlung der eindeutigen Liste der Referenzschlüssel aus der Mitgliederdatenbank der betroffenen Mitglieder an die Clearingstelle. Kennzeichung der Referenzschlüssel in der Mitgliederdatenbank als ungültig.
  3. Schritt - Abgleich der Liste der Referenzschlüssel mit der Zuordnungsdatenbank durch die Clearingstelle. Erstellung einer Liste der betroffenen Invite-Codes. Kennzeichnung der entsprechenden Zufalls- und Invitecodepaarungen in der Zuordnungsdatenbank als ungültig.
  4. Schritt - Sichere Übermittlung der Invitecode-Liste an die Administratoren des LF-Systems.
  5. Schritt - Durchführen der Statusänderung anhand der Liste der Invitecodes. Die Administratoren berichten - zusammengefasst nach Anzahl der durchgeführten Änderungen - öffentlich an den Vorstand über die getätigten Eingriffe in das LF-System.

Prozess Auflösung der Pseudonymität

Dieser Prozess beschreibt die begründete Auflösung der Identität eines Benutzers. Dieser Prozess wird

  • aufgrund Verfügung eines ordentlichen Gerichts der Bundesrepublik Deutschland oder
  • aufgrund Hilfeersuchens einer berechtigten Stelle der Bundesrepublik Deutschland oder
  • durch Beschluß des zuständigen Schiedsgerichts aufgrund parteischädigenden Verhaltens im Sinne der Satzung oder
  • durch Beschlus der Kommission zur Abwehr von Schaden für die Partei, zur Verhinderung erheblicher Straftaten und bei begründetem Verdacht, dass ein Teilnehmer gleichzeitig mehrere Teilnehmer-Accounts hat oder kontrolliert (Sockenpuppen) eingeleitet.

Die Kommission setzt sich zusammen aus jeweils einem Administrator LiquidFeedback, einem Administrator der Clearingstelle, einem Mitglied der Mitgliederverwaltung, einem Mitglied des Bundesvorstands und dem Datenschutzbeauftragten. Über die Einleitung des Prozesses entscheiden die Kommissionsmitglieder mit absoluter Mehrheit.

Nach Einleitung des Prozesses erfolgt durch den Vorstand eine öffentliche Entscheidung über die Zulässigkeit.

Sofern der Forderung der den Prozess einleitenden Stelle nicht nachgekommen wird, ist dies unter Angabe der Gründe schriftlich mitzuteilen.

Wird durch den Vorstand die Zulässigkeit festgestellt, übermittelt der Vorstand den Administratoren des LiquidFeedback-Systems die zur Identifikation des Teilnehmers nötigen Merkmale. Anhand dieser ermitteln diese den zur Erstellung des Benutzerkontos verwendeten Einladungsschlüssel. Diesen übermitteln sie an die Administratoren der Clearingstelle. Der Einladungsschlüssel ist vor der Übermittlung mit einem dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Die Administratoren der Clearingstelle ermitteln anhand des übermittelten Einladungsschlüssels den Referenzschlüssel, der für die Herausgabe des Einladungsschlüssels gemäß Prozess Neues Mitglied verwendet wurde. Diesen übermitteln sie an die Mitgliederverwaltung. Der Referenzschlüssel ist vor der Übermittlung mit einem dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Mit dem Referenzschlüssel ermittelt die Mitgliederverwaltung die Identität des Mitglieds und übermittelt den Personenstammdatensatz an die anfordernde Stelle. Bei elektronischer Übermittlung sind die Daten vor der Übermittlung mit einem dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Der Vorstand berichtet nach Abschluß des Prozesses öffentlich in anonymisierter Form über den Vorgang.

Prozess Umschlüsselung

Dieser Prozess findet Anwendung wenn die Zuordnung von Mitgliederdaten zu Referenzschlüsseln, Referenzschlüsseln zu Einladungsschlüsseln oder Einladungsschlüsseln zur Benutzerkonton nicht berechtigten Personen bekannt geworden ist. Hierzu wird durch die Administratoren der Clearingstelle für das betreffende Schlüsselpaar ein neues Schlüsselpaar erzeugt, welches das alte ersetzt. Der Mitgliederverwaltung wird die Zuordnung des alten zum neuen Referenzschlüssel übermittelt. Die Referenzschlüssel sind vor der Übermittlung durch ein dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Den Administratoren des LiquidFeedback-Systems wird die Zuordnung des alten zum neuen Einladungsschlüssel übermittelt. Die Einladungsschlüssel sind vor der Übermittlung durch ein dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Sofern ein erheblicher Teil von Zuordnungen nicht berechtigten Personen bekannt geworden sind wird dieser Prozess auf alle Schlüsselpaare angewendet.

Prozess Teilnehmerkreisprüfung

Um zu gewährleisten, dass unbmerkt in falsche Hände geratene Schlüssel erkannt werden und insbesondere zu vermeiden, dass Personen mit Zugang zu Referenzschlüsseln diese nicht unberechtigt nutzen zu können, um mehrere Zugänge anzulegen (Sockenpuppen), wird in unregelmässigen Abständen folgendes Verfahren durchgeführt:

Die Administratoren erstellen eine Liste der neu in Benutzung befindlichen Einladungsschlüssel und übermitteln sie sicher an die Clearingstelle. Die Clearingstelle ordnet diese den Referenzschlüsseln zu und übermittelt die entsprechende Liste von Referenzschlüsseln an einen zu diesem Zweck beauftragten Controller, der Lesezugriff auf die für die Erfüllung dieser Aufgabe nötigen bei der Mitgliederverwaltung gespeicherten Daten hat. Der Controller schickt eine E-Mail oder gelegentlich auch einen Brief an alle in dieser Liste referenzierten Mitglieder und informiert sie darüber, dass der ihnen zugeordnete Referenzschlüssel genutzt wurde, um einen LiquidFeedback-Zugang anzulegen. Die Mitglieder werden in der Mail aufgefordert, sich beim Controller zu melden, falls sie selbst diesen Zugang nicht eingerichtet haben. In einem solchen Beschwerdefall stößt der Controller bei der Mitgliederverwaltung den Prozess "Referenzschlüssel verloren" an. Tritt eine Häufung derartiger Fälle auf, ist zu ermitteln, ob mit der Mitgliederverwaltung oder dem Betrieb der Clearingstelle beauftragte Mitglieder sich unberechtigt Zugänge eingerichtet haben. Einzelfälle können hingegen hingenommen werden, hier ist nicht auszuschliessen, dass der Verlust des Referenzschlüssel durch das Mitglied mitverursacht wurde. In allen Fällen jedoch lassen sich durch das Verfahren unberechtigt genutzte Referenzschlüssel erkennen und sperren und die Berechtigten mit neuen Referenzschlüsseln versorgen.

Prozess Referenzschlüssel verloren

Ist ein Schlüssel verloren gegangen, meldet sich das Mitglied bei der Mitgliederverwaltung. Es erhält einen neuen Referenzschlüssel. Der alte, verlorene dem Mitglied zugeordnete Referenzschlüssel wird an die Adminstratoren der Clearingstelle mit dem Prozess "Statusänderung - Ende der Teilnahme" übermittelt.

Verzeichnisse LiquidFeedback-System

Verzeichnis Hardwarekomponenten

Im Verzeichnis der Hardwarekomponenten werden die Hardwarekomponenten beschrieben, die für den Systembetrieb Verwendung finden. Die physikalische Unterbringung wird nicht öffentlich dokumentiert.

Lfd. Nr. Datum Inbetriebnahme Komponente Zweck Physikalische Unterbringung Datum Außerbetriebsetzung
1 05.08.2010 Serversystem Hewlett Packard HP ProLiant DL380 Generation 3 (G3) Betrieb von LiquidFeedback-Datenbank und -Frontend Rechenzentrum A
2 05.08.2010 Serversystem Hewlett Packard HP ProLiant DL380 Generation 3 (G3) Betrieb von LiquidFeedback-Datenbank und -Frontend (Ausfallsicherung) Rechenzentrum B 2011

Verzeichnis physikalische Sicherheitsmaßnahmen

Lfd. Nr. Datum Beginn Betroffene Zeilen im Verzeichnis Hardwarekomponenten Getroffene Maßnahme Datum Ende
1 05.08.2010 1 Die physikalische Absicherung wird durch organisatorische Maßnahme des Rechenzentrums sichergestellt. -
2 05.08.2010 2 Die physikalische Absicherung wird durch organisatorische Maßnahme des Rechenzentrums sichergestellt. -

Verzeichnis Softwarekomponenten

Lfd. Nr. Datum Inbetriebnahme Komponente Bezugsquelle Sicherheitsmeldungen Zweck Datum Außerbetriebsetzung
1 05.08.2010 Debian GNU/Linux Basisinstallation http://www.debian.org/ http://www.debian.org/security/ Basisbetriebssystem für den Systembetrieb -
2 05.08.2010 Postgresql Datenbankserver Debian-Paket http://www.debian.org/security/

http://www.postgresql.org/support/security

Datenbankdienst zur Verwendung durch den LiquidFeedback-Core -
3 05.08.2010 Lighttpd Webserver http://www.lighttpd.net/ http://www.lighttpd.net/ Bereitstellung des LiquidFeedback-Frontends für Benutzer -
4 05.08.2010 Postfix Mail-Transport-Agent http://www.postfix.org/ http://www.postfix.org/announcements.html Bereitstellung des LiquidFeedback-Frontends für Benutzer -
5 05.08.2010 LiquidFeedback-Core http://www.public-software-group.org/liquid_feedback_core http://www.public-software-group.org/liquid_feedback_core Bereitstellung des LiquidFeedback-Core-Systems -
6 05.08.2010 LiquidFeedback-Frontend http://www.public-software-group.org/liquid_feedback_frontend http://www.public-software-group.org/liquid_feedback_frontend Bereitstellung des LiquidFeedback-Frontends für Benutzer -

Verzeichnis Bestands- und Nutzungsdaten

Kategorie "Öffentlich"

Daten dieser Kategorie werden jedem übermittelt, der diese abfragt. Folgende Daten gehören zu dieser Kategorie:

  • Initiativtexte (Antragstexte mit allen Revisionen)
  • verschiedene Nutzungsdaten im Zusammenhang mit Initiativen (Zeitpunkt der Erstellung, Aktualisierung des Entwurfs, Zurückziehen der Initiative)
  • Anregungstexte
  • Zeitpunkt der Erstellung einer Anregung

Kategorie "Teilnehmer-Öffentlich"

Daten dieser Kategorie werden nur an angemeldete Teilnehmer des Systems übermittelt. Folgende Daten gehören zu dieser Kategorie:

  • numerische Benutzer-ID
  • Zeitpunkt der Profilerstellung
  • Zeitpunkte von Sperrungen und Reaktivierungen des Accounts
  • Benutzername
  • Historie des Benutzernamens
  • Daten des Benutzerprofils
  • Avatar und Bild des Benutzerprofils
  • gespeicherte Kontakte, die als veröffentlicht markiert sind
  • Mitgliedschaft in Themenbereichen
  • Interesse an Themen
  • Auto-Ablehnen und früher/später-abstimmen-Wunsch
  • erteilte und empfangene Delegationen
  • Unterstützerstimmen mit Delegationsstruktur
  • Initiatoreigenschaft (bei noch nicht angenommenen Einladungen als Initiator nur für einen selbst und die Initiatoren)
  • Anregungsautoreneigenschaft
  • Version des zuletzt gesichteten Entwurfstextes
  • Bewertungsstimmen zu Anregungen (mit Delegationsstruktur)
  • Stimmabgaben bei Abstimmungen mit Delegationsstruktur

Kategorie "Nicht-Öffentlich"

Daten dieser Kategorie werden nur an den Teilnehmer übermittelt, dem sie zugeordnet sind. Folgende Daten gehören zu dieser Kategorie:

  • Einladungsschlüssel
  • Loginname
  • Passwort
  • Im System hinterlegte Email-Adresse
  • Abstimmungsdaten während der Abstimmungsphase
  • Gespeicherte aber nicht veröffentlichte Kontakte
  • Gespeichterte Zeitachsenfilter
  • Andere nicht-öffentliche Benutzereinstellungen (z.B. Anzeigeoptionen)
  • Der persönliche API-Schlüssel, falls er erzeugt wurde

Verzeichnis Protokoll-Daten Webserver

Lfd. Nr. Beginn der Protokollierung Datum
1 05.08.2010 Uhrzeit der Anfrage
2 05.08.2010 Angefragte URL
3 05.08.2010 In der Anfrage uebermittelter Referrer der Anfrage
4 05.08.2010 In der Anfrage übermittelte Browserkennung
5 05.08.2010 Größe des ausgelieferten Dokuments
5 05.08.2010 Status-Code der Antwort

Verzeichnis Löschfristen

Laufende Nummer Beginn Regelung Betroffene Daten Löschfrist Durchführung Ende Regelung
1 05.08.2010 Daten gem. Verzeichnis Protokoll-Daten 12 Wochen nach Aufzeichnung automatisiert (Logrotate) -

Verzeichnis Zugriffsberechtigung "Teilnehmer"

Das Verzeichnis der Zugriffsberechtigung "Teilnehmer" wird durch die Mitgliederverwaltung als nicht-öffentliches Verzeichnis innerhalb der Mitgliederverwaltungssoftware geführt.

Verzeichnis Zugriffsberechtigung "Administrator LiquidFeedback-System"

Lfd. Nr. Berechtigter Datum Erteilung Erteilt durch Datum Entzug Entzogen durch
1 Alexander Morlang 26.05.2010 Bundesvorstand Piratenpartei Deutschland 05.08.2010 Bundesvorstand Piratenpartei Deutschland
12.08.2010 Bundesvorstand Piratenpartei Deutschland 06.06.2012 Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert)
2 Martin Delius 10.07.2010 Bundesvorstand Piratenpartei Deutschland 05.08.2010 Bundesvorstand Piratenpartei Deutschland
12.08.2010 Bundesvorstand Piratenpartei Deutschland 06.06.2012 Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert)
3 Christophe Cauet 10.07.2010 Bundesvorstand Piratenpartei Deutschland 06.06.2012 Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert)
4 Ingo Bormuth 10.07.2010 Bundesvorstand Piratenpartei Deutschland
5 Malte Starostik 06.06.2012 Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert)
6 Mirco Brahmann 06.06.2012 Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert)

Verzeichnisse Clearingstelle

Verzeichnis Hardwarekomponenten

Im Verzeichnis der Hardwarekomponenten werden die Hardwarekomponenten beschrieben, die für den Systembetrieb Verwendung finden. Die physikalische Unterbringung wird nicht öffentlich dokumentiert.

Lfd. Nr. Datum Inbetriebnahme Komponente Zweck Physikalische Unterbringung Datum Außerbetriebsetzung
1 05.08.2010 Virtuelle Serverumgebung Betrieb der Clearingstelle Rechenzentrum C -

Verzeichnis physikalische Sicherheitsmaßnahmen

Lfd. Nr. Datum Beginn Betroffene Zeilen im Verzeichnis Hardwarekomponenten Getroffene Maßnahme Datum Ende
1 05.08.2010 1 Die physikalische Absicherung wird durch organisatorische Maßnahme des Rechenzentrums sichergestellt. -

Verzeichnis Softwarekomponenten

Lfd. Nr. Datum Inbetriebnahme Komponente Bezugsquelle Sicherheitsmeldungen Zweck Datum Außerbetriebsetzung
1 05.08.2010 Debian GNU/Linux Basisinstallation http://www.debian.org/ http://www.debian.org/security/ Basisbetriebssystem für den Betrieb der Clearingstellensoftware -
2 05.08.2010 Postgresql Datenbankserver Debian-Paket http://www.debian.org/security/ http://www.postgresql.org/support/security Datenbankdienst zur Verwendung durch die Clearingstellensoftware -
2 05.08.2010 Clearingstellensoftware "A secure token clearing server" http://github.com/alios/clearingstelle http://github.com/alios/clearingstelle Betriebssoftware der Clearingstelle -

Verzeichnis Bestands- und Nutzungsdaten

Lfd. Nr. Beginn Regelung Beschreibung der Daten Ende Regelung
1 05.08.2010 Einladungsschlüssel LiquidFeedback-System -
2 05.08.2010 Referenzschlüssel Mitgliederverwaltung -
3 05.08.2010 Zeitpunkt der einmaligen Ausgabe des Einladungsschlüssels zu einem Referenzschlüssel an den Teilnehmer -

Verzeichnis Zugriffsberechtigung "Administrator Clearingstelle"

Lfd. Nr. Datum Erteilung Berechtigter Erteilt durch Datum Entzug Entzogen durch
1 29.07.2010 Markus Barenhoff Bundesvorstand - -
2 29.07.2010 Florian Bokor Bundesvorstand - -

Verzeichnisse Mitgliederverwaltung

Verzeichnis Bestands- und Nutzungsdaten

Lfd. Nr. Beginn der Regelung Beschreibung der Daten
1 05.08.2010 Referenzschlüssel Mitgliederverwaltung
2 05.08.2010 Sperrung eines Referenzschlüssels

Verzeichnis Erzeugung Schlüsselpaare Referenz-/Einladungsschlüssel

Anzahl der zu erzeugenden Schlüsselpaare Zeitpunkt der Anforderung Angefordert durch Zeitpunkt Versand Einladungsschlüssel Einladungsschlüssel erstellt/versendet durch Zeitpunkt Versand Referenzschlüssel Referenzschlüssel erstellt/versendet durch
40000 5.8.2010 Pavel Mayer 5.8.2010 Markus Barenhoff 5.8.2010 Markus Barenhoff

Verzeichnis Versand Referenzschlüssel an Mitglieder

Hier wird öffentlich protokolliert, wann wie viele Schlüssel an Mitglieder versandt werden. Zeitpunkt und Adressat des E-Mail-Versands werden in der Mitgliederverwaltung protokolliert. Es wird hier auch nur Versand neuer Schlüssel mitgeteilt - der erneute Versand eines bereits zuvor an das Mitglied versendeten Schlüssels ist in der folgenden Liste nicht enthalten. Der Versand von Schlüsseln wird grundsätzlich Batches durchgeführt, die Batchnummer ist ebenfalls in der Mitgliederverwaltung festgehalten. Bei den mit "R" (replacement) markierten Schlüsseln handelt es sich um einen Ersatzversand, bei dem der jeweils alte Schlüssel zur Sperrung vorgemerkt wird. Die Gesamtzahl gültiger versendeter Schlüssel ergibt sich aus der Summe der hier versendeten Schlüssel abzüglich der Sperrung ausgeschrieben Schlüssel.

Datum Uhrzeit Batch# (R=Ersatzschlüssel) Anzahl Versendet durch
13.8.2010 16:50 1 11 Pavel Mayer
13.8.2010 18:32 2 554 Pavel Mayer
13.8.2010 18:56 3 558 Pavel Mayer
13.8.2010 19:29 4-5 1117 Pavel Mayer
13.8.2010 19:44 6-7 1115 Pavel Mayer
13.8.2010 21:17 8-9 1118 Pavel Mayer
13.8.2010 22:21 10-11 1114 Pavel Mayer
13.8.2010 22:54 12-13 1114 Pavel Mayer
13.8.2010 23:42 14-15 1113 Pavel Mayer
14.8.2010 00:18 16-17 1119 Pavel Mayer
14.8.2010 01:02 18-19 1115 Pavel Mayer
14.8.2010 01:15 20-21 1107 Pavel Mayer
14.8.2010 01:52 22 804 Pavel Mayer
17.8.2010 16:04 23 3 Pavel Mayer
19.8.2010 13:08 R 1 Pavel Mayer
19.8.2010 14:25 R 1 Pavel Mayer
19.8.2010 14:30 R 1 Pavel Mayer
23.8.2010 13:42 R 1 Pavel Mayer
26.8.2010 12:38 R 1 Pavel Mayer
29.8.2010 20:53 R 1 Pavel Mayer
29.8.2010 21:15 R 1 Pavel Mayer
29.8.2010 21:20 R 1 Pavel Mayer
29.8.2010 21:29 R 1 Pavel Mayer
29.8.2010 21:34 R 1 Pavel Mayer
29.8.2010 21:57 R 1 Pavel Mayer
29.8.2010 22:07 R 1 Pavel Mayer
29.8.2010 22:13 R 1 Pavel Mayer
30.8.2010 17:44 R 1 Pavel Mayer
30.8.2010 17:50 R 1 Pavel Mayer
30.8.2010 17:54 R 1 Pavel Mayer
31.8.2010 12:28 24 48 Pavel Mayer
31.8.2010 12:47 25 16 Pavel Mayer
1.9.2010 15:37 R 1 Pavel Mayer
1.9.2010 21:33 R 1 Pavel Mayer
7.9.2010 12:42 R 1 Pavel Mayer
7.9.2010 12:46 R 1 Pavel Mayer
7.9.2010 19:15 R 1 Pavel Mayer
12.9.2010 18:57 R 1 Pavel Mayer
15.9.2010 19:57 R 1 Pavel Mayer
15.9.2010 20:05 R 1 Pavel Mayer
19.9.2010 21:27 26 94 Pavel Mayer
19.9.2010 bis 26.10.2010 R 38 Pavel Mayer
26.10.2010 15:25 27 136 Pavel Mayer
11.11.2010 15:24 R 1 Pavel Mayer
17.11.2010 16:13 28 52 Pavel Mayer
5.1.2011 16:42 29 150 Pavel Mayer
20.1.2011 17:44 30 94 Pavel Mayer
17.2.2011 16:25 31 65 Pavel Mayer
6.4.2011 15:50 32 185 Pavel Mayer
25.6.2011 19:19 33 375 Klaus Peukert
17.8.2011 09:03 34 165 Klaus Peukert
15.10.2011 13:37 35 3053 Klaus Peukert
16.10.2011 18:45 36 46 (davon 29 Ersatzkeys) Klaus Peukert
27.10.2011 20:30 37 996 (davon 30 Ersatzkeys) Klaus Peukert
12.11.2011 18:30 38 1436 plus 16 Ersatzkeys Klaus Peukert
26.11.2011 16:40 39 962 plus 29 Ersatzkeys Klaus Peukert
19.12.2011 08:55 40 957 Klaus Peukert
26.01.2012 20:30 41 1543 (Cleanup, angeforderte Ersatzschlüssel) Klaus Peukert
22.03.2012 21:45 42 3672 Klaus Peukert
16.05.2012 19:30 43 8314 Klaus Peukert
26.05.2012 18:05 44 500 Klaus Peukert (Ersatzeinladungen auf Anforderung)
04.08.2012 21:20 45 24 Klaus Peukert (Ersatzschlüssel)
26.06.2012 22:15 46 3048 Klaus Peukert
06.08.2012 19:10 47 47 Klaus Peukert (Ersatzschlüssel)
03.09.2012 21:32 48 227 Klaus Peukert (Ersatzschlüssel)
03.09.2012 18:32 49 1310 Klaus Peukert
25.09.2012 22:46 50 62 Klaus Peukert (Ersatzschlüssel)
26.10.2012 13:05 51 581 Klaus Peukert
05.02.2013 22:05 52 81 Klaus Peukert
05.02.2013 21:05 53 353 Klaus Peukert (Ersatzschlüssel)
25.02.2013 14:10 54 38 Klaus Peukert (Ersatzschlüssel)
26.03.2013 14:25 55 62 Klaus Peukert (Ersatzschlüssel)

Verzeichnis Versand Referenzschlüssel an Clearingstelle zur Sperrung

Hier werden die an die Clearingstelle zwecks Sperrung übermittelten Schlüssel in ihrer Zahl protokolliert:

Datum Uhrzeit # Anzahl Versendet durch
16.8.2010 16:27 1 145 Pavel Mayer
22.8.2010 00:30 2 8 Pavel Mayer
31.8.2010 12:09 3 13 Pavel Mayer
19.9.2010 21:41 4 9 Pavel Mayer
26.10.2010 15:00 5 36 Pavel Mayer
5.1.2011 16:06 6 535 Pavel Mayer
20.1.2011 17:58 7 255 Pavel Mayer
17.2.2011 16:42 8 241 Pavel Mayer
25.6.2011 18:46 9 294 Klaus Peukert
17.8.2011 17:46 10 86 Klaus Peukert
1.9.2011 17:46 11 11 Wilm Schumacher
22.9.2011 23:35 12 40 Klaus Peukert
16.10.2011 18:25 13 70 Klaus Peukert
27.10.2011 20:45 14 50 Klaus Peukert
12.11.2011 18:00 15 38 (davon 2 evtl. bereits übermittelte) Klaus Peukert
26.11.2011 16:30 16 45 Klaus Peukert
26.01.2012 20:30 16 1610 (1543 per Cleanup angeforderte Ersatzkeys) Klaus Peukert - Liste vor Sperrung durch Admins zurückgezogen
17.03.2012 11:50 17 1606 (1540 per Cleanup angeforderte Ersatzkeys, 12 Keys aus Einladungsbatch 41 entwertet (Feedback nach Erhalt Ersatzschlüssel, das Originalaccount funktioniert und doch kein neuer gewünscht wird)) Klaus Peukert
19.05.2012 14:05 18 1098 Klaus Peukert (Sperre von auf Grund fehlerhafter Datenerfassung doppelt verschickten Einladungen)
26.05.2012 18:05 19 500 Klaus Peukert
01.06.2012 00:05 20 20 Klaus Peukert
22.06.2012 19:45 21 515 Klaus Peukert
27.07.2012 17:21 22 607 Klaus Peukert
04.08.2012 21:30 23 24 Klaus Peukert
06.08.2012 19:15 24 47 Klaus Peukert
03.09.2012 21:33 25 229 Klaus Peukert
03.09.2012 21:23 26 130 Klaus Peukert
25.09.2012 22:50 27 62 Klaus Peukert
26.10.2012 13:30 28 855 Klaus Peukert
05.02.2013 23:00 29 3294 Klaus Peukert (Deaktivierung unbenutzter Keys)
25.02.2013 13:30 30 32 Klaus Peukert
26.03.2013 14:15 31 52 Klaus Peukert

Übersicht über Maßnahmen des Datenschutzes

1. Zutrittskontrolle

Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren

Maßnahmen der Zutrittskontrolle ergeben sich aus folgendem Prozess:

  • "Prozess 2.16 physikalische Absicherung (Zutrittskontrolle)"

2. Zugangskontrolle

zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können

Grundsätzlich kann der lesende Zugriff auf die zur Veröffentlichung vorgesehenen Daten in LiquidFeedback durch jeden über das Internet unter verwendung der Web-Schnittstelle erfolgen. Zum Erlangen anderer Rollen werden im Falle der Rolle Teilnehmer eine Anmeldung per Anmeldenahme und Kennwort (Mindestlänge 8 Zeichen) unter Verwendung von Secure-Socket-Layer (SSL, https) sowie im Falle der Rollen der Administratoren Terminalanmeldung per Secure-Shell (SSH) unter Verwendung eines Anmeldenamens und privaten kryptographischen Schlüssels verlangt.

Maßnahmen der Zugangskontrolle ergeben sich ferner aus folgendem Prozess:

  • "Prozess 2.11 Zugriffsberechtigung"

3. Zugriffskontrolle

zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können

Maßnahmen zur Zugriffskontrolle ergeben sich aus folgenden Prozessen:

  • "Prozess 2.11 Zugriffsberechtigung".
  • "Prozess 2.17 Protokollierung manueller Datenbankabfragen und -eingaben"

4. Weitergabekontrolle

zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist

Sämtliche Übermittelungen von personenbezogenen Daten im Rahmen des Systemsbetriebs werden bei Verwendung der Web- oder Programmierschnittstelle mittels Secure Socket Layer (SSL, https) verschlüsselt. Manuelle oder automatisierte Übermittelungen von personenbezogenen Daten zwischen den am Systembetrieb beteiligten Stellen erfolgen nur nach vorhergehender Verschlüsselung nach dem PGP-Standard. Maßnahmen der Weitergabekontrolle ergeben sich ferner aus folgenden Prozessen:

  • "Prozess 3.1 Neues Mitglied" (Punkt 3 Satz 2, Punkt 5 Satz 2)
  • "Prozess 3.2 Statusänderung" (Punkt 4)
  • "Prozess 3.2 Auflösung der Pseudonymität" (Übermittlung der Referenz- und Einladungsschlüssel)
  • "Prozess 3.4 Umschlüsselung"
  • "Prozess 3.5 Teilnehmerkreisprüfung" (Übermittlung der Referenz- und Einladungsschlüssel)

5. Eingabekontrolle

zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogenen Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind

Der Benutzer in der Rolle "Teilnehmer" kann durch die Benutzung von LiquidFeedback personenbezogene Daten über sich selber eingeben und dort wo die Abläufe der Datenverarbeitung in LiquidFeedback dies zulassen auch berichtigen, ändern oder wieder löschen. Weiterhin werden im Einzelfalle personenbezogene Daten durch Benutzer der Rolle "Administrator LiquidFeedback" oder "Administrator Clearingstelle" erhoben, berichtigt oder gelöscht. Diese Eingriffe im Einzelfalle erfolgen gemäß folgenden Prozess:

  • "Prozess Protokollierung manueller Datenbankabfragen und -eingaben"

6. Auftragskontrolle

zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können

Es findet keine Auftragsdatenverarbeitung statt.

7. Verfügbarkeitskontrolle

zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind

Maßnahmen zur Vefügbarkeitskontrolle ergeben sich aus folgenden Prozessen

  • "Prozess 2.8 Datensicherung"
  • "Prozess 2.9 Überprüfung der Datensicherung"
  • "Prozess 2.10 Wiederherstellung einer Datensicherung"
  • "Prozess 2.14 Disaster Recovery"
  • "Prozess 2.6 Überwachung Verfügbarkeit"
  • "Prozess 2.7 Überwachung Systemressourcen"

8. Trennungsgebot

zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Alle für den Systembetrieb anfallenden Daten dienen letztendlich dem gleichen Zweck, dem Betrieb der Plattform LiquidFeedback mit all seinen Facetten. Dennoch findet zum besonderen Schutz der Pseudonymität des Benutzers eine organisatorisch, technisch und personell getrennte Verarbeitung der das Benutzerkonto in LiquidFeedback mit dem Mitgliedseintrag des Teilnehmers in der Mitgliederdatenbank verknüfenden Daten statt.

Arbeitsdokumente

Statistik Mitgliederverwaltung und Support

Stand: 22.8.2010

  • Versendete ReferenzSchlüssel: 11965
  • Gesperrte Referenzschlüssel: 145 (Nachträglich ermittelte Nichtmitgliedschaft)
  • Zur Sperrung übermittelte Schlüssel: 8 (3 Opt-Out, 2 Nichtmitglieder, 3 Neuerteilungen)
  • Opt-Out im Vorfeld der Einführung: 1 Mitglied
  • Opt-Out nach Erhalt des Referenzschlüssels: 3 Mitglieder
  • Schlüsselneuerteilung wg. technischer Probleme: 3 Mitglieder
  • Aktive Rückgabe von Schlüsseln wg. erloschener Mitgliedschaft: 2 Mitglieder
  • Gesamtzahl von Support-Fällen: 17

Installations-Logbuch

Das Installationslogbuch dokumentiert einerseits die durchgeführte Installation im Detail, dient jedoch andererseits auch als Anleitung zur Neuinstallation, beispielsweise im Falle der Anwendung des Prozess Disaster Recovery. Das Installationslogbuch wird durch die Administratoren laufend gepflegt und an Änderungen angepasst.

Das Installationslogbuch wird als eigenes Dokument gepflegt:

Logbuch: Datenbankeingriffe

Diese Logbuch dokumentiert alle Änderunge an der, für den Betrieb der LiquidFeedback-Plattform verwendeten Datenbank.

Das Logbuch befindet sich hunter: LQPP/Datenbankeingriffe

Verzeichnis technische Dokumentation des LiquidFeedback-Systems

Das Verzeichnis stellt eine Liste der aktuell verwendeten Dokumente, Konfigurationsdaten, Skripte und Installationen (mit abweichenden Konfigurationen) dar.