AG DI Meeting vom 11. August 2013¶

Present

• SimonRupf
• Exception
• jowi
• LuckyLuke
• oschad

Excused

Absent

• Tuor
• Vanadis
• mutand13
• die's man
• Odi

Other present parties

Ort: Mumble
Leitung:Oli
Protokollant: Lukas
Beginn: 19:04

Messages¶

• oli: Ich bin auch aus dem Urlaub zurück, wenn Lukas das kann dann merke ich das auch an :P

Traktanden / Varia¶

AG DI, Mitglieder und Abwesenheit¶

Einige Personen sind "obligatorisch" abwesend. Wir können diese einfach stillschweigend als dauerhaft abwesend anerkennen, so dass wir die nicht wie im Reglement ausschliessend sondern dass wir die einfach nicht mehr führen.
Seid Ihr damit einverstanden dass wir diese vier Personen (Vanadis, Mutant13, diesman, odi) einfach als "ruhendes Mitglied" (keine Rechte mehr auf den Systemen) führen so dass wir sie, wenn sie wieder wollen, einfach melden können?

Ja: Lukas , Jonas, Oli
Nein: -
Enthaltung: Stefan

Pflichtenheft SPO, https://projects.piratenpartei.ch/issues/5534¶

Aktuelles Pflichtenheft¶

Art 1 Fundamentals

1 The Security and Privacy Officer is an independent audit institution responsible only to the Board.
2 The Security and Privacy Officer is not bound by any instructions except this ordinance and superior regulations.

Art 2 Election and removal

1 The Security and Privacy Officer is elected for a term of one association year by the Board.
2 When the office becomes vacant during the term, a by-election is held by the Board.
3 The Security and Privacy Officer may not be a member of the Board, the Control Committee or any organ, office or outsourced activity that might have security or privacy issued.
4 The Security and Privacy Officer may be dismissed by a two-thirds majority of the Board.

Art 3 Tasks

1 The Security and Privacy Officer shall inspect all organs, offices and outsourced activities of the Pirate Party Switzerland where security or privacy issues might arise.
2 The committees and the Pirate Court are excempt from the activities of the Security and Privacy Officer. They may however request the services of the Security and Privacy Officer at their discretion.
3 The Security and Privacy Officer shall analyze threats, concerns and problems and shall recommend improvements directly to the head of the organ, office or outsourced activity.
4 The Security and Privacy Officer shall put forward his recommendations in formal motions to the organ, office or outsourced activity if they are not otherwise heeded.

Art 4 Reporting

1 The Security and Privacy Officer shall report orally and in written summary to the Board once a month. In the absence of a board meeting the report is made both to the Presidium and Direction.
2 The regular report shall cover any thread, concerns and problems encountered, any recommendations given and any progress made in mitigation. The regular report shall recommend to the Board any additional measures deemed necessary in mitigation.
3 The Security and Privacy Officer shall report in writing to the Pirate Assembly anually.

Art 5 Emergencies

1 In case of clear and present danger to security or privacy, the Security and Piracy Officer shall inform the head of the corresponding organ, office or outsourced activity without delay and demand immediate mitigation.
2 Should the organ, office or outsourced activity fail to mitigate the problem in a reasonable time the Security and Privacy Officer shall inform the President and the Director immediately.

Art 6 Sources

1 The Security and Privacy Officer has the right to sit in on meetings, review documents and inspect physical data storage of the organs, offices and outsourced activities.
2 The Security and Privacy Officer is forbidden from disclosing any information received in this capacity except as necessary in the reports.

Art 7 Access

1 The Security and Privacy Officer has read access to all systems and services. Where read access is not feasible, the Security Officer has full access. The Security and Piracy Officer is forbidden from modifying any system or service using his privileges.
2 Any access requested by the Security and Privacy Officer must be granted as soon as possible.

Art 8 Organization

1 The Security and Privacy Officer shall autonomously organize his activities.
2 The Security and Privacy Officer may appoint and dismiss deputies and delegate any power or task except his duty to report.

Diskussion¶

• Oli: Hat jemand das Pflichtenheft nicht gelesen oder gibt es generelle Fragen, Anmerkungen, etc?
• Simon: Art. 1.1 würde ich eher so sehen: «The Security and Privacy Officer is part of the workgroup Digital Infrasture.» Ich finde der SPO sollte Teil der AG DI sein, damit er eben nicht von aussen in die AG DI eingreift sondern aus dieser heraus.
• Stefan: War meines Wissens nicht der Wunsch des Vorstandes.
• Oli: Genau aus dem Gund, dass es eben Reibereien gibt, sollte der SPO genau NICHT Teil der DI sein. Auch unter anbetracht dessen, dass er keine Rechte hat auf den Systemen.
• Jonas: Ich glaube für diese Aufgabe braucht man doch zugriff auf die Systeme, oder?
• Oli: Nein, normalerweise nicht, die Datenschutzbeauftragte sind normalerweise nicht Teil des teschnischen Teams. Sie beraten lediglich sind aber nicht berechtigt auf das System zu zu greifen.
• Lukas: Ich denke auch dass ein SPO mehr beratende und nicht eingreiffende Tätigkeiten mahcen sollte.
• Simon: Sobald jemand zugriff bekommen sollte, kann das recht mühsam sein, nur lesend auf Logfiles etc. zugriff zu geben. Wir könnten einfach einen zentralsn syslog server einrichten.
• Lukas: Das ist doch aber eher ein Sicherheitsverantworktlicher und kein Datenschutzverantworlicher der sieht ob und von wo z.B. ein Hackingversuch stattfindet.
• Oli: Das eine ist eher organisatorisch, das andere eher technisch umsetzend.
• Stefan: Nun sind es schon drei Jobs, Techisch umsetzend, Aufsichtsmässig und organisatorisch. Hier geht es eher um die Aufsicht, nicht um die anderen beiden.
• Oli: Lasst uns mal zwei Fälle diskutieren: 1. Jemand der technisch versiert ist und sich bemüht; 2. Jemand der sich nicht so darum bemüht und nicht so sehr kooperativ ist. Es geht hier nun um Art. 7, also die Rechte. Bei Person 1 gäbe es hier keine Probleme, bei Person 2, der Unkooperativen, sehe ich schon eher Probleme. Deswegen sollte der SPO eher keinen Zugriff habe da Person zwei die Arbeit der DI verunmöglichen könnte.
• Simon: Wenn ein SPO als Aufsicht gewünscht ist, hat er keinen Zugriff auf unsere Systeme und erhält nur Leserechte auf Logs und die Konfigurationsdateien.
• Jonas: Oder man teilt es auf in einen Security Officer und einen Privacy Officer der nur von aussen schaut.
• Simon, Oli: Finden den Vorschlag gut!
• Lukas: SO Sollte eigentlich nicht notwendig sein da dass die Personen in der DI machen sollten.
• Simon: Ich wäre aber froh wenn jemand doch noch mal über die Schulter schaut etc. und Tips gibt.
• Jonas: Warum veröffentlichen wir nicht einfach unsere Konfigurationen damit sich diese alle anschauen können? Ohne sensible Daten sondern mit dummy daten.
• Oli: Dann müssen wir das irgendwie automatisieren, denn zwei configs pflegt niemand. Meistens sind es ja auch Folgen von verschiedenen Configs und Rehcten, etc. Im ersten fand ich die Idee gut, aber bei genauerem überdenken müsste man eher das System veröffentlichen damit man alle Zusammenhänge sieht.
• Oli: Wir wären durchaus dafür die Rollen zu trennen und vorerst aus dem SPO nur einen Privacy Officer zu machen. Das bedingt, dass Artikel 7 gestrichen werden sollte, der Rest passt so wie es aktuell ist. Das bedingt, dass alle AGs und deren Mitglieder aktiv mit dieser Person zusammenarbeiten müssen zwecks Auskunft etc.
• Stefan: Ich sage noch ncihts dazu, weil es aktuell etwas ganz anderes ist als ursprünglich gedacht.
• Oli: Wir können das ja mal als Vorversions-Vorschlag / Zwischenergebniss so stehen lassen und das nächste Woche nochmals besprechen.

Alle einverstanden dass das so nächste Woche nochmals besprochen wird.

Aktuelle Tickets¶

• Lukas: Das Problem kenne ich, das kommt daher dass im Fenster ein anderes Zertifikat ist als im Frame.
• Stefan: Ich gebe da gleich Antwort.

• Oli: Ich kenne das Problem. Ich habe Abi-Word nicht installiert da es nicht im Standard-Repo ist. Wir sagten bei der Migration, dass wir schauen wer das braucht und nun braucht es doch jemand.
• Simon: Geht das nicht per LaTex? Der Vorstand ect. bruacht das doch immer. Ralph hatte hier Probleme am Donnerstag.
• Oli: Kann mir jemand das Tiket aktualisieren mit "den normalen Schritten" dann kann ich mir das anschauen und im Log prüfen was da noch fehlt.

• Oli: Das Problem hier ist, dass das noch nicht über den Proxy läuft. Der Lists-Server bietet nicht nur web sondern auch http und anderes an, was noch nicht geht bei nginx.
• Lukas: Warum nicht einfach einen Weiterleitung aller lists.* umleiten auf lists.piratenpartei.ch weil es bringt ja nix.
• Oli: Ich mache da mal was, aber es kann was dauern.

• Jonas: Es kommt ein Zertifikatsfehler.
• Oli: Ich schauen da im gleichen wie bei #5647 damit ich da ein Redirect von http auf https mache.

• Simon: Hier habe ich an den Falschen Orten geschaut. Ich schaue wo er noch überall ist und mache da was.

• Lukas: Das scheint ein Plugin auf der Sektionswebseite sein. Das ist deren Problem.
• Simon: Ich nehme an, das sie das sogar absichlich gemacht haben, hatte Winterthur auch schon mal. War das nicht eine Meldung die ich hätte weiterleiten sollen? Ich mache das heute Abend noch.

• Simon: Dieses Ticket ebenfalls.

• Oli: Haben wir diskutiert.

• Oli: Hier ist so viel im Argen, ich machen was ich kann ist aber nicht prioritär hier. Wenn du Jonas hier ein wenig priorisieren könntest, wäre das super.

• Lukas: Ist noch hängig, wird nächste Woche gemacht.

• Lukas: Still in Progress...

5306 Vorstands-Adresse für die Sektion Stadt Zürich Simon Rupf k_in_progress
5427 Verteiler für Vorstand Stadt Zürich einrichten Simon Rupf Needs Work

• Simon: Habe da ehrlich gesagt Probleme mit Puppet. Ich müsste mich erst dazu einarbeiten, bevor ich da ein ganzes Script für OTRS zu programmieren. Manuell installieren wäre jedoch kein Problem, dafür habe ich bereits ein Shellscript. Ausserdem brachts noch ein Script um Perl und Apache aufzusetzen.
• Oli: Lass uns das zusammen anschauen mit Puppet etc.

• Oli: Hatte Urlaub.

• Lukas: Noch nicht dazu gekommen.

• Lukas: Muss ich mir anschauen diese Woche.

Vergangenes / Aussicht¶

• Stefan: ähhhm... Der Vorschlag wegen PiVote ist raus, es steht immer noch die Migration von PiVote und Memberamdin an sobald die VMs zur verefügung stehen.
• Jonas: Ich hatte mal alle Sektionen informiert wegen dem Zertifikat und dem mixed content. PP VS hatte sich beklagt, dass sie nun jemanden brauchen der sich mit dem technischen Kram auskennt.
• Simon: Bin verwirrt, denn eigentlich sind die Sektionen informiert, dass jede Sektion einen DI Verantwortlichen hat und braucht: https://projects.piratenpartei.ch/knowledgebase/articles/59#IT-Verantwortliche-Person
• Jonas: Ich hätte auch gerne Rechte um euch zu unterstützen. Weiss aber nicht bei was wo und wie ich das kann.
• Oli: Ich ziehe nun den Simon-Joker und sage: Du brauchst eine Einführung. Machen wir doch mal ein RealLive Meeting. Ich schicke mal ein doodle raus und an dem Termin ist dann die Sitzung vor Ort. Wo seid Ihr? (Osten, Basel, Winterthur, Thurgau). Für kleine Treffen wäre es bei Simon gut, aber ein wenig "Platzmangel".
• Lukas: Letzte Woche leider nichst, diese Woche die Mailinglisten Tasks.
• Oli: Einiges kleines wie das Wikileaks-Domain, Upload und noch anderes. Nächste Woche die Tickets wie versprochen, einiges wird aber liegen bleiben da schlicht zu viel...
• Simon: Letzte Woche leider ein verlorener Abend bei der Puppetifizierung von OTRS, diese Woche einfach weiter im Geschäft (OTRS, Mails, ...)

Letzte Worte
keine, alle sind fertig...¶

• Nächste Sitzung: 18. August 19:00
  Ende: 20:38 Uhr