LQPP/Betriebsdoku
Einleitung
Der Vorstand der Piratenpartei Deutschland betreibt die Software LiquidFeedback zur Findung von Meinungsbildern.
Die Software besteht aus zwei Teilen, und zwar zum einen LiquidFeedback-Core, bestehend aus einer PostgreSQL-Datenbank und Dienstprogrammen, sowie zum anderen LiquidFeedback-Frontend, welches ein Webfrontend zur Datenbank von LiquidFeedback-Core ist. Zum Betrieb der Software werden abhängige Softwarekomponenten sowie weitere Dienstprogramme benötigt.
Auf den folgenden Seiten veröffentlicht der Anbieter Informationen zur Software sowie die Software selber unter einer MIT/X11-Lizenz zur freien Verwendung durch jeden:
- http://www.public-software-group.org/liquid_feedback
- http://www.public-software-group.org/liquid_feedback_core
- http://www.public-software-group.org/liquid_feedback_frontend
- http://liquidfeedback.org/projekt/
Formale Grundlage des LiquidFeedback-Systembetriebs bilden die folgenden Beschlüsse:
- Bundesparteitag: Bundesweiter Betrieb von Liquid Feedback
- Bundesparteitag: Bundesparteitag unter gründlicher Vorbereitung durch LiquidFeedback
- Bundesvorstand: Inbetriebnahme
- Bundesvorstand: Upgrade auf Liquid 2.0
Der Systembetrieb gliedert sich in drei Bereiche:
- das LiquidFeedback-System
- die Clearingstelle sowie
- der Abgleich mit der Mitgliederverwaltung.
Die drei Bereiche werden organisatorisch, technisch und personell getrennt betrieben.
Der Betrieb der Mitgliederverwaltung wird in diesem Dokument nur insoweit beschrieben, wie Prozesse des LiquidFeedback-Systembetriebs betroffen sind.
Dieses Dokument wird durch den Vorstand herausgegeben und bildet die Grundlage der Arbeit der beauftragten Mitarbeiter. Die in diesem Dokument beschriebenen Prozesse unterliegen der laufenden Fortentwicklung und stellen eine Mindestanforderung an den Systembetrieb dar.
Herausgegeben durch den
Bundesvorstand der Piratenpartei
vertreten durch
Ort, Datum, Beauftragter
Versionen
1.3 http://wiki.piratenpartei.de/wiki//index.php?title=LQPP/Betriebsdoku&oldid=856866
- Neuer Prozess: Physikalische Absicherung (Zutrittskontrolle)
- Neuer Prozess: Protokollierung manueller Datenbankabfragen und -eingaben
- Neuer Prozess: Sperrung von Accounts nach Verstoß gegen die Nutzungsbedingungen
- Anpassung des Prozesses "Teilnehmerkreisprüfung" (Rolle des Controllers)
- Ergänzung um Übersicht über Maßnahmen des Datenschutzes
genehmigt:
1.2 http://wiki.piratenpartei.de/wiki//index.php?title=LQPP/Betriebsdoku&oldid=791316
- Ergänzungen um Arbeitsdokumente
genehmigt:
1.1 http://wiki.piratenpartei.de/wiki//index.php?title=LQPP/Betriebsdoku&oldid=788431
- Neuer Prozess: Löschung unzulässiger Inhalte
- Prozess Kommission ausformuliert
- Berichtigung im Prozess Referenzschlüssel verloren (Zuständigkeit)
- Berichtigungen der Datenkategorien (fehlerhafte Erfassung im Urdokument)
- Ergänzung um Arbeitsdokumente
genehmigt:
1.0 http://wiki.piratenpartei.de/wiki//index.php?title=LQPP/Betriebsdoku&oldid=774088
- Version zum Zeitpunkt der Inbetriebnahme
genehmigt:
Prozesse LiquidFeedback-System und Clearingstelle
Die in diesem Bereich des Dokumentes aufgeführten Prozesse werden sowohl auf den Betrieb des LiquidFeedback-Systems als auch der Clearingstelle angewendet.
Prozess Änderung Softwarekomponenten
Änderungen an der Auswahl der verwendeten Softwarekomponenten werden durch die Administratoren vorgenommen, sofern dies für den Systembetrieb erforderlich oder zweckdienlich ist. Änderungen an der Auswahl der Softwarekomponenten, die Einfluß auf wesentliche Funktionsmerkmale des Systems haben, bedürfen einer vorherigen Genehmigung durch den Vorstand. Alle Änderungen der verwendeten Softwarekomponenten werden - gegebenenfalls einschließlich der Genehmigung des Vorstands - durch die Administratoren im Verzeichnis der Softwarekomponenten dokumentiert.
Prozess Einspielen Update
Sofern für Softwarekomponenten ein Update zur Verfügung steht, kann dieses durch die Administratoren eingespielt werden. Wenn das Update Einfluß auf wesentliche Funktionsmermale des Systems hat, bedarf das Einspielen einer vorherigen Genehmigung durch den Vorstand. Das Einspielen von Updates wird durch die Administratoren - gegebenenfalls einschließlich der Genehmigung des Vorstands - im Verzeichnis Softwarekomponenten dokumentiert.
Prozess Änderung Konfiguration
Änderungen an der Konfiguration der verwendeten Softwarekomponenten werden durch die Administratoren durchgeführt, sofern dies für den Systembetrieb erforderlich oder zweckdienlich ist. Konfigurationänderungen, die Einfluß auf wesentliche Funktionsmerkmale des Systems haben, bedürfen einer vorherigen Genehmigung durch den Vorstand. Alle Änderungen der Konfiguration sind durch die Administratoren - gegebenenfalls einschließlich der Genehmigung des Vorstands - im Verzeichnis Konfigurationsänderungen zu dokumentieren. Dieses Verzeichnis wird durch die Administratoren nicht-öffentlich geführt. Dem Vorstand wird jederzeit Einsicht gewährt. Das Verzeichnis der Konfigurationsänderungen kann mittels eines Revisionskontrollsystems elektronisch geführt. Der Datenbestand des Revisionskontrollsystems unterliegt dem Prozess Datensicherung.
Prozess Überprüfung auf sicherheitsrelevante Meldungen
Für alle verwendeten Softwarekomponenten werden durch die Administratoren regelmäßig - mindestens wöchentlich - die Seiten mit Sicherheitsmeldungen der Anbieter der eingesetzten Softwarekomponenten auf für den Systembetrieb relevante Meldungen überprüft. Für alle Softwarekomponenten, für die das automatisierte Bereitstellen von Sicherheitsupdates zur Verfügung steht, wird stattdessen regelmäßig durch die Administratoren überprüft, ob Sicherheitsupdates zur Installation anstehen. Sofern sich ergibt, dass Sicherheitsupdates durchzuführen sind, wird nach dem Prozess Einspielen Sicherheitsupdate vorgegangen.
Prozess Einspielen Sicherheitsupdate
Sofern durch den Prozess Überprüfung sicherheitsrelevanter Meldungen oder auf andere Art durch die Administratoren festgestellt wird, dass um den Systembetrieb zu gewährleisten ein Sicherheitsupdate einzuspielen ist, wird dieses Sicherheitsupdate durch die Administratoren unverzüglich eingespielt. Das Einspielen eines Sicherheitsupdates wird entsprechend dem Prozess Einspielen Update dokumentiert.
Prozess Überwachung Verfügbarkeit
Es wird ein automatisiertes Verfahren betrieben, das laufend die Verfügbarkeit der angebotenen Dienste überprüft. Das Verfahren wird derart eingerichtet, dass bei Auftreten einer eine festzulegende Zeitspanne übersteigenden Nichtverfügbarkeit die Administratoren darüber benachrichtigt werden. Bei Kenntniserlangung einer Nichtverfügbarkeit leiten die Administratoren unverzüglich geeignete Maßnahmen zu Wiederherstellung der Verfügbarkeit ein. Die Ereignisse der Nichtverfügbarkeit sind durch das eingesetzte Verfahren zu dokumentieren.
Prozess Überwachung Systemressourcen
Es wird ein automatisiertes Verfahren betrieben, das laufend die für den Systembetrieb relevanten Ressourceninformationen protokolliert. Hierzu gehören insbesondere
- Auslastung der CPU,
- Auslastung des Arbeitsspeichers,
- Auslastung des Festplattenspeichers,
- Auslastung des Festplatten-IO,
- Auslastung des Netzwerk-IO.
Die protokollierten Daten werden durch die Administratoren regelmäßig - mindestens wöchentlich - auf bevorstehende Engpässe von Ressourcen überprüft. Wenn aufgrund der protokollierten Daten anzunehmen ist, dass Engpässe an Ressourcen bevorstehen, ergreifen die Administratoren geeignete Maßnahmen um nicht mehr benötigte Ressourcen freizugeben. Sofern anzunehmen ist, dass die zu erwartenden Engpässe nur durch Bereitstellung weiterer Ressourcen vermieden werden können, ist der Vorstand hierüber unverzüglich in Kenntnis zu setzen.
Prozess Datensicherung
Es wird eine automatisierte Sicherung aller für den Systembetrieb relevanten Daten auf eine durch die IT der Piratenpartei unabhängig vom System betriebene DV-Anlage durchgeführt. Besonders schützenswerte Daten sind vor Übertragung unter Anwendung eines dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Der Schlüssel zur Entschlüsselung der Datensicherung wird durch die Administratoren aufbewahrt und zusätzlich beim Vorstand hinterlegt. Die Sicherung wird zumindest täglich durchgeführt. Es werden die Sicherungen zumindest der letzten 7 Tage aufbewahrt. Die Sicherungen werden spätestens nach 6 Monaten gelöscht.
Prozess Überprüfung der Datensicherung
Es wird regelmäßig - zumindest einmal im Quartal - durch geeignete Maßnahmen durch die Administratoren geprüft, ob ein Wiedereinspielen einer Datensicherung tatsächlich durchführbar wäre. Der Systembetrieb darf dabei nicht beeinträchtigt werden. Im Rahmen der Prüfung wiederhergestellte Daten werden unverzüglich nach Abschluß der Überprüfung gelöscht.
Prozess Wiederherstellung einer Datensicherung
Sofern sich zur Durchführung des Systembetriebs die Notwendigkeit ergibt, Datensicherungen ganz oder teilweise wiederherzustellen, wird dies durch die Administratoren durchgeführt. Sofern dabei Bestands- oder Nutzungsdaten des Systems wiederhergestellt werden, bedarf dies einer vorherigunden Genehmigung durch den Vorstand. Wenn die Datensicherung ganz oder teilweise nicht wiederhergestellt werden kann, teilen die Administratoren dies dem Vorstand mit. Die Wiederherstellung, einschließlich erfolgloser Versuche, von Datensicherungen wird durch die Administratoren dokumentiert.
Prozess Zugriffsberechtigung
Die Zugriffsberechtigung "Teilnehmer" wird durch die Mitgliederverwaltung bei Parteieintritt erteilt und bei Austritt wieder entzogen. Die Erteilung und der Entzug der Zugriffsberechtigung wird durch die Mitgliederverwaltung im entsprechenden Verzeichnis dokumentiert. Das nähere Verfahren wird in den unter Abgleich Mitgliederverwaltung und LiquidFeedback-System dargestellten Prozessen beschrieben.
Die Zugriffsberechtigung "Administrator LiquidFeedback" sowie "Administrator Clearingstelle" wird durch den Vorstand erteilt und auch wieder entzogen. Das Erteilen bzw. der Entzug der Berechtigung wird durch den Vorstand im entsprechenden Verzeichnis Zugriffsberechtigungen dokumentiert. Die Zugriffsberechtigung darf nur durch die Person ausgeübt werden, der sie erteilt wurde. Eine Weitergabe der Zugriffsberechtigung ist unzulässig. Die technische Durchführung der Erteilung bzw. des Entzugs des Zugriffs erfolgt durch die Administratoren.
Prozess Sicherheitsaudit
Zur unabhängigen fachlichen Überprüfung der sicherheitsrelevanten organisatorischen und technischen Maßnahmen des Betriebs von LiquidFeedback wird ein fortlaufendes IT-Sicherheitsaudit durchgeführt. Dieses wird durch den Vorstand beauftragt. Sofern aufgrund dieses Prozesses Mängel an Prozessen festgestellt werden, werden durch den Vorstand geeignete Änderungen vorgenommen, um diese abzustellen. Sofern Mängel an der Ausführung der Prozesse festgestellt werden, werden durch die Ausführenden geeignete Maßnahmen getroffen, um diese abzustellen. Der IT-Sicherheitsbeauftragte berichtet regelmäßig - zumindest halbjährlich - schriftlich über seine Tätigkeit an den Vorstand.
Prozess Erreichbarkeit in dringlichen Angelegenheiten
Jede an den in diesem Dokument beschriebenen Prozessen beteiligten Stellen stellt einen Rufnummernplan auf, der die Reihenfolge festlegt, in der die Mitarbeiter der Stelle im Falle einer dringlichen Angelegenheit durch die anderen beteiligten Stellen erreichbar sind. Die Rufnummernpläne werden nicht-öffentlich geführt und werden den anderen beteiligten Stellen bekanntgegeben. Änderungen an einem Rufnummernplan werden unverzüglich allen anderen beteiligten Stellen bekanntgegeben.
Prozess Disaster Recovery
Dieser Prozess wird nach dem Eintritt von Unglücksfällen, wie beispielsweise technischen oder menschlichen Fehlern, Naturereignissen, oder ausserrechtliche Zuständen, angewendet. Die einzelnen Unterbereiche finden nur Anwendung, wenn es aufgrund des Unglücksfalls notwendig oder zweckmässig ist.
Überprüfung und ggfs. Wiederherstellung der personellen Arbeitsfähigkeit
Es wird durch den Vorstand geprüft, ob die personelle Arbeitsfähigkeit der beauftragten Administratoren gegeben ist. Im Bedarfsfalle sind weitere Administratoren zu beauftragen.
Überprüfung und ggfs. Wiederherstellung der Infrastruktur- und Hardwarekomponenten
Die Administratoren überprüfen die Funktionsfähigkeit der Infrastruktur- und Hardwarekomponenten und vergewissern sich ggfs. von der Arbeitsfähigkeit der beauftragten Rechenzentren. Sofern Infrastruktur- oder Hardwarekomponenten ersetzt werden müssen oder ein beauftragtes Rechenzentrum nicht mehr arbeitsfähig ist, teilen die Administratoren dies dem Vorstand unter Angabe von Lösungsmöglichkeiten mit.
Überprüfung und ggfs. Wiederherstellung der Softwarekomponenten und Konfiguration
Die Administratoren überprüfen alle verwendeten Softwarekomponenten einschließlich ihrer Konfiguration auf Funktionsfähigkeit. Sofern Softwarekomponenten nicht funktionsfähig sind, werden diese durch die Administratoren erneut eingespielt. Hierbei wird jeweils die letzte im Verzeichnis Softwarekomponenten dokumentierte Version eingespielt. Sind Konfigurationsdaten fehlerhaft oder verloren, werden diese von den Administratoren durch den jeweils letzten durch den Prozess Änderung Konfiguration dokumentierten Konfigurationsstand ersetzt. Sofern die Softwarekomponenten einschließlich ihrer Konfiguration in erheblichem Maße verloren oder anderweitig funktionsunfähig sind, wird das entsprechende Rechnersystem - entsprechend dem Dokument Installationsskript sowie den vorgenannten Regelungen hinsichtlich der Versionen der Softwarekomponenten und der Konfiguration - durch die Administratoren vollständig neu eingerichtet.
Überprüfung und ggfs. Wiederherstellung von Daten
Die Administratoren überprüfen, ob die Daten des Systems vollständig sind. Sofern Daten ganz oder teilweise verloren gegangen sind, werden diese unter Anwendung des Prozess Wiederherstellung einer Datensicherung wiederhergestellt.
Löschung unzulässiger Inhalte
Die Administratoren sind dazu berechtigt zweifelsfrei unzulässige Inhalte im Sinne der Nutzungsbebingungen eigenständig zu löschen. Im Zweifelsfalle informieren die Administratoren den Bundesvorstand über fragwürdige Inhalte, falls diese den Administratoren zur Kenntnis kommen. Jede Löschung wird öffentlich dokumentiert.
Prozess physikalische Absicherung (Zutrittskontrolle)
Die für den Systembetrieb von LiquidFeedback sowie Clearingstelle verwendeten Datenverarbeitungsanlagen werden in Rechenzentren betrieben. Die Zutrittskontrolle ist daher nur durch das Rechenzentrum durchführbar. Dies wird bei der Auswahl von Rechenzentren berücksichtigt. Die entsprechenden Verfahrensbeschreibungen der Rechenzentren werden vor Abschluß eines Vertrages geprüft. Im Zweifelsfalle wird der Beauftragte für den Datenschutz zu Rate gezogen.
Prozess Protokollierung manueller Datenbankabfragen und -eingaben
Manuelle Abfragen und Eingaben von Daten in die Datenbank von LiquidFeedback bzw. der Clearingstelle werden durch die Administratoren über SQL-Abfragen durchgeführt. Da über SQL-Anfragen prinzipiell jegliche Art von Abfragen und Eingaben durchführbar sind, werden alle SQL-Abfragen mittels eines sogenannten Wrappers ausgeführt, der die SQL-Abfrage protokolliert. Das direkte Verwenden des Kommandozeilenprogramms zum Zugriff auf die Datenbank unter Umgehung der Protokollierung ist unzulässig. Da die SQL-Abfragen personenbezogene Daten enthalten können, werden diese vor der Protokollierung unter Verwendung eines dem Stand der Technik entsprechenden kryptographischen Verfahren verschlüsselt. Der Schlüssel für die Entschlüsselung wird bei den jeweiligen Administratoren und zusätzlich beim Vorstand verwahrt. Die Integrität dieses Prozesses wird nur gemeinsam mit dem "Prozess Ausführen von Kommandos mit besonderen Privilegien" gewährleistet
Prozess Sperrung von Accounts nach Verstoß gegen die Nutzungsbedingungen
Wenn ein Teilnehmer gegen die Nutzungsbedingungen von LiquidFeedback in einer Weise verstößt, die mit Sperrung sanktioniert ist, sperren die Administratoren den entsprechenden Account zunächst ohne Löschung zugehöriger Daten. Die Sperrung kann vor Ende der Teilnahme auf Anweisung des Vorstands wieder aufgehoben werden. Ein Ende der Teilnahme und die Löschung der entsprechenden Daten findet
- durch Anweisung des Vorstands
- oder durch Mitteilung des Besitzers des gesperrten Accounts über die im System hinterlegte Adresse an die Administratoren
- oder durch den Prozess Statusänderung, wenn der Mitgliederverwaltung ein Ende der Teilnahme angezeigt oder ein neuer Account beantragt wurde
- oder nach Ablauf vier regulärer Parteitage nach der Sperrung, wenn sie nicht aufgehoben wurde, statt.
Nach Ablauf vier regulärer Parteitage nach der Sperrung wird der gesperrte Account in jedem Fall so behandelt, als wäre die Teilnahme zum Zeitpunkt der Sperrung beendet worden.
Prozesse Abgleich Mitgliederverwaltung und LiquidFeedback-System
Für den Betrieb des Systems ist es erforderlich, dass eine Verknüpfung zwischen dem von der Mitgliederverwaltung geführten Mitglied und dem im LiquidFeedback-System angelegten Teilnehmerkonto hergestellt wird, damit:
- nur Mitglieder der Partei ein Teilnehmerkonto erlangen können
- im Falle des Endes der Parteimitgliedschaft oder des vorübergehenden Verlustes des Stimmrechts das Teilnehmerkonto gesperrt werden kann
- im Falle der Wiedererlangung des Stimmrechts das Konto auch wieder entsperrt werden kann
- im Falle von Löschungsansprüchen deren Zulässigkeit ermittelt werden kann
- die ordnungsgemässe Erteilung von Zugangsberechtigungen nachträglich überprüft werden kann
- im Falle von Rechtsverletzungen durch einen Teilnehmer dieser ermittelt werden kann
Das LF-Teilnehmerkonto wird erst nach Bestätigung der LF-Nutzungsbedingungen durch den Nutzer angelegt und mit einem Einladungsschlüssel verknüpft, den der Nutzer bei der Registrierung vorlegen muss.
Um eine Benutzung des Systems unter Verwendung eines Pseudonyms zu ermöglichen, das nicht durch eine einzelne Stelle aufgelöst werden kann, wird eine doppelte Trennung der Verknüpfungsinformation vorgenommen. Hierzu führt eine Clearingstelle eine Verküpfungsliste, welche Referenzschlüssel zu Einladungsschlüsseln zuordnet. Der Referenzschlüssel wird durch die Mitgliederverwaltung mit dem Datensatz des Mitglieds verknüpft. Der Einladungsschlüssel wird in LiquidFeedback mit dem Teilnehmerkonto verknüpft. Die Auflösung eines Pseudonyms kann somit nur unter Zusammenarbeit aller drei beteiligten Stellen erfolgen. Die Zusammenarbeit der beteiligten Stellen wird durch die folgenden Prozesse beschrieben.
Prozess Neues Mitglied
- Die Mitgliederverwaltung fordert von der Clearingstelle die Erstellung einer zu benennenden Anzahl an Schlüsselpaaren an.
- Die Clearingstelle erzeugt die vorgegebenen Zahl von in einer Verküpfungsliste zugeordneten Einladungs- und Referenzschlüsseln (Schlüsselpaare).
- Die Liste der erzeugten Einladungsschlüssel wird an die Administratoren des LiquidFeedback-Systems übermittelt. Die Einladungsschlüssel sind vor der Übermittlung unter Anwendung eines dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln.
- Die Administratoren fügen die Einladungsschlüssel unverzüglich in die Liste der gültigen Einladungsschlüssel des LiquidFeedback-Systems ein, und melden zusätzlich zur Dokumentation (s.u.) dieses zusätzlich der Clearingstelle und der Mitgliederverwaltung.
- Nach Vollzugsmeldung wird die Liste der erzeugten Referenzschlüssel an die Mitgliederverwaltung übermittelt. Die Referenzschlüssel sind vor der Übermittlung unter Anwendung eines dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln.
- Die Mitgliederverwaltung ordnet jedem neu aufgenommenen Mitglied einen Referenzschlüssel zu und übersendet diesen an das Mitglied.
Die durch die Mitgliederverwaltung und die Clearingstelle ausgeführten Schritte dieses Prozesses werden durch diese im Verzeichnis Erzeugung Schlüsselpaare Referenz-/Einladungsschlüssel sowie im Verzeichnis Versand Referenzschlüssel dokumentiert.
Prozess Statusänderung
Dieser Prozess findet für die Statusänderungen "Verlust der Stimmberechtigung", "Wiedererlangung der Stimmberechtigung" und "Ende der Teilnahme/Parteiaustritt" jeweils getrennt Anwendung.
- Schritt - Sammeln der Mitglieder mit Statusänderung durch den Vorstand bis zu einer bestimmten Menge.
- Schritt - Sichere Übermittlung der eindeutigen Liste der Referenzschlüssel aus der Mitgliederdatenbank der betroffenen Mitglieder an die Clearingstelle. Kennzeichung der Referenzschlüssel in der Mitgliederdatenbank als ungültig.
- Schritt - Abgleich der Liste der Referenzschlüssel mit der Zuordnungsdatenbank durch die Clearingstelle. Erstellung einer Liste der betroffenen Invite-Codes. Kennzeichnung der entsprechenden Zufalls- und Invitecodepaarungen in der Zuordnungsdatenbank als ungültig.
- Schritt - Sichere Übermittlung der Invitecode-Liste an die Administratoren des LF-Systems.
- Schritt - Durchführen der Statusänderung anhand der Liste der Invitecodes. Die Administratoren berichten - zusammengefasst nach Anzahl der durchgeführten Änderungen - öffentlich an den Vorstand über die getätigten Eingriffe in das LF-System.
Prozess Auflösung der Pseudonymität
Dieser Prozess beschreibt die begründete Auflösung der Identität eines Benutzers. Dieser Prozess wird
- aufgrund Verfügung eines ordentlichen Gerichts der Bundesrepublik Deutschland oder
- aufgrund Hilfeersuchens einer berechtigten Stelle der Bundesrepublik Deutschland oder
- durch Beschluß des zuständigen Schiedsgerichts aufgrund parteischädigenden Verhaltens im Sinne der Satzung oder
- durch Beschlus der Kommission zur Abwehr von Schaden für die Partei, zur Verhinderung erheblicher Straftaten und bei begründetem Verdacht, dass ein Teilnehmer gleichzeitig mehrere Teilnehmer-Accounts hat oder kontrolliert (Sockenpuppen) eingeleitet.
Die Kommission setzt sich zusammen aus jeweils einem Administrator LiquidFeedback, einem Administrator der Clearingstelle, einem Mitglied der Mitgliederverwaltung, einem Mitglied des Bundesvorstands und dem Datenschutzbeauftragten. Über die Einleitung des Prozesses entscheiden die Kommissionsmitglieder mit absoluter Mehrheit.
Nach Einleitung des Prozesses erfolgt durch den Vorstand eine öffentliche Entscheidung über die Zulässigkeit.
Sofern der Forderung der den Prozess einleitenden Stelle nicht nachgekommen wird, ist dies unter Angabe der Gründe schriftlich mitzuteilen.
Wird durch den Vorstand die Zulässigkeit festgestellt, übermittelt der Vorstand den Administratoren des LiquidFeedback-Systems die zur Identifikation des Teilnehmers nötigen Merkmale. Anhand dieser ermitteln diese den zur Erstellung des Benutzerkontos verwendeten Einladungsschlüssel. Diesen übermitteln sie an die Administratoren der Clearingstelle. Der Einladungsschlüssel ist vor der Übermittlung mit einem dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Die Administratoren der Clearingstelle ermitteln anhand des übermittelten Einladungsschlüssels den Referenzschlüssel, der für die Herausgabe des Einladungsschlüssels gemäß Prozess Neues Mitglied verwendet wurde. Diesen übermitteln sie an die Mitgliederverwaltung. Der Referenzschlüssel ist vor der Übermittlung mit einem dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Mit dem Referenzschlüssel ermittelt die Mitgliederverwaltung die Identität des Mitglieds und übermittelt den Personenstammdatensatz an die anfordernde Stelle. Bei elektronischer Übermittlung sind die Daten vor der Übermittlung mit einem dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Der Vorstand berichtet nach Abschluß des Prozesses öffentlich in anonymisierter Form über den Vorgang.
Prozess Umschlüsselung
Dieser Prozess findet Anwendung wenn die Zuordnung von Mitgliederdaten zu Referenzschlüsseln, Referenzschlüsseln zu Einladungsschlüsseln oder Einladungsschlüsseln zur Benutzerkonton nicht berechtigten Personen bekannt geworden ist. Hierzu wird durch die Administratoren der Clearingstelle für das betreffende Schlüsselpaar ein neues Schlüsselpaar erzeugt, welches das alte ersetzt. Der Mitgliederverwaltung wird die Zuordnung des alten zum neuen Referenzschlüssel übermittelt. Die Referenzschlüssel sind vor der Übermittlung durch ein dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Den Administratoren des LiquidFeedback-Systems wird die Zuordnung des alten zum neuen Einladungsschlüssel übermittelt. Die Einladungsschlüssel sind vor der Übermittlung durch ein dem Stand der Technik entsprechenden kryptographischen Verfahren zu verschlüsseln. Sofern ein erheblicher Teil von Zuordnungen nicht berechtigten Personen bekannt geworden sind wird dieser Prozess auf alle Schlüsselpaare angewendet.
Prozess Teilnehmerkreisprüfung
Um zu gewährleisten, dass unbmerkt in falsche Hände geratene Schlüssel erkannt werden und insbesondere zu vermeiden, dass Personen mit Zugang zu Referenzschlüsseln diese nicht unberechtigt nutzen zu können, um mehrere Zugänge anzulegen (Sockenpuppen), wird in unregelmässigen Abständen folgendes Verfahren durchgeführt:
Die Administratoren erstellen eine Liste der neu in Benutzung befindlichen Einladungsschlüssel und übermitteln sie sicher an die Clearingstelle. Die Clearingstelle ordnet diese den Referenzschlüsseln zu und übermittelt die entsprechende Liste von Referenzschlüsseln an einen zu diesem Zweck beauftragten Controller, der Lesezugriff auf die für die Erfüllung dieser Aufgabe nötigen bei der Mitgliederverwaltung gespeicherten Daten hat. Der Controller schickt eine E-Mail oder gelegentlich auch einen Brief an alle in dieser Liste referenzierten Mitglieder und informiert sie darüber, dass der ihnen zugeordnete Referenzschlüssel genutzt wurde, um einen LiquidFeedback-Zugang anzulegen. Die Mitglieder werden in der Mail aufgefordert, sich beim Controller zu melden, falls sie selbst diesen Zugang nicht eingerichtet haben. In einem solchen Beschwerdefall stößt der Controller bei der Mitgliederverwaltung den Prozess "Referenzschlüssel verloren" an. Tritt eine Häufung derartiger Fälle auf, ist zu ermitteln, ob mit der Mitgliederverwaltung oder dem Betrieb der Clearingstelle beauftragte Mitglieder sich unberechtigt Zugänge eingerichtet haben. Einzelfälle können hingegen hingenommen werden, hier ist nicht auszuschliessen, dass der Verlust des Referenzschlüssel durch das Mitglied mitverursacht wurde. In allen Fällen jedoch lassen sich durch das Verfahren unberechtigt genutzte Referenzschlüssel erkennen und sperren und die Berechtigten mit neuen Referenzschlüsseln versorgen.
Prozess Referenzschlüssel verloren
Ist ein Schlüssel verloren gegangen, meldet sich das Mitglied bei der Mitgliederverwaltung. Es erhält einen neuen Referenzschlüssel. Der alte, verlorene dem Mitglied zugeordnete Referenzschlüssel wird an die Adminstratoren der Clearingstelle mit dem Prozess "Statusänderung - Ende der Teilnahme" übermittelt.
Verzeichnisse LiquidFeedback-System
Verzeichnis Hardwarekomponenten
Im Verzeichnis der Hardwarekomponenten werden die Hardwarekomponenten beschrieben, die für den Systembetrieb Verwendung finden. Die physikalische Unterbringung wird nicht öffentlich dokumentiert.
| Lfd. Nr. | Datum Inbetriebnahme | Komponente | Zweck | Physikalische Unterbringung | Datum Außerbetriebsetzung |
|---|---|---|---|---|---|
| 1 | 05.08.2010 | Serversystem Hewlett Packard HP ProLiant DL380 Generation 3 (G3) | Betrieb von LiquidFeedback-Datenbank und -Frontend | Rechenzentrum A | |
| 2 | 05.08.2010 | Serversystem Hewlett Packard HP ProLiant DL380 Generation 3 (G3) | Betrieb von LiquidFeedback-Datenbank und -Frontend (Ausfallsicherung) | Rechenzentrum B | 2011 |
Verzeichnis physikalische Sicherheitsmaßnahmen
| Lfd. Nr. | Datum Beginn | Betroffene Zeilen im Verzeichnis Hardwarekomponenten | Getroffene Maßnahme | Datum Ende |
|---|---|---|---|---|
| 1 | 05.08.2010 | 1 | Die physikalische Absicherung wird durch organisatorische Maßnahme des Rechenzentrums sichergestellt. | - |
| 2 | 05.08.2010 | 2 | Die physikalische Absicherung wird durch organisatorische Maßnahme des Rechenzentrums sichergestellt. | - |
Verzeichnis Softwarekomponenten
| Lfd. Nr. | Datum Inbetriebnahme | Komponente | Bezugsquelle | Sicherheitsmeldungen | Zweck | Datum Außerbetriebsetzung |
|---|---|---|---|---|---|---|
| 1 | 05.08.2010 | Debian GNU/Linux Basisinstallation | http://www.debian.org/ | http://www.debian.org/security/ | Basisbetriebssystem für den Systembetrieb | - |
| 2 | 05.08.2010 | Postgresql Datenbankserver | Debian-Paket | http://www.debian.org/security/ | Datenbankdienst zur Verwendung durch den LiquidFeedback-Core | - |
| 3 | 05.08.2010 | Lighttpd Webserver | http://www.lighttpd.net/ | http://www.lighttpd.net/ | Bereitstellung des LiquidFeedback-Frontends für Benutzer | - |
| 4 | 05.08.2010 | Postfix Mail-Transport-Agent | http://www.postfix.org/ | http://www.postfix.org/announcements.html | Bereitstellung des LiquidFeedback-Frontends für Benutzer | - |
| 5 | 05.08.2010 | LiquidFeedback-Core | http://www.public-software-group.org/liquid_feedback_core | http://www.public-software-group.org/liquid_feedback_core | Bereitstellung des LiquidFeedback-Core-Systems | - |
| 6 | 05.08.2010 | LiquidFeedback-Frontend | http://www.public-software-group.org/liquid_feedback_frontend | http://www.public-software-group.org/liquid_feedback_frontend | Bereitstellung des LiquidFeedback-Frontends für Benutzer | - |
Verzeichnis Bestands- und Nutzungsdaten
Kategorie "Öffentlich"
Daten dieser Kategorie werden jedem übermittelt, der diese abfragt. Folgende Daten gehören zu dieser Kategorie:
- Initiativtexte (Antragstexte mit allen Revisionen)
- verschiedene Nutzungsdaten im Zusammenhang mit Initiativen (Zeitpunkt der Erstellung, Aktualisierung des Entwurfs, Zurückziehen der Initiative)
- Anregungstexte
- Zeitpunkt der Erstellung einer Anregung
Kategorie "Teilnehmer-Öffentlich"
Daten dieser Kategorie werden nur an angemeldete Teilnehmer des Systems übermittelt. Folgende Daten gehören zu dieser Kategorie:
- numerische Benutzer-ID
- Zeitpunkt der Profilerstellung
- Zeitpunkte von Sperrungen und Reaktivierungen des Accounts
- Benutzername
- Historie des Benutzernamens
- Daten des Benutzerprofils
- Avatar und Bild des Benutzerprofils
- gespeicherte Kontakte, die als veröffentlicht markiert sind
- Mitgliedschaft in Themenbereichen
- Interesse an Themen
- Auto-Ablehnen und früher/später-abstimmen-Wunsch
- erteilte und empfangene Delegationen
- Unterstützerstimmen mit Delegationsstruktur
- Initiatoreigenschaft (bei noch nicht angenommenen Einladungen als Initiator nur für einen selbst und die Initiatoren)
- Anregungsautoreneigenschaft
- Version des zuletzt gesichteten Entwurfstextes
- Bewertungsstimmen zu Anregungen (mit Delegationsstruktur)
- Stimmabgaben bei Abstimmungen mit Delegationsstruktur
Kategorie "Nicht-Öffentlich"
Daten dieser Kategorie werden nur an den Teilnehmer übermittelt, dem sie zugeordnet sind. Folgende Daten gehören zu dieser Kategorie:
- Einladungsschlüssel
- Loginname
- Passwort
- Im System hinterlegte Email-Adresse
- Abstimmungsdaten während der Abstimmungsphase
- Gespeicherte aber nicht veröffentlichte Kontakte
- Gespeichterte Zeitachsenfilter
- Andere nicht-öffentliche Benutzereinstellungen (z.B. Anzeigeoptionen)
- Der persönliche API-Schlüssel, falls er erzeugt wurde
Verzeichnis Protokoll-Daten Webserver
| Lfd. Nr. | Beginn der Protokollierung | Datum |
|---|---|---|
| 1 | 05.08.2010 | Uhrzeit der Anfrage |
| 2 | 05.08.2010 | Angefragte URL |
| 3 | 05.08.2010 | In der Anfrage uebermittelter Referrer der Anfrage |
| 4 | 05.08.2010 | In der Anfrage übermittelte Browserkennung |
| 5 | 05.08.2010 | Größe des ausgelieferten Dokuments |
| 5 | 05.08.2010 | Status-Code der Antwort |
Verzeichnis Löschfristen
| Laufende Nummer | Beginn Regelung | Betroffene Daten | Löschfrist | Durchführung | Ende Regelung |
|---|---|---|---|---|---|
| 1 | 05.08.2010 | Daten gem. Verzeichnis Protokoll-Daten | 12 Wochen nach Aufzeichnung | automatisiert (Logrotate) | - |
Verzeichnis Zugriffsberechtigung "Teilnehmer"
Das Verzeichnis der Zugriffsberechtigung "Teilnehmer" wird durch die Mitgliederverwaltung als nicht-öffentliches Verzeichnis innerhalb der Mitgliederverwaltungssoftware geführt.
Verzeichnis Zugriffsberechtigung "Administrator LiquidFeedback-System"
| Lfd. Nr. | Berechtigter | Datum Erteilung | Erteilt durch | Datum Entzug | Entzogen durch |
|---|---|---|---|---|---|
| 1 | Alexander Morlang | 26.05.2010 | Bundesvorstand Piratenpartei Deutschland | 05.08.2010 | Bundesvorstand Piratenpartei Deutschland |
| 12.08.2010 | Bundesvorstand Piratenpartei Deutschland | 06.06.2012 | Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert) | ||
| 2 | Martin Delius | 10.07.2010 | Bundesvorstand Piratenpartei Deutschland | 05.08.2010 | Bundesvorstand Piratenpartei Deutschland |
| 12.08.2010 | Bundesvorstand Piratenpartei Deutschland | 06.06.2012 | Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert) | ||
| 3 | Christophe Cauet | 10.07.2010 | Bundesvorstand Piratenpartei Deutschland | 06.06.2012 | Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert) |
| 4 | Ingo Bormuth | 10.07.2010 | Bundesvorstand Piratenpartei Deutschland | ||
| 5 | Malte Starostik | 06.06.2012 | Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert) | ||
| 6 | Mirco Brahmann | 06.06.2012 | Bundesvorstand Piratenpartei Deutschland (i.A. Klaus Peukert) |
Verzeichnisse Clearingstelle
Verzeichnis Hardwarekomponenten
Im Verzeichnis der Hardwarekomponenten werden die Hardwarekomponenten beschrieben, die für den Systembetrieb Verwendung finden. Die physikalische Unterbringung wird nicht öffentlich dokumentiert.
| Lfd. Nr. | Datum Inbetriebnahme | Komponente | Zweck | Physikalische Unterbringung | Datum Außerbetriebsetzung |
|---|---|---|---|---|---|
| 1 | 05.08.2010 | Virtuelle Serverumgebung | Betrieb der Clearingstelle | Rechenzentrum C | - |
Verzeichnis physikalische Sicherheitsmaßnahmen
| Lfd. Nr. | Datum Beginn | Betroffene Zeilen im Verzeichnis Hardwarekomponenten | Getroffene Maßnahme | Datum Ende |
|---|---|---|---|---|
| 1 | 05.08.2010 | 1 | Die physikalische Absicherung wird durch organisatorische Maßnahme des Rechenzentrums sichergestellt. | - |
Verzeichnis Softwarekomponenten
| Lfd. Nr. | Datum Inbetriebnahme | Komponente | Bezugsquelle | Sicherheitsmeldungen | Zweck | Datum Außerbetriebsetzung | |
|---|---|---|---|---|---|---|---|
| 1 | 05.08.2010 | Debian GNU/Linux Basisinstallation | http://www.debian.org/ | http://www.debian.org/security/ | Basisbetriebssystem für den Betrieb der Clearingstellensoftware | - | |
| 2 | 05.08.2010 | Postgresql Datenbankserver | Debian-Paket | http://www.debian.org/security/ | http://www.postgresql.org/support/security | Datenbankdienst zur Verwendung durch die Clearingstellensoftware | - |
| 2 | 05.08.2010 | Clearingstellensoftware "A secure token clearing server" | http://github.com/alios/clearingstelle | http://github.com/alios/clearingstelle | Betriebssoftware der Clearingstelle | - |
Verzeichnis Bestands- und Nutzungsdaten
| Lfd. Nr. | Beginn Regelung | Beschreibung der Daten | Ende Regelung |
|---|---|---|---|
| 1 | 05.08.2010 | Einladungsschlüssel LiquidFeedback-System | - |
| 2 | 05.08.2010 | Referenzschlüssel Mitgliederverwaltung | - |
| 3 | 05.08.2010 | Zeitpunkt der einmaligen Ausgabe des Einladungsschlüssels zu einem Referenzschlüssel an den Teilnehmer | - |
Verzeichnis Zugriffsberechtigung "Administrator Clearingstelle"
| Lfd. Nr. | Datum Erteilung | Berechtigter | Erteilt durch | Datum Entzug | Entzogen durch |
|---|---|---|---|---|---|
| 1 | 29.07.2010 | Markus Barenhoff | Bundesvorstand | - | - |
| 2 | 29.07.2010 | Florian Bokor | Bundesvorstand | - | - |
Verzeichnisse Mitgliederverwaltung
Verzeichnis Bestands- und Nutzungsdaten
| Lfd. Nr. | Beginn der Regelung | Beschreibung der Daten |
|---|---|---|
| 1 | 05.08.2010 | Referenzschlüssel Mitgliederverwaltung |
| 2 | 05.08.2010 | Sperrung eines Referenzschlüssels |
Verzeichnis Erzeugung Schlüsselpaare Referenz-/Einladungsschlüssel
| Anzahl der zu erzeugenden Schlüsselpaare | Zeitpunkt der Anforderung | Angefordert durch | Zeitpunkt Versand Einladungsschlüssel | Einladungsschlüssel erstellt/versendet durch | Zeitpunkt Versand Referenzschlüssel | Referenzschlüssel erstellt/versendet durch |
| 40000 | 5.8.2010 | Pavel Mayer | 5.8.2010 | Markus Barenhoff | 5.8.2010 | Markus Barenhoff |
Verzeichnis Versand Referenzschlüssel an Mitglieder
Hier wird öffentlich protokolliert, wann wie viele Schlüssel an Mitglieder versandt werden. Zeitpunkt und Adressat des E-Mail-Versands werden in der Mitgliederverwaltung protokolliert. Es wird hier auch nur Versand neuer Schlüssel mitgeteilt - der erneute Versand eines bereits zuvor an das Mitglied versendeten Schlüssels ist in der folgenden Liste nicht enthalten. Der Versand von Schlüsseln wird grundsätzlich Batches durchgeführt, die Batchnummer ist ebenfalls in der Mitgliederverwaltung festgehalten. Bei den mit "R" (replacement) markierten Schlüsseln handelt es sich um einen Ersatzversand, bei dem der jeweils alte Schlüssel zur Sperrung vorgemerkt wird. Die Gesamtzahl gültiger versendeter Schlüssel ergibt sich aus der Summe der hier versendeten Schlüssel abzüglich der Sperrung ausgeschrieben Schlüssel.
| Datum | Uhrzeit | Batch# (R=Ersatzschlüssel) | Anzahl | Versendet durch |
|---|---|---|---|---|
| 13.8.2010 | 16:50 | 1 | 11 | Pavel Mayer |
| 13.8.2010 | 18:32 | 2 | 554 | Pavel Mayer |
| 13.8.2010 | 18:56 | 3 | 558 | Pavel Mayer |
| 13.8.2010 | 19:29 | 4-5 | 1117 | Pavel Mayer |
| 13.8.2010 | 19:44 | 6-7 | 1115 | Pavel Mayer |
| 13.8.2010 | 21:17 | 8-9 | 1118 | Pavel Mayer |
| 13.8.2010 | 22:21 | 10-11 | 1114 | Pavel Mayer |
| 13.8.2010 | 22:54 | 12-13 | 1114 | Pavel Mayer |
| 13.8.2010 | 23:42 | 14-15 | 1113 | Pavel Mayer |
| 14.8.2010 | 00:18 | 16-17 | 1119 | Pavel Mayer |
| 14.8.2010 | 01:02 | 18-19 | 1115 | Pavel Mayer |
| 14.8.2010 | 01:15 | 20-21 | 1107 | Pavel Mayer |
| 14.8.2010 | 01:52 | 22 | 804 | Pavel Mayer |
| 17.8.2010 | 16:04 | 23 | 3 | Pavel Mayer |
| 19.8.2010 | 13:08 | R | 1 | Pavel Mayer |
| 19.8.2010 | 14:25 | R | 1 | Pavel Mayer |
| 19.8.2010 | 14:30 | R | 1 | Pavel Mayer |
| 23.8.2010 | 13:42 | R | 1 | Pavel Mayer |
| 26.8.2010 | 12:38 | R | 1 | Pavel Mayer |
| 29.8.2010 | 20:53 | R | 1 | Pavel Mayer |
| 29.8.2010 | 21:15 | R | 1 | Pavel Mayer |
| 29.8.2010 | 21:20 | R | 1 | Pavel Mayer |
| 29.8.2010 | 21:29 | R | 1 | Pavel Mayer |
| 29.8.2010 | 21:34 | R | 1 | Pavel Mayer |
| 29.8.2010 | 21:57 | R | 1 | Pavel Mayer |
| 29.8.2010 | 22:07 | R | 1 | Pavel Mayer |
| 29.8.2010 | 22:13 | R | 1 | Pavel Mayer |
| 30.8.2010 | 17:44 | R | 1 | Pavel Mayer |
| 30.8.2010 | 17:50 | R | 1 | Pavel Mayer |
| 30.8.2010 | 17:54 | R | 1 | Pavel Mayer |
| 31.8.2010 | 12:28 | 24 | 48 | Pavel Mayer |
| 31.8.2010 | 12:47 | 25 | 16 | Pavel Mayer |
| 1.9.2010 | 15:37 | R | 1 | Pavel Mayer |
| 1.9.2010 | 21:33 | R | 1 | Pavel Mayer |
| 7.9.2010 | 12:42 | R | 1 | Pavel Mayer |
| 7.9.2010 | 12:46 | R | 1 | Pavel Mayer |
| 7.9.2010 | 19:15 | R | 1 | Pavel Mayer |
| 12.9.2010 | 18:57 | R | 1 | Pavel Mayer |
| 15.9.2010 | 19:57 | R | 1 | Pavel Mayer |
| 15.9.2010 | 20:05 | R | 1 | Pavel Mayer |
| 19.9.2010 | 21:27 | 26 | 94 | Pavel Mayer |
| 19.9.2010 bis 26.10.2010 | R | 38 | Pavel Mayer | |
| 26.10.2010 | 15:25 | 27 | 136 | Pavel Mayer |
| 11.11.2010 | 15:24 | R | 1 | Pavel Mayer |
| 17.11.2010 | 16:13 | 28 | 52 | Pavel Mayer |
| 5.1.2011 | 16:42 | 29 | 150 | Pavel Mayer |
| 20.1.2011 | 17:44 | 30 | 94 | Pavel Mayer |
| 17.2.2011 | 16:25 | 31 | 65 | Pavel Mayer |
| 6.4.2011 | 15:50 | 32 | 185 | Pavel Mayer |
| 25.6.2011 | 19:19 | 33 | 375 | Klaus Peukert |
| 17.8.2011 | 09:03 | 34 | 165 | Klaus Peukert |
| 15.10.2011 | 13:37 | 35 | 3053 | Klaus Peukert |
| 16.10.2011 | 18:45 | 36 | 46 (davon 29 Ersatzkeys) | Klaus Peukert |
| 27.10.2011 | 20:30 | 37 | 996 (davon 30 Ersatzkeys) | Klaus Peukert |
| 12.11.2011 | 18:30 | 38 | 1436 plus 16 Ersatzkeys | Klaus Peukert |
| 26.11.2011 | 16:40 | 39 | 962 plus 29 Ersatzkeys | Klaus Peukert |
| 19.12.2011 | 08:55 | 40 | 957 | Klaus Peukert |
| 26.01.2012 | 20:30 | 41 | 1543 (Cleanup, angeforderte Ersatzschlüssel) | Klaus Peukert |
| 22.03.2012 | 21:45 | 42 | 3672 | Klaus Peukert |
| 16.05.2012 | 19:30 | 43 | 8314 | Klaus Peukert |
| 26.05.2012 | 18:05 | 44 | 500 | Klaus Peukert (Ersatzeinladungen auf Anforderung) |
| 04.08.2012 | 21:20 | 45 | 24 | Klaus Peukert (Ersatzschlüssel) |
| 26.06.2012 | 22:15 | 46 | 3048 | Klaus Peukert |
| 06.08.2012 | 19:10 | 47 | 47 | Klaus Peukert (Ersatzschlüssel) |
| 03.09.2012 | 21:32 | 48 | 227 | Klaus Peukert (Ersatzschlüssel) |
| 03.09.2012 | 18:32 | 49 | 1310 | Klaus Peukert |
| 25.09.2012 | 22:46 | 50 | 62 | Klaus Peukert (Ersatzschlüssel) |
| 26.10.2012 | 13:05 | 51 | 581 | Klaus Peukert |
| 05.02.2013 | 22:05 | 52 | 81 | Klaus Peukert |
| 05.02.2013 | 21:05 | 53 | 353 | Klaus Peukert (Ersatzschlüssel) |
| 25.02.2013 | 14:10 | 54 | 38 | Klaus Peukert (Ersatzschlüssel) |
| 26.03.2013 | 14:25 | 55 | 62 | Klaus Peukert (Ersatzschlüssel) |
Verzeichnis Versand Referenzschlüssel an Clearingstelle zur Sperrung
Hier werden die an die Clearingstelle zwecks Sperrung übermittelten Schlüssel in ihrer Zahl protokolliert:
| Datum | Uhrzeit | # | Anzahl | Versendet durch |
|---|---|---|---|---|
| 16.8.2010 | 16:27 | 1 | 145 | Pavel Mayer |
| 22.8.2010 | 00:30 | 2 | 8 | Pavel Mayer |
| 31.8.2010 | 12:09 | 3 | 13 | Pavel Mayer |
| 19.9.2010 | 21:41 | 4 | 9 | Pavel Mayer |
| 26.10.2010 | 15:00 | 5 | 36 | Pavel Mayer |
| 5.1.2011 | 16:06 | 6 | 535 | Pavel Mayer |
| 20.1.2011 | 17:58 | 7 | 255 | Pavel Mayer |
| 17.2.2011 | 16:42 | 8 | 241 | Pavel Mayer |
| 25.6.2011 | 18:46 | 9 | 294 | Klaus Peukert |
| 17.8.2011 | 17:46 | 10 | 86 | Klaus Peukert |
| 1.9.2011 | 17:46 | 11 | 11 | Wilm Schumacher |
| 22.9.2011 | 23:35 | 12 | 40 | Klaus Peukert |
| 16.10.2011 | 18:25 | 13 | 70 | Klaus Peukert |
| 27.10.2011 | 20:45 | 14 | 50 | Klaus Peukert |
| 12.11.2011 | 18:00 | 15 | 38 (davon 2 evtl. bereits übermittelte) | Klaus Peukert |
| 26.11.2011 | 16:30 | 16 | 45 | Klaus Peukert |
| Klaus Peukert - Liste vor Sperrung durch Admins zurückgezogen | ||||
| 17.03.2012 | 11:50 | 17 | 1606 (1540 per Cleanup angeforderte Ersatzkeys, 12 Keys aus Einladungsbatch 41 entwertet (Feedback nach Erhalt Ersatzschlüssel, das Originalaccount funktioniert und doch kein neuer gewünscht wird)) | Klaus Peukert |
| 19.05.2012 | 14:05 | 18 | 1098 | Klaus Peukert (Sperre von auf Grund fehlerhafter Datenerfassung doppelt verschickten Einladungen) |
| 26.05.2012 | 18:05 | 19 | 500 | Klaus Peukert |
| 01.06.2012 | 00:05 | 20 | 20 | Klaus Peukert |
| 22.06.2012 | 19:45 | 21 | 515 | Klaus Peukert |
| 27.07.2012 | 17:21 | 22 | 607 | Klaus Peukert |
| 04.08.2012 | 21:30 | 23 | 24 | Klaus Peukert |
| 06.08.2012 | 19:15 | 24 | 47 | Klaus Peukert |
| 03.09.2012 | 21:33 | 25 | 229 | Klaus Peukert |
| 03.09.2012 | 21:23 | 26 | 130 | Klaus Peukert |
| 25.09.2012 | 22:50 | 27 | 62 | Klaus Peukert |
| 26.10.2012 | 13:30 | 28 | 855 | Klaus Peukert |
| 05.02.2013 | 23:00 | 29 | 3294 | Klaus Peukert (Deaktivierung unbenutzter Keys) |
| 25.02.2013 | 13:30 | 30 | 32 | Klaus Peukert |
| 26.03.2013 | 14:15 | 31 | 52 | Klaus Peukert |
Übersicht über Maßnahmen des Datenschutzes
1. Zutrittskontrolle
Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren
Maßnahmen der Zutrittskontrolle ergeben sich aus folgendem Prozess:
- "Prozess 2.16 physikalische Absicherung (Zutrittskontrolle)"
2. Zugangskontrolle
zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können
Grundsätzlich kann der lesende Zugriff auf die zur Veröffentlichung vorgesehenen Daten in LiquidFeedback durch jeden über das Internet unter verwendung der Web-Schnittstelle erfolgen. Zum Erlangen anderer Rollen werden im Falle der Rolle Teilnehmer eine Anmeldung per Anmeldenahme und Kennwort (Mindestlänge 8 Zeichen) unter Verwendung von Secure-Socket-Layer (SSL, https) sowie im Falle der Rollen der Administratoren Terminalanmeldung per Secure-Shell (SSH) unter Verwendung eines Anmeldenamens und privaten kryptographischen Schlüssels verlangt.
Maßnahmen der Zugangskontrolle ergeben sich ferner aus folgendem Prozess:
- "Prozess 2.11 Zugriffsberechtigung"
3. Zugriffskontrolle
zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können
Maßnahmen zur Zugriffskontrolle ergeben sich aus folgenden Prozessen:
- "Prozess 2.11 Zugriffsberechtigung".
- "Prozess 2.17 Protokollierung manueller Datenbankabfragen und -eingaben"
4. Weitergabekontrolle
zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
Sämtliche Übermittelungen von personenbezogenen Daten im Rahmen des Systemsbetriebs werden bei Verwendung der Web- oder Programmierschnittstelle mittels Secure Socket Layer (SSL, https) verschlüsselt. Manuelle oder automatisierte Übermittelungen von personenbezogenen Daten zwischen den am Systembetrieb beteiligten Stellen erfolgen nur nach vorhergehender Verschlüsselung nach dem PGP-Standard. Maßnahmen der Weitergabekontrolle ergeben sich ferner aus folgenden Prozessen:
- "Prozess 3.1 Neues Mitglied" (Punkt 3 Satz 2, Punkt 5 Satz 2)
- "Prozess 3.2 Statusänderung" (Punkt 4)
- "Prozess 3.2 Auflösung der Pseudonymität" (Übermittlung der Referenz- und Einladungsschlüssel)
- "Prozess 3.4 Umschlüsselung"
- "Prozess 3.5 Teilnehmerkreisprüfung" (Übermittlung der Referenz- und Einladungsschlüssel)
5. Eingabekontrolle
zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogenen Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind
Der Benutzer in der Rolle "Teilnehmer" kann durch die Benutzung von LiquidFeedback personenbezogene Daten über sich selber eingeben und dort wo die Abläufe der Datenverarbeitung in LiquidFeedback dies zulassen auch berichtigen, ändern oder wieder löschen. Weiterhin werden im Einzelfalle personenbezogene Daten durch Benutzer der Rolle "Administrator LiquidFeedback" oder "Administrator Clearingstelle" erhoben, berichtigt oder gelöscht. Diese Eingriffe im Einzelfalle erfolgen gemäß folgenden Prozess:
- "Prozess Protokollierung manueller Datenbankabfragen und -eingaben"
6. Auftragskontrolle
zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
Es findet keine Auftragsdatenverarbeitung statt.
7. Verfügbarkeitskontrolle
zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind
Maßnahmen zur Vefügbarkeitskontrolle ergeben sich aus folgenden Prozessen
- "Prozess 2.8 Datensicherung"
- "Prozess 2.9 Überprüfung der Datensicherung"
- "Prozess 2.10 Wiederherstellung einer Datensicherung"
- "Prozess 2.14 Disaster Recovery"
- "Prozess 2.6 Überwachung Verfügbarkeit"
- "Prozess 2.7 Überwachung Systemressourcen"
8. Trennungsgebot
zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Alle für den Systembetrieb anfallenden Daten dienen letztendlich dem gleichen Zweck, dem Betrieb der Plattform LiquidFeedback mit all seinen Facetten. Dennoch findet zum besonderen Schutz der Pseudonymität des Benutzers eine organisatorisch, technisch und personell getrennte Verarbeitung der das Benutzerkonto in LiquidFeedback mit dem Mitgliedseintrag des Teilnehmers in der Mitgliederdatenbank verknüfenden Daten statt.
Arbeitsdokumente
Statistik Mitgliederverwaltung und Support
Stand: 22.8.2010
- Versendete ReferenzSchlüssel: 11965
- Gesperrte Referenzschlüssel: 145 (Nachträglich ermittelte Nichtmitgliedschaft)
- Zur Sperrung übermittelte Schlüssel: 8 (3 Opt-Out, 2 Nichtmitglieder, 3 Neuerteilungen)
- Opt-Out im Vorfeld der Einführung: 1 Mitglied
- Opt-Out nach Erhalt des Referenzschlüssels: 3 Mitglieder
- Schlüsselneuerteilung wg. technischer Probleme: 3 Mitglieder
- Aktive Rückgabe von Schlüsseln wg. erloschener Mitgliedschaft: 2 Mitglieder
- Gesamtzahl von Support-Fällen: 17
Installations-Logbuch
Das Installationslogbuch dokumentiert einerseits die durchgeführte Installation im Detail, dient jedoch andererseits auch als Anleitung zur Neuinstallation, beispielsweise im Falle der Anwendung des Prozess Disaster Recovery. Das Installationslogbuch wird durch die Administratoren laufend gepflegt und an Änderungen angepasst.
Das Installationslogbuch wird als eigenes Dokument gepflegt:
Logbuch: Datenbankeingriffe
Diese Logbuch dokumentiert alle Änderunge an der, für den Betrieb der LiquidFeedback-Plattform verwendeten Datenbank.
Das Logbuch befindet sich hunter: LQPP/Datenbankeingriffe
Verzeichnis technische Dokumentation des LiquidFeedback-Systems
Das Verzeichnis stellt eine Liste der aktuell verwendeten Dokumente, Konfigurationsdaten, Skripte und Installationen (mit abweichenden Konfigurationen) dar.
- Installation
- Betriebssystem
- LiquidFeedback
- Konfiguration
- Betriebssystem
- Postgresql
- Postfix
- LiquidFeedback
- Lighttpd
- Skripte
- sonstige Dokumente
- Web-Dokumente
- E-Mail-Vorlagen