Hilfe, wir wurden gehackt! – Sicherheit bei digitalen Angeboten

Beinahe täglich werden Fälle von Sicherheitslücken, Hackingangriffen und „Datendiebstahl“ veröffentlicht. Davon auszugehen, dass man mit einem kleinen Internetangebot im Netz unattraktiv für Angriffe ist, erweist sich als Trugschluss. Es trifft große und kleine Plattformen, Onlinehops oder Websites gleichermaßen: Automatisiert werden Sicherheitslücken ausgenutzt, um Schadsoftware weiterzuverbreiten, Passwörter abzugreifen oder Spam zu verteilen. Schutzmaßnahmen gegen solche Angriffe müssen heute bereits Bestandteil der Planung eines Internetangebots sein. Aber auch im laufenden Betrieb lässt sich mitunter mit geringem Aufwand die Integrität der eigenen Plattform und die Sicherheit der Teilnehmenden deutlich erhöhen.

Grafik: GR8DAN, CC0 1.0 (https://creativecommons.org/publicdomain/zero/1.0/deed.de)

Der Aufbau neuer Angebote im Netz ist eine spannende und oft anspruchsvolle Aufgabe: Es gilt – zumeist in Kooperation – die detaillierte Funktionalität zu entwickeln, ein passendes Design abzustimmen und immer wieder in Bereichen, die vorher noch nicht ganz durchdacht waren, nachzusteuern. Während man sich in der Regel darüber im Klaren ist, dass sich die Inhalte einer neuen Plattform später noch weiter entwickeln werden, werden Aspekte wie Zugänglichkeit, Hilfen in leichter oder einfacher Sprache oder Sicherheit eher nur zu Beginn thematisiert und umgesetzt. Sobald das Web-Angebot online ist, wird diesen Aspekten kaum noch Beachtung geschenkt: Die Website scheint ja nach bestem Wissen abgesichert; und auch für Menschen mit mobilen oder visuellen Einschränkungen vorbereitet zu sein. Also nichts mehr zu tun, oder?

Der Schrecken ist groß, wenn man nach einer Weile merkwürdige Beiträge auf seiner Site entdeckt, wenn aus unerklärlichen Gründen der Speicherbedarf riesengroß wurde oder der Provider auf einen möglichen Einbruch hinweist.

Was bedeutet eigentlich ein Hackingangriff und warum ist er schlimm?

Hinter einem Angriff steckt nur selten eine konkrete Person. Meist handelt es sich um Programme, insbesondere spezialisierte Bots, die systematisch nach Schwachstellen auf Internetservern suchen. Diese Schwachstellen werden dann von den Bots selbst oder von Anderen für unerwünschte Aktivitäten ausgenutzt.

Konkret sind Schwachstellen z. B. häufig in Formularen zu finden, die die Nutzerdaten nicht sicher von unerwünschten Eingaben befreien: Eine Internetsite kann dadurch dazu gebracht werden, die Eingabe nicht als Daten, sondern als Befehle zu interpretieren. Aber auch das „Einklinken“ fremder Inhalte ist häufig zu leicht möglich.

Für Betreiber*innen von betroffenen Internetangeboten bedeutet das eine Reihe von Problemen. Am offensichtlichsten sind das Abfließen von personenbezogenen Daten, das Abgreifen von Login-Daten (weil viele Nutzer*innen dasselbe Passwort oft auch woanders verwenden), das Einbauen von unerwünschten Inhalten oder das Verteilen von Schadsoftware und Spam-Mails vom Server aus.

Auch kleine Websites sind für Angreifer*innen interessant: Sie können genutzt werden, um monatelang unbemerkt illegale Downloads in allen ihren Facetten anzubieten oder um die Website als Teil eines Botnets einzusetzen, das andere Server durch millionenfache Anfragen in die Unbenutzbarkeit kickt.

Neben den direkten Konsequenzen für die Website-Besucher*innen kommen überdies auch weitere Folgen auf die Betreiber*innen zu: Suchmaschinen könnten das Internetangebot auf ihre schwarze Liste gefährlicher Sites nehmen. Bei nachgewiesener Nachlässigkeit drohen Kündigung durch den Provider oder gar juristische Konsequenzen. Und nicht zu vergessen ist der Vertrauensverlust bei den Nutzer*innen, der lange Zeit nachhallen wird.

Das beste Mittel: Es gar nicht so weit kommen lassen

Betreiber*innen sollten sich daher schon vorher regelmäßig darum kümmern, dass das eigene Internetangebot aktuellen Sicherheitsanforderungen genügt. In den meisten Fällen wird man die zugrundeliegende Software auf dem Server nicht selbst entwickelt haben, sondern vorgefertigte Content-Management-Systeme wie Typo3 oder WordPress einsetzen. Die wichtigste Regel hierbei lautet, dass alle Updates dieser Systeme so schnell wie möglich auf dem eigenen Server eingespielt werden sollten: Wo Schwachstellen beseitigt wurden, hat ein Einbruchsversuch geringere Aussicht auf Erfolg. Oben genannte CMS werden beim Einrichten einer Website häufig durch Plug-ins erweitert, deren Qualität sehr unterschiedlich ist. Hier sollten diejenigen, die die Auswahl der Plug-ins treffen, auch die Zukunft im Blick haben: Wenn Plug-ins nicht mehr aktiv weiterentwickelt werden, ist davon auszugehen, dass früher oder später Schwachstellen auftreten, die dann nur mit professioneller Hilfe oder gar nicht mehr abgesichert werden können.

Gleichzeitig gibt es sehr hilfreiche Plug-ins, die beispielsweise Kommentarfelder auf mögliche Spambots überprüfen und so unerwünschte Nachrichten auf der eigenen Website sogar abwehren können.

Um zeitnahe Updates sicherzustellen, muss man nicht täglich alle Hersteller-Websites abklappern: Automatische Benachrichtigungen und Newsletter können behilflich sein. Eine Überprüfung auf Aktualisierungen benötigt häufig weniger als eine Stunde pro Vierteljahr – und sollte im besten Fall sogar täglich geschehen.

Sollte der Server nicht bei einem Webhosting-Provider angemietet worden sein, sondern selbst aufgesetzt und betrieben werden, dürfen die regelmäßigen Updates fürs Betriebssystem und die darauf laufenden Dienste wie Programmiersprachen, Web- und Datenbank-Server nicht vernachlässigt werden.

Zugangspasswörter von Nutzer*innen zu schützen, ist eine der Kernverantwortlichkeiten von Anbieter*innen. So muss z. B. verhindert werden, dass das System endlos neue Login-Versuche mit zufälligen Passwörtern zulässt. Gut ist es, wenn jeder fehlerhafte Login-Versuch eine kurze Zwangspause nach sich zieht. Damit können Angreifer*innen statt tausender Testballons nur noch wenige Anfragen im selben Zeitraum senden.

Auf älteren Internetangeboten werden Passwörter häufig nicht so hinterlegt, dass sie gegen Auslesen geschützt sind. Dies ist besonders problematisch, da Nutzer*innen oftmals dieselben Passwörter auf verschiedenen Sites verwenden. Ein Abgreifen auf einem Server zieht also Probleme auf weiteren Angeboten nach sich. Auf keinen Fall sollten Passwörter im Klartext abgespeichert sein. Durch das Bilden eines „Hash“, einer Art Quersumme bestehend aus mehreren Zeichen, können Betreiber*innen sogar ganz davon absehen, das tatsächliche Passwort auf dem Server zu hinterlegen: Die Kennworteingabe wird einfach ebenfalls „gehasht“ und mit dem hinterlegten Wert verglichen. Die Standards dieser Absicherung haben sich im Laufe der Jahre verändert. Bei älteren Sites ist daher möglicherweise der Umstieg auf einen neueren Standard ratsam. Das bedeutet jedoch, dass alle Nutzer*innen ihre Passwörter selbst einmal neu vergeben müssen: Neue Kennwörter unverschlüsselt per E-Mail zu verschicken ist dabei keine gute Idee.

Eine Verbindungsverschlüsselung zum Internetangebot sollte heutzutage Standard sein: Erst wenn Nutzer*innen eine Website über https statt über http aufrufen können, ist die Eingabe personenbezogener Daten und Passwörtern vor fremden Einblick abgesichert. Das gilt übrigens auch für die administrativen oder redaktionellen Logins, die man zum Pflegen der Inhalte braucht.

Hilfreich bei der Einschätzung von möglichen Sicherheitslücken sind Dienste wie das Mozilla-Observatory, das ein Internetangebot auf viele potenzielle Angriffspunkte überprüft und hilfreiche Infos zum Absichern gibt. Dabei muss man jedoch stets Augenmaß behalten: Nicht alle Absicherungen sind sinnvoll, wenn dadurch das Internetangebot nur noch umständlich nutzbar wird und Nutzer*innen möglicherweise fernhält.

Websites, die nicht mehr aktiv bespielt werden, sondern lediglich aus dokumentarischen Zwecken online erreichbar bleiben sollen, kann man überdies auch für lange Zeit absichern, wenn alle datenbankgenerierten Inhalte einmalig als statische Seiten exportiert werden und der Datenbankserver abgeschaltet wird. Da alte Projektwebsites in der Regel seltener aufgerufen werden, könnte ein Servereinbruch eine Weile unbemerkt bleiben.

Auch ist „automatisches Vergessen“, d. h. automatisiertes Löschen nach einem gewissen Zeitraum, ein guter Ansatz. Nicht mehr benötigte Daten werden entfernt, bevor sie für unerwünschte Zwecke missbraucht werden können.

Grundsätzlich gilt: Alle Daten, die nicht erhoben werden, können später auch nicht in fremde Hände abwandern. Das Prinzip der Datensparsamkeit ist also weiterhin eine sinnvolle Herangehensweise. Und Hand aufs Herz: Benötigt man von Nutzer*innen wirklich alle Angaben – von Alter über Stadtteil bis hin zu Hobbys?

Sich als Anwender*in schützen

Entgegen der landläufigen Meinung stellen nicht Antivirus-Programme das A und O der Absicherung dar, sondern regelmäßige Updates des genutzten Betriebssystems und der darauf laufenden Software. Ein Antivirus-Programm kann sogar neue Sicherheitslücken ins System reißen, so dass manche renommierte Entwickler*innen sogar gegen Antivirus-Programme wettern.

Passwörter sollten eher lang (14 Zeichen oder mehr) und mit einer Eselsbrücke zu merken sein. Kurze, aber kryptische Kombinationen führen eher dazu, dass man die Passwörter vergisst. Da Angreifer*innen in sogenannten Brute-Force-Attacken einfach alle möglichen Kombinationen durchprobieren, ist jedes Extrazeichen ein deutlicher Sicherheitszugewinn: Allein wenn man die 26 Buchstaben in Groß- und Kleinbuchstaben und die Ziffern 0-9 heranzieht, dann bedeutet jedes zusätzliche Zeichen eine 62-fach höhere Sicherheit! Empfehlenswert ist natürlich auch der Rückgriff auf Sonderzeichen an unerwarteter Stelle, dann sind Attacken auf Basis von Wörterbüchern weniger Erfolg versprechend.

Überraschend ist möglicherweise auch die Erkenntnis, dass Adblocker, also Browser-Erweiterungen, die das Einblenden von Werbung verhindern sollen, den eigenen Rechner auch besser absichern: Leider ist in der Vergangenheit gerade über die Werbenetzwerke, die selbst auf großen Onlinemagazinen zum Einsatz kommen, oftmals Schadsoftware an die Besucher*innen verteilt worden.

Und wenn doch einmal etwas schiefläuft

Wenn doch einmal ein Servereinbruch stattgefunden hat, dann gilt es dennoch Ruhe zu bewahren. Die betroffenen Dienste sollten so schnell wie möglich offline genommen werden, bis sie wieder in abgesicherter Weise zur Verfügung stehen. Auch den Nutzer*innen gegenüber sollte man transparent sein: Dies zeigt, dass man vertrauenswürdig bleibt selbst in Problemsituationen. „Security by obscurity“, also Sicherheit durch Verheimlichen vorzutäuschen wird langfristig nicht helfen. Auf Sicherheitslücken spezialisierte Suchmaschinen stehen in den Tiefen des Internets schon zur Verfügung.

CC BY 3.0 DE
Tim Schrock arbeitet beim Deutschen Bundesjugendring und ist innerhalb des Projekts jugend.beteiligen.jetzt zuständig für die Entwicklung digitaler Tools für Jugendbeteiligung.

Digitale Tools und Mehrsprachigkeit – ePartool

Das ePartool ist ursprünglich für die deutsche Umsetzung des europäischen Strukturierten Dialogs mit der Jugend entwickelt worden. Allerdings gab es bereits vor drei Jahren mehrere Gespräche mit der EU-Kommission, da sie Ideen und Teile des ePartools für europäische Konsultationen übernehmen wollten. Auch aus diesem Grund begannen wir damit, das ePartool besser darauf vorzubereiten, dass es auch in mehrsprachigen Szenarien eingesetzt werden kann.

Kern einer Internationalisierung bzw. Lokalisierung für verschiedene Sprachen sind Sprachdateien. Das bedeutet, dass einzelne Meldungen des Systems, Buttons, Beschriftungen usw. nicht direkt im Quelltext der Programmierung zu finden sind, sondern über Platzhalter die jeweils ausgewählte Sprachversion „eingestempelt“ wird. Zur Übersetzung muss später also nur die einzelne Sprachdatei überarbeitet und nicht die gesamte Programmierung durchsucht werden.

Screenshot Testversion Tschechisch

Bei Mehrsprachigkeit müssen auch die verfügbaren Schriften alle notwendigen Zeichen abdecken, sonst sieht’s schnell komisch aus.

Derzeit wird das ePartool in mehrere Sprachen übersetzt: Neben der bestehenden deutschen und englischen Version sind Übersetzungen ins Französische, Spanische, Polnisch, Tschechische, Russische und sogar ins Arabische bereits recht weit fortgeschritten. Wie immer liegt der Teufel im Detail.

  • Die Konzepte hinter den verschiedenen Begriffen im ePartool müssen für die Übersetzenden nachvollziehbar sein. Und dann müssen sie noch einen guten Begriff in ihrer Zielsprache finden. Hier sind auch die späteren Nutzergruppen zu berücksichtigen. Solche Fragen müssen wir uns auch in der deutschen Entwicklung immer wieder stellen: Ist „Konsultation“ ein guter Ausdruck oder wäre „Beteiligungsrunde“ besser zu verstehen?
  • Sprachen benötigen eine unterschiedliche Anzahl von Buchstaben, um Dinge auszudrücken. Reicht hierfür stets der Platz?
  • Was ist in der jeweiligen Sprache üblich: Werden die Nutzer*innen direkt angesprochen oder formuliert man Systemmeldungen eher in der dritten Person?
    – Die Darstellung von Datum und Uhrzeitangaben oder Zahlen (Tausender/Dezimalstellen) sind sehr unterschiedlich.
  • Screenshot Testversion Russisch

    Manche Sprachen benötigen mehr Buchstaben als andere.

  • Welche Auswirkungen haben Übersetzungen auf die Gestaltung das „Graphical User Interface“ (Nutzeroberfläche)? Gerade wenn man wie im Arabischen von rechts nach links schreibt, sind auf europäische Sprachen ausgerichtete Pfeile und Grafiksymbole möglicherweise gar nicht mehr passend.
  • Überlegt werden muss auch, wie weit die Mehrsprachigkeit gehen soll: Ist der bestehende Sprachumschalter im Adminbereich ausreichend oder sollen Nutzer*innen selbst die Sprache für sich umschalten können? Was passiert mit den Inhalten, die nur einsprachig verfügbar sind?

Wir widmen uns Stück diesen Aufgaben, damit das ePartool und bald auch die anderen Tools in vielen Sprachen nutzbar werden. Wenn ihr uns bei der Übertragung in weitere Sprachen unterstützen wollt, sprecht uns gerne an!

Antragsgrün 3.6: Bessere Live-Diskussion

Das bei Jugendorganisationen mittlerweile häufig eingesetzte „Antragsgrün“ ist einer neuen Version 3.6.0 erschienen. Gerade für die gemeinsame Bearbeitung und Visualisierung von Anträgen und Texten bei Gremien oder Konferenzen finden sich in dieser Version hilfreiche Verbesserungen.

Weniger Konflikte, einfachere Diskussion
Mehrere überschneidende Änderungsvorschläge werden im Visualisierungsmodus übersichtlicher dargestellt. (Den Visualisierungsmodus erreicht ihr als Admins über „Änderungen einpflegen“.) Auch können Admins nun den Originaltext bearbeiten, ohne bestehende Änderungsanträge zu korrumpieren. Wenn es durch die Bearbeitung zu Konflikten mit bestehenden Änderungsanträgen kommen würde, können sie manuell aufgelöst werden.
Als ersten Schritt zu weniger konfligierenden Änderungsvorschlägen ist es nun auch möglich, dass Admins einen Änderungsantrag in den Originalantrag übernehmen und daraus eine neue Basisversion erstellen. Der ursprüngliche Textentwurf und der separat eingetragene Änderungsvorschlag verbleiben im System und können zum späteren Vergleich weiterhin aufgerufen werden. Auch hier gilt: Wenn es durch die Bearbeitung zu Konflikten mit weiteren bestehenden Änderungsanträgen kommen würde, können sie manuell aufgelöst werden.
Rechtzeitig für eine Live-Antragsberatung oder am Ende der Eingangsfrist können Textentwürfe/Anträge für weitere schriftlich eingehende Änderungsvorschläge gesperrt werden: Zu spät eingereichte Änderungen können somit künftig nicht mehr geschehen (oder übersehen werden).
Wenn Anträge/Textenwürfe oder Änderungsvorschläge eingetragen werden, werden Admins nun automatisch per eMail informiert. Die Neuigkeiten werden natürlich auch weiterhin in der ToDo-Liste im Backend angezeigt. Auch werden weniger Klicks benötigt: Antragsgrün zeigt bereits durch ein Pop-Over den Inhalt von Änderungsanträgen im Backend an.

Inhalte komfortabel exportieren
In Sammel-PDFs beginnt die Seitennummerierung nun bei jedem Antrag/ Textentwurf neu. Im Backend können nun Anträge mitsamt aller Änderungen als Sammel-PDF exportiert werden. Weitere Verbesserungen wurden auch beim OpenDocument-Export vorgenommen.
Der Export zu OpenSlides 2.1 oder neuer wird nun unterstützt: OpenSlides ist ein freies, webbasiertes Präsentations- und Versammlungssystem zur Verwaltung und Projizierung von Tagesordnungen, Anträgen und Wahlen einer Versammlung, ist aber bei der Antragsvisualisierung Antragsgrün deutlich unterlegen.

Installieren auch für kleine Webhostings leicht gemacht
Die für kleinere Webhosting-Pakete schon angepasste Version könnt ihr direkt unter https://www.hoessl.eu/antragsgruen/antragsgruen-3.6.0.tar.bz2 herunterladen. Die Variante für den eigenen, „richtigen“ Server gibt es wie immer direkt bei Github unter https://github.com/CatoTH/antragsgruen.

Bei dieser Gelegenheit wollen wir euch gerne ans Herz legen, auf eurem Webhosting zu überprüfen, ob PHP in der aktuellen Version 7.x zum Einsatz kommt. Unter älteren PHP-Versionen können Fehler auftreten – und 5.5 oder älter wird auch nicht mehr mit Sicherheitsupdates unterstützt. Euer Provider hat sicher bereits die Version 7.x einsatzbereit geschaltet.

Weitere Änderungen zu dieser Version und künftige Aktualisierungen erfährt man immer ganz aktuell auf Github in der Entwicklungshistorie: https://github.com/CatoTH/antragsgruen/blob/v3/History.md.

Barcamptools.eu mit neuem Ticketmodus

Unsere Software zum Organisieren von Barcamps und ähnlichen Veranstaltungen hat einen „Ticketmodus“ bekommen. Damit können sich Teilnehmende nicht nur für einzelne Teil-Events anmelden, sondern auch für ganze Camps/Veranstaltungen. Als Organisator*in könnt ihr unterschiedliche Tickets anbieten, so dass verschiedene Zielgruppen angesprochen werden können.
 
Neu verfügbar sind auch Einstellungen für eigene AGB und Stornierungsregelungen.
 
Eine ausführliche Beschreibung der neuen Funktionen findet ihr demnächst auch unter http://blog.barcamptools.eu. Die zugrundeliegende Software „Camper“ wird als OpenSource-Software entwickelt und kann frei über Github bezogen werden (https://github.com/comlounge/camper).
 
Wie bei allen größeren Umbauten können noch Fehler auftreten. Wir freuen uns über euer Feedback!

DBJR_Antrag und Antragsgrün 2017

In wenigen Tagen erscheint mit Version 3.6.0 das erste Release von Antragsgrün im Jahr 2017: Ein guter Zeitpunkt also, um sich über die weiteren Entwicklungsziele für das laufende Jahr Gedanken zu machen. Der DBJR ist bei der Entwicklung von Antragsgrün nicht federführend, sondern beteiligt sich durch intensives Testen, Verbesserungsvorschläge und finanzielle Ressourcen. Unser Ziel ist es, das ursprünglich für Parteien erdachte Antragsgrün für Einsatzzwecke bei Jugendverbänden oder anderen NGOs immer nützlicher zu machen. Vor wenigen Tagen trafen wir uns mit dem Hauptentwickler Tobias Hößl und berieten die Entwicklungsschwerpunkte, die wir im Jahr 2017 setzen wollen.

Anders als es der Name „Antragsgrün“ suggeriert, umfassen die Möglichkeiten des Tools deutlich mehr als nur den Einsatz für „Antragsberatung“.

Übersichtlicher diskutieren durch Ausschöpfung digitaler Möglichkeiten

Seitdem der DBJR sich in die Entwicklung von Antragsgrün einbringt, lag bei uns der Schwerpunkt in der Verbindung von Online- und Offlineprozessen: Antragsgrün sollte die übersichtliche Erarbeitung von Texten ermöglichen und dies zugleich für reine Onlineprozesse wie auch eine Beratung und Diskussion auf einem Live-Treffen unterstützen: Der Visualisierungsmodus („Änderungsanträge einpflegen“) kam damit hinzu. Dank des Antragtools zeigte sich in Arbeitsgruppen und Gremien, dass sich die Notwendigkeit verringerte, Diskussionspapiere und ihre Änderungsvorschläge jeweils auf Papier zu verteilen. Zugleich erhöhte sich damit auch die Geschwindigkeit fürs Einbringen von neuen Ideen und Vorschlägen deutlich. Die größere Transparenz wiederum brachte Antragsgrün an seine Grenzen: Mehrere Vorschläge, die sich alle auf dieselbe Textstelle beziehen, sind im Tool kaum mehr darstellbar. Dieses Problem ist zwar auch bei zahlreichen Änderungsvorschlägen in Papierentwürfen altbekannt, jedoch zeigt sich durch die höhere Präsenz eines Onlineverfahrens das Problem in noch drastischerer Weise. Zugleich wurde die Verwirrung von Teilnehmenden bei komplexen Diskussionen durch eine weitere, noch bestehende technische Limitierung von Antragsgrün verstärkt: Der aktuelle Diskussionsstand einer Live-Beratung kann nur durch den administrativen Visualisierungszugang verfolgt werden. Hier ist Antragsgrün also noch nicht über die Beschränkungen der früheren Papierform hinausgewachsen.

Als Entwicklungsziele für 2017 haben wir uns daher vor allem vorgenommen, dass die Darstellung komplexer Diskussionsstränge für Teilnehmende schneller erfassbar gemacht werden soll. Die digitalen Möglichkeiten können hier also noch deutlich stärker ausgeschöpft werden.

Unnötige Komplexität aus Diskussionen herausnehmen

Als ersten Schritt, um die Textberatung zu vereinfachen, wollen wir eine Funktion integrieren, die es ermöglicht unstrittige Änderungsvorschläge oder redaktionelle Änderungen schon vorab direkt zu übernehmen. In Gremiensitzungen gäbe dies Originalantragstellenden die Möglichkeit manche Diskussion zu verkürzen und mögliche kollidierende Vorschläge zum gleichen Textabschnitt später zu vermeiden.
Konzeptionell ist die Herausforderung dabei, zu verhindern, dass sich mit der Übernahme einer Änderung andere Änderungsvorschläge nicht mehr im Text verorten könnten. Der Umgang mit solchen Fällen kann keine Software lösen, da es sich um inhaltliche Abwägungen handelt.

Kollidierende Änderungen sollen in der Visualisierungsansicht übersichtlicher dargestellt werden. Erste Schritte hierfür sind bereits umgesetzt: Die Kollisionen werden nun neu optisch durch eine feine Linie am Anfang und Ende vom Resttext abgehoben. Ein kurzer Texthinweis zum Anfang/Ende wird noch ergänzt werden, damit die fraglichen Stellen wirklich klar abzugrenzen.
Häufig zu Verwirrungen führte auch das Verschieben von ganzen Textabschnitten. Während ein Mensch ein Verschieben aus inhaltlichen Gründen klar nachvollziehen kann, entspricht das Verschieben aus Softwareperspektive lediglich einem Entfernen und einer Neueinfügung an einer anderen Stelle. Hier wollen wir noch an Konzepten arbeiten, damit Antragsgrün eine Verschiebung als solche erkennt und damit entsprechend umgehen kann.

Sich selbst schneller informieren können

Anders als bei papiergebundenen Textentwürfen könnte ein digitales Werkzeug Veränderungen nahezu ohne Verzögerung zur Verfügung stellen. Um dem Informationsbedürfnis der Diskutierenden besser zu entsprechen, sollen auch die Teilnehmenden künftig einen Lesezugriff auf die bestehende „Änderungen einpflegen“-Ansicht bekommen.
Hierzu wird Antragsgrün voraussichtlich in kurzen Abständen den aktuelle Diskussionsstand zwischenspeichern und allgemein verfügbar machen. Diese Funktion hat noch einen angenehmen Nebeneffekt: Bisher erlaubte Antragsgrün nur einen Durchgang zur Live-Diskussion. Das Abspeichern aus der Visualisierungsansicht hatte bisher zur Konsequenz, dass Änderungsanträge nicht mehr sichtbar waren. Durch die Weiterentwicklung werden künftig auch mehrere Lesungen/Behandlungsrunden eines Textentwurfs und seiner Änderungsvorschläge möglich.

Weitere Veränderungen

An vielen Stellen in Antragsgrün werden weitere Verbesserungen vorgenommen werden, um die gemeinsame Texterarbeitung und -diskussion komfortabler zu machen. Neben hilfreichen Benachrichtigungen bei zeitkritischen Fragen (Änderungen verfolgen) innerhalb des Prozesses ist Antragsgrün durch neue Import- und Exportfunktionen (z.B. OpenSlides) immer besser auch auf den gesamten Workflow vorbereitet.

Das Feedback von Nutzenden ist bei der Entwicklung sehr hilfreich. Wir bringen eure Kritikpunkte, Vorschläge und Ideen gerne in die weitere Entwicklungsplanung mit ein.

 

Work in Progress: ePartool in Version 4.1.2 erschienen

Das erste Release im neuen Jahr kommt mit einem umfangreichen Entwicklungslog von 85 erledigten Aufgaben: Es gibt Neues sowohl für die Nutzer_innen wie auch unter der Haube.

Der Großteil der Entwicklungsarbeit an dieser Version beinhaltet Verbesserungen, damit das ePartool auch langfristig einsetzbar bleibt. Dies umfasst Dinge wie verbesserte PHP 7-Unterstützung, erweiterter Unicode-Raum, Beginn des allmählichen Abschieds vom ZEND-Framework, Follow-up-Handling bei über 9999 Beiträgen und mehr Schutz vor unvorhergesehen Zuständen im System.

Was es sichtbar Neues gibt

Abstimmungsergebnisse verlinken nun individuell zur Zeitleiste eines Beitrags, falls eine Reaktion oder Wirkung zum Beitrag existiert. Bisher verlinkten die Abstimmungsergebnisse auf die ursprünglichen Beitragsseiten, was für Besucher_innen wenig Nutzen brachte. Die optische Lösung entspricht noch nicht 100%ig unseren Vorstellungen: Der notwendige Kompromiss für eine funktionierende Lösung sowohl für Maus wie auch für Touchbedienung ist vorläufig und beachtet, dass man auf Tablets und Smartphones kaum Möglichkeiten wie ein Mouseover am Desktop hat – gerne könnt ihr uns eure Verbesserungsvorschläge mitteilen.

Bildschirmfoto Gruppengrößen

Für jede Beteiligungsrunde können Gruppengrößen nun individuell eingestellt werden.

 

Das automatisches Erkennen/Verarbeiten von Videobeiträgen wurde verbessert: Es werden mehr Fälle abgefangen, wie die Videolinks von den Nutzer_innen eingetragen werden und dann weiterhin korrekt eingebettet werden können (verschiedene Adressierung derselben Inhalte wie www.youtube.com, m.youtube.com, mit und ohne https, mit und ohne www usw.)

Das ePartool ist flexibler geworden und erlaubt es künftig für jede Beteiligungsrunde  Altersgruppen und Gruppengrößen spezifisch anzupassen. Standardmäßig eingestellt sind die bisherigen Gruppen.

Das Abstimmungsmodul wurde ebenfalls weiter auf die unterschiedlichen Einsatzzwecke optimiert: Zu Abstimmungen kann die Wahlmöglichkeit »Keine Meinung« künftig ein- und ausgeschaltet werden.

Die Hilfefunktion ist auf mehr Seiten im Redaktionsbereich verfügbar (aber noch nicht mit Inhalten gefüllt) und der Editor für die Hilfeseiten wurde übersichtlicher gestaltet. Hilfreich ist auch die neue Statusanzeige, die Auskunft darüber gibt, welche Abstimmungseinladungen bereits verschickt wurden und welche nicht.

Work in Progress – so geht’s weiter

Dank vieler Fehlerbehebungen und Verbesserungen ist die neue Version gut auf den Einsatz auch auf eurem eigenen Server vorbereitet. Die Entwicklungsarbeit ist derzeit jedoch in vollem Gang und bereits vor Ende Februar werden wir eine neue Version vorstellen, die weitere Verbesserungen beinhaltet.

Auf unserer Seite „Download / Installation“ findet ihr die aktuelle Version zum Herunterladen.

Mehr Datenschutz beim Yourpart-Etherpad

Das Etherpad unter www.yourpart.eu ermöglicht unkompliziert ein gleichzeitiges Arbeiten an Texten selbst über Distanzen hinweg. Nach einem Serverwechsel können wir den Dienst nicht nur zuverlässiger anbieten, sondern nun auch Datenschutz und die Wahrung der Privatsphäre der Nutzer*innen verbessern.

Ab sofort sind alle Verbindungen zum Etherpad-Server unter yourpart.eu automatisch verschlüsselt. Texteingaben können also auch beim Arbeiten in öffentlichen WLANs nicht von Dritten mitgelesen werden.

Screenshot

Beim Anlegen eines Pads lässt sich ein automatisches Löschen nach 30 Tagen Inaktivität eintragen (Screenshot: yourpart.eu)

Spannend ist auch die Neuerung, dass man beim Neuanlegen von Pads auswählen kann, ob das Pad nach 30 Tagen Inaktivität automatisch gelöscht werden soll: Veraltete Texte sind also nicht mehr automatisch für immer öffentlich abrufbar. Nutzer*innen haben damit künftig die Wahl, ob sie nur kurzfristig mit einem Pad arbeiten oder langfristig Inhalte zur Verfügung stellen wollen. Bestehende Pads werden durch diese neue Option natürlich nicht verändert.

Wir glauben, dass wir mit diesen beiden Verbesserungen eine Brücke zwischen dem offenen Ansatz von Etherpads und zugleich dem Wunsch nach einem gewissen Datenschutzniveau schlagen konnten.

Barcamptools: Version 2.1 des „Camper“

Auf www.barcamptools.eu  können Barcamps, Seminare und ähnliche Veranstaltungen kostenfrei organisiert werden. Seit dem Jahreswechsel stehen mit der Version 2.1 des „Camper“ zahlreiche neue Funktionen zur Verfügung und das Managen von Veranstaltungen wird komfortabler.

Hilfreich: Checkliste für die Veranstalter

Der Funktionsumfang der Barcamptools ist mittlerweile recht weitreichend. Um die Übersicht nicht zu verlieren, wird man als Veranstalter*in nun durch eine digitale Checkliste beim Verwalten unterstützt. Natürlich sind aber nicht alle Punkte für jede Veranstaltung zwingend erforderlich.

Screenshot

Die neue Checkliste für Veranstalter (Screenshot barcamptools.eu)

Im Bereich der Sessionplanung kann die Anzahl der Interessent*innen pro Session vermerkt werden. Dies kann wichtig sein, wenn man z.B. Sessions noch einmal umorganisieren will.

Automatische Medieneinbindung

Bislang war es nicht möglich, YouTube-Videos oder andere Quellen direkt in die Barcamp-Beschreibung einzubinden. Ab jetzt geht dies einfach durch die Angabe der Web-Adresse – um den Rest kümmert sich das Tool selbst.

Registrieren und Anmelden in einem Schritt

Etwas verwirrend war bislang die Notwendigkeit sich vor der ersten Anmeldung zu einem Barcamp separat auf der Plattform registrieren zu müssen. Diese beiden Schritte haben wir nun in einen Schritt zusammengefügt.
Auf Wunsch kann man sich als Barcamp-Admin jetzt Mails zusenden lassen, wenn sich Teilnehmende registrieren oder wieder absagen. Man wird also schneller über Veränderungen der Anmeldezahlen informiert und behält also etwas einfacher den Überblick. Eingeschaltet werden kann das im allgemeinen Barcamp-Bearbeitungs-Formular.

Open Source – Feedback willkommen!

Der „Camper“, auf dem die Plattform barcamptools.eu basiert, wird im Rahmen von jugend.beteiligen.jetzt als OpenSource-Software weiterentwickelt. Der Quellcode und eine Installationsanleitung für eigene Server ist auf https://github.com/comlounge/camper verfügbar.

Abstimmungsergebnisse und (un)bestätigte Teilnahmen

Die Hürden zur Teilnahme an Beteiligungsrunden im ePartool sind bewusst niedrig angesetzt. Um abstimmen zu können, benötigen Teilnehmende lediglich einen „Abstimmungscode“ und eine eMail-Adresse. Die Abstimmungsteilnahme muss dann lediglich über einen Bestätigungsklick in einer automatisch vom System verschickten Mail endgültig bestätigt werden. Wenn Teilnehmende als Mitglieder einer Gruppe mit abgestimmt haben, dann muss auch der/die Gruppenverantwortliche die Teilnahme per Klick bestätigen.
Den Bestätigungsklick haben in der Vergangenheit viele Teilnehmende schlicht vergessen oder haben erst nach Ende der Teilnahmefrist versucht ihre Abstimmung zu bestätigen. Aufgrund dieser Erfahrungen hat das ePartool in der Vergangenheit beim Abstimmungsergebnis pragmatisch alle Teilnehmenden gezählt, solange ihre Teilnahmeberechtigung nicht explizit abgelehnt wurde. Seitdem das ePartool automatisch Erinnerungsmails verschickt, ist es unwahrscheinlicher geworden, dass die Notwendigkeit der Bestätigung einer Abstimmungsteilnahme übersehen wird. Daher unterscheidet das ePartool ab Version 4.x nun korrekterweise nicht-bestätigte von bestätigten Teilnahmen und berechnet das Abstimmungsergebnis standardmäßig nur noch auf Basis der bestätigten Nutzer_innen.

Antragsgrün in Version 3.5.0 erschienen

Antragsgrün, die Software hinter DBJR_Antrag, ist in einer neuen Version erschienen. Erstellte Texte/Anträge können nun unterschiedliche Überschriften beinhalten (Hauptüberschriften, Zwischenüberschriften usw.). Die Visualisierungsdarstellung und der Export von Texten als PDF und ODT wurde weiter verbessert.

Hochgeladene Grafiken werden vom Server nun automatisch optimiert, falls Imagemagick vorhanden ist: Metadaten werden aus der Grafik entfernt, um die Privatsphäre von Nutzer_innen besser zu schützen und mögliche Komplikationen bei der PDF-Generierung zu reduzieren.

Unter der Haube fanden viele Verbesserungen statt – alle Änderungen zu dieser Version erfährt man auf Github in der Entwicklungshistorie: https://github.com/CatoTH/antragsgruen/blob/v3/History.md