Mit dem Bundestag zurück ins Web 1.0

| 62 Kommentare | 19 TrackBacks

Gesetzeswidrige Abfrage persönlicher Daten, komplizierte Benutzerführung und Software mit Sicherheitslücken kennzeichnen die neue Online-Petitions-Webseite, die die araneaNET GmbH für den Bundestag erstellt hat

Update, 16. November: Umfrage und Sicherheitsupdate beim Bundestag, Screenreader-MP3s und sonstige Neuigkeiten

Update, 7. Februar 2009: Petitions-System des Bundestages bricht zusammen

 

Die neue aber altbackene Online-Petitions-Webseite des Deutschen Bundestages führt den Nutzer zurück ins Web 1.0. Sie verdeutlicht ein Problem öffentlicher Ausschreibungen, das vermutlich nicht nur im IT-Bereich auftritt: die Ausschreibenden haben in der Regel wenig Ahnung von der Materie, müssen aber gleichzeitig fast immer das günstigste Angebot nehmen. Das Ergebnis im Fall der Petitionswebseite: Die zugrunde liegende Software hat kritische Sicherheitslücken, viele Anforderungen des Lastenheftes sind nicht eingehalten worden, die Datenschutzbestimmungen des Telemediengesetzes wurden ignoriert, die Webseite ist schwer bedienbar - und sieht einfach furchtbar altmodisch aus.

Denn anstatt einer speziell auf die Anforderungen von Online-Petitionen (e-Petitionen) samt dazugehörigem Diskussionsforum ausgerichteten Software mit komfortabler und moderner Benutzerführung gibt es ein altes, für den durchschnittlichen Internet-Nutzer schwer bedienbares PHP-Board, in das eine simple Unterschriften-Funktion hineingefrickelt wurde. Das Ganze wirkt eher wie ein privat betriebenes Forum, nicht jedoch wie eine der Würde des Parlaments angemessene, moderne Web-Applikation.

Aber der Reihe nach:

  • Hintergrund der Ausschreibung
    Eine kurze Zusammenfassung der Hintergründe der Ausschreibung. [mehr ...]
  • Die Umsetzung
    Beschreibung und Kritik der Implementation der Online-Petitions-Website: Sie hat eine schlechte Benutzerführung, altbackene Gestaltung, gesetzeswidrige Datenabfrage und ist nicht barrierefrei. [mehr ...]
  • Das Simple Machines Forum
    Eine kurze technische Betrachtung der verwendeten Software, die mit einer ungewöhnlichen Lizenz, Sicherheitslücken und schwer wartbarem Spaghetti-Code glänzt. [mehr ...]
  • Der Auftragnehmer: araneaNET GmbH
    Eine Kurzrecherche zu der Firma, die die Webseite für den Bundestag umgesetzt hat. [mehr ...]
  • Fazit
    Zusammenfassung und Ausblick: Billig sollte nicht genug sein und welche sonstigen Lehren aus dem Projekt zu ziehen sind. [mehr ...]

 

Hintergrund der Ausschreibung

Im Frühjahr diesen Jahres hat der Deutsche Bundestag die Erstellung einer neuen Online-Petitions-Website ausgeschrieben („Softwareprojekt Öffentliche Petition“). Den Bürgern soll damit die Möglichkeit gegeben werden, online Eingaben an das Parlament bzw. den Petitionsausschuss zu richten. Zuvor gab es einen Pilotversuch in Zusammenarbeit mit dem schottischen Parlament und der Napier Universität Edinburgh, der in diesem Jahr auslief.

Die Ausschreibung legte Wert auf gute Bedienbarkeit der Endanwendung, Qualitätssicherung, saubere Dokumentation, Performance, Sicherheit, flexibles Design mit Trennung von Code und Repräsentation, Barrierefreiheit sowie die Verwendung von Komponenten, für die keine zusätzlichen Lizenzkosten nötig sind (richtig: es geht hier nicht um den Gedanken Freier Software, sondern nur um die Kosten). Das Ergebnis sollte ursprünglich zum 1. Oktober vorliegen und wurde am 13. und 14. Oktober in Betrieb genommen. Vor der Umsetzung musste der Auftragnehmer (also der Bieter, der den Zuschlag erhalten hat) ein „abnahmefähiges Pflichtenheft auf Basis des [vorgegebenen] Lastenheftes“ erstellen. Vor der endgültigen Beauftragung war die Abnahme des Pflichtenheftes vorgesehen.

Ein Angebot musste aus drei Teilen bestehen: Festpreis für das Pflichtenheft, Festpreis für die Umsetzung und ein fester Stundensatz für die Pflege über die nächsten 48 Monate, begrenzt auf insgesamt 66 Tage. Zusätzlich musste ein Fragebogen ausgefüllt und die Grundzüge der vorgeschlagenen Implementation beschrieben werden.

Die Umsetzung kommt von der araneaNET GmbH aus Potsdam. Diese hat das System auf Basis des Simple Machines Forum (SMF) 1.1.x aufgesetzt, einer typischen Bulletin-Board-Software, die PHP 4.1 und MySQL 3.23 (oder neuer) verwendet: also im Kern veraltete und problematische Technik. Technische Details dazu folgen weiter unten.

 

Umsetzung und Anforderungen

Die Umsetzung erfüllt in einigen Punkten nicht die Anforderungen der Ausscheibung bzw. des Lastenheftes oder gesetzliche Vorgaben:

  • Die Bedienung bzw. Usability ist nicht auf die Herausforderungen von Online-Petitionen abgestimmt, ein schlüssiges Bedienkonzept ist nicht zu erkennen.
  • Design-Anpassungen sind aufgrund der verwendeten Foren-Software kompliziert, die Gestaltung wird vernachlässigt. Daraus ergeben sich hohe mögliche Folgekosten.
  • Die Anforderungen an die Barrierefreiheit werden nicht erfüllt, für Sehbehinderte ist die Webseite nahezu unbedienbar.
  • Forums-Diskussionen werden nicht optimal strukturiert angezeigt.
  • Forums-Beiträge können nicht bewertet werden.
  • Die Datenschutz-Bestimmungen des Telemediengesetzes werden nicht eingehalten.
  • Die Software, auf der die Petitions-Webseite basiert, ist für den privaten Hobbynutzer ausgelegt. Sie hat daher möglichst niedrige Systemanforderungen, damit sie auch auf günstigem Webspace lauffähig ist. Dabei bleiben professionelle Anforderungen oft auf der Strecke, zum Beispiel Datenbank-Transaktionen zur Datensicherheit.
  • Es sind (teilweise schwerwiegende) Sicherheitslücken aufgetreten. Beim verwendeten Simple Machines Forum wurde am 4. November eine kritische Sicherheitslücke bekannt, was die Entwickler der Petitionswebseite aber nicht zum notwendigen schnellen Update der Software veranlasste: erst am 12. November fand die Aktualisierung statt!
  • Es werden nicht alle Anforderungen des BSI-Grundschutz-Kataloges eingehalten.

Die Mehrzahl der Probleme tritt aufgrund des verwendeten Simple Machines Forum auf. Für den normalen Nutzer am auffälligsten ist dabei die suboptimale Usability (Benutzungsfreundlichkeit, Gebrauchstauglichkeit).

Usability

Die Online-Petitions-Website des Deutschen Bundestages basiert auf einer Board-Software, wie sie häufig bei privat betriebenen Foren benutzt wird. Und so sieht sie auch aus. Abgesehen vom ersten optischen Eindruck bringen die Vorgaben und Einschränkungen der Software eine Reihe von Problemen bei der Usability mit. Die spezifischen Erfordernisse einer Online-Petitions-Website und eines dazugehörigen politischen Diskussionsforums werden kaum beachtet, Sonderfunktionen irgendwie hineingebastelt.

Man kann sich das in etwa so vorstellen: Angenommen der Bundestag bräuchte ein neues Parlamentsgebäude und schreibt die Erstellung eines Gebäudes mit Plenarsaal und Zuschauertribüne aus. Eine Baufirma hat zufälligerweise noch ein altes und schon lange leerstehendes Opernhaus herumstehen und bietet dieses besonders günstig an: die Zuschauertribüne bräuchte nur etwas Kosmetik und die Bühne könnte zusammen mit dem Orchestergraben zum Plenarsaal umgebaut werden. Dass die vorhandene und nicht ohne großen Aufwand änderbare Audio-Verkabelung dafür sorgt, dass ohne Tricks nur ein einziges Mikrofon angeschlossen werden kann, das sagt die Baufirma nicht dazu, sondern engagiert lieber einen Zauberer, der eine Illusion von mehreren Mikrofonen schafft.

Es ist offensichtlich, dass ein solches Gebäude im Vergleich zum Reichstag ein vollkommen ungeeignetes Parlamentsgebäude wäre. Aber im Internet werden solche Notlösungen nicht nur akzeptiert, sondern auch noch gefeiert.

Dabei verlangt die Ausschreibung explizit eine vorbildliche Usability:

Der Hauptfokus des neuen Systems soll auf einem schlüssigen, logischen und durchgängigen Bedienkonzept und damit auf einer niedrigen Partizipationsschwelle des Nutzers liegen.

Aus den Zielbestimmungen vom Lastenheft Softwareprojekt „Öffentliche Petition“, Seite 7

Es gäbe einige Möglichkeiten, eine solche Anforderung umzusetzen. Stattdessen wird der Nutzer an vielen Stellen mit einer Wüste aus Texten und Tabellen konfrontiert, moderne Gestaltungselemente und eine niederschwellige Benutzerregistrierung fehlen. Man sieht, dass es sich um ein mit der Zeit gewachsenes System handelt, dass für einen ganz anderen Zweck erstellt wurde.

Einige der auffälligsten Usability-Probleme sind:

  • startseite-800x600.png Die Startseite erklärt nichts, dem Nutzer wird ein „Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?“ entgegen geschleudert. Bei niedrigen Auflösungen wird die Hälfte des Bildschirmes mit Kopfzeile, Login-Formular und einer Mini-Navigation verbraucht. Der Rest mit der Überschrift der folgenden Tabelle. Hat das überhaupt mal jemand in 800x600 ausprobiert?
  • Der Link zum Einreichen einer neuen Petition sieht wie eine der Navigation übergeordnete Überschrift aus.
  • Link-Farben sind nicht konsistent.
  • Die Website bietet eine Brotkrumennavigation, die aber aufgrund ihrer Gestaltung sehr verwirrend ist. brotkrumen-navi-schmal.png So lautet der dritte Punkt dieser Navigation immer „Öffentliche Petitionen - Bitte registrieren Sie ein Nutzerkonto um Beiträge verfassen zu können.“ Auch, wenn man registriert und angemeldet ist.
  • Wie die meisten Boards bietet auch das Simple Machines Forum (SMF) nur eine flache Ansicht der Kommentare, ohne Anzeige von Diskussionssträngen (Threads). Für eine sinnvolle politische Diskussion ist aber die Verschachtelung der Forums-Beiträge und Darstellung der Diskussionsstränge wünschenswert. Dabei werden Antworten zu einem Beitrag diesem zugehörig dargestellt, wodurch die Diskussion inhaltlich geordnet wird. Dies wird so auch bei vielen stark frequentierten Diskussionsplattformen gemacht und ist keine exotische sondern eine übliche (wenn auch technisch schwieriger zu realisierende) Darstellungsweise.

    Bei der verwendeten linearen Darstellung werden die Beiträge ausschließlich nach der Zeit des Eingangs eines Beitrages sortiert. Dadurch wird die Diskussionsführung umständlich, jeder Teilnehmer ist gezwungen, darzustellen und ggf. zu zitieren, auf welchen Beitrag er sich bezieht. Das erschwert zwangsläufig nicht nur die Benutzung des Forums sondern hat auch negativen Einfluss auf die Qualität der Diskussionen.

    Dabei steht im Lastenheft unter Punkt 3.1.8 die Anforderung L-ÖP-F-B-250, die durchaus so zu interpretieren ist, dass eine verschachtelte Darstellung der Diskussionsstränge zu erfolgen hat:

    Der Benutzer kann die Darstellung des Diskussionsstrangs in folgender Weise beeinflussen:
    • Alle Beiträge und ihre Antworten ausklappen.
    • Alle Beiträge und ihre Antworten einklappen.
    • Einzelne Beiträge ausklappen.
    • Einzelne Beiträge einklappen.
    • Vorgeben, wie viele Beiträge pro Bildschirmseite angezeigt werden sollen.

    Aus Punkt 3 Forum, Anforderung L-ÖP-F-B-250 vom Lastenheft Softwareprojekt „Öffentliche Petition“, Seite 11

    Diese Vorgaben werden nicht erfüllt, da das Simple Machines Forum keine Thread-Darstellung unterstützt und auch keine entsprechende Funktionalität nachgereicht wurde.

    Ein Board mit linearer Kommentarauflistung ist dann einigermaßen gut nutzbar, wenn eine kleine Gruppe von Leuten regelmäßig mitliest. Es ist aber nicht gut zur politischen Diskussion unter vielen und immer wieder neuen Teilnehmern geeignet.

  • Fehlermeldungen sind inkonsistent in Bezug auf Position, Gestaltung und Text.
  • Die zum Anmelden nötigen Nutzernamen werden automatisch generiert und sind nicht änderbar. Die Nutzer müssen sich mit Namen wie „Nutzer123“, „Nutzer124“ und so weiter einloggen.
  • Es sind zwar frei wählbare Pseudonyme vorgesehen. Diese kann der Benutzer bei der Registrierung aber nicht angeben: Es wird einfach der automatisch generierte Nutzername gewählt. Änderungen sind nur manuell in den Profileinstellungen möglich. liste-diskussionsbeitraege.png Die Häufigkeit, mit der Pseudonyme wie „Nutzer1234“ im Forum auftauchen zeigt, dass dies den Nutzern nicht klar ist. Und wer will schon dauernd mit Leuten reden, die nur als „Nutzer789“ bekannt sind?
  • An manchen Stellen wird anstatt des Pseudonyms immer der Nutzername angezeigt.
  • Die Navigation ist nicht konsistent, nicht eingängig und nicht immer klar verständlich.
  • Der Seitentitel ist nicht aussagekräftig und es gibt keine Haupt-Überschriften.
  • Die altbackene Optik und die Bedienung machen keinen Spaß, motivieren die Nutzer nicht zur Partizipation und stärken die Akzeptanz des Online-Petitionsverfahrens nicht.

Dafür bietet die ePetitions-Webseite eine andere bemerkenswerte Funktion: Die Benutzer können ein Bild auswählen, das neben ihren Forenbeiträgen angezeigt wird. Neben eigenen Bildern können Bilder von Stars und Sternchen aus den Bereichen „Actors“ und „Musicians“ ausgewählt werden.

profil-foto-britney-spears.png

Damit kann dann Britney Spears mit Bob Marley, Bruce Willis und Eminem diskutieren. Hoffen wir, dass sie sich an die Regeln halten und eine Sprache wählen, die „der Würde des Parlaments“ entspricht ...

 

Datenschutz

Petitionen und Forumsbeiträge kann jeder Nutzer ohne Registrierung lesen; Petitionen einreichen kann, wer Name und Anschrift angibt. Aber auch, wer nur an den Diskussionen im Forum teilnehmen möchte, muss sich mit vollem Namen und Anschrift registrieren. Die entsprechenden Eingabefelder sind Pflichtfelder. Dies ist nicht nur ungewöhnlich, sondern verstößt auch gegen die Datenschutzbestimmungen des Telemediengesetzes (TMG), denn es muss dem Nutzer die Möglichkeit gegeben werden, nur unter Pseudonym aufzutreten:

§ 13, Abs. (6) Telemediengesetz
Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.
persoenliche-daten.png

Im Forum ist es sowohl technisch möglich als auch zumutbar, eine Anmeldung unter Pseudonym zu erlauben. Für die Einreichung einer Petition ist es selbstverständlich richtig, Name und Anschrift zu verlangen, für das Forum ist dies in meinen Augen aber ganz klar rechtswidrig. Und besonders peinlich für den Bundestag. Aber auch der das Projekt betreuende Dienstleister sollte den Auftraggeber entsprechend beraten. Dass der Präsident des Bundestages kein ordentliches Impressum hat, darüber kann man ja noch schmunzeln. Die unnötige Abfrage personenbezogener Daten ist aber nicht mehr zum Lachen.

Zudem wird der Nutzer nicht, wie ebenfalls vom TMG verlangt, über die Nutzung der Daten informiert:

§ 13, Abs. (1)
Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten [...] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. [...] Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

All dies ist bei der Online-Petitions-Website des Bundestages nicht der Fall. Es werden also nicht nur unrechtmäßig personenbezogene Daten wie Name und Anschrift der Forums-Teilnehmer erhohen. Die Nutzer werden auch nicht über die Verwendung der Daten informiert geschweige denn um eine Einwilligung gebeten.

Verlinken verboten

urls-im-text.png

An den Datenschutz wurde also nicht gedacht. Dafür aber an die Richtlinien, nachzulesen in rili.pdf. Die dortigen Regeln betreffen auch Foren-Beiträge, und da sind zum Beispiel Links verboten. Nun, streng genommen gibt es sowieso keine Links, da in Foren-Beiträgen keine Links aus URLs erzeugt werden. Die Moderatoren beziehen diese Richtlinie aber auch auf die Nennung von URLs: es ist also zum Beispiel verboten, Quellen für Gesetzestexte anzugeben. Entsprechende Texte bzw. Text-Teile werden gelöscht.

urls-im-text-geloescht.png

Ein sehr skurriles Verhalten, das sinnvolle Diskussionen in vielen Fällen erschwert. Zurück in die Zeit vor dem Web 1.0 mit dem Deutschen Bundestag ...

Aber auch andere Forums-Beiträge werden gelöscht. Wie immer in solchen Fällen fragt sich der Leser nachher: was war da los? Zumal wenn es allem Anschein nach harmlose Texte trifft.

Natürlich sollte ein Foren-Betreiber darauf achten, dass sich die Teilnehmer nicht gegenseitig quasi die Köpfe einschlagen. Um den Nutzern einen Anreiz für qualitativ hochwertige Beiträge zu geben, war im Lastenheft ein Bewertungssystem vorgesehen, bei dem die Nutzer Beiträge bewerten können. Vorgeschlagen werden Schulnoten (Punkt 3.1.8 Lastenheft, Anforderung L-ÖP-F-B-290). Das wurde nicht umgesetzt. Es gibt keine Möglichkeit, Beiträge zu bewerten.

zensur.png

Dabei könnte ein gut gemachtes Bewertungssystem durchaus die Moderatoren stark entlasten. Dabei muss aber mehr möglich sein, als Beiträge mit Schulnoten zu bewerten.

Denn erfahrungsgemäß bewerten Forennutzer Beiträge, denen sie inhaltlich nicht zustimmen, als „schlecht“ und solche, denen sie zustimmen, als „gut“. Daraus können regelrechte Bewertungs-Kleinkriege inklusive Rachebewertungen entstehen, was die Administration der Seite erschwert - denn es lässt sich nicht nachvollziehen, ob ein an sich legitimer Beitrag nur deshalb schlecht bewertet wurde, weil Nutzer eine Meinungsverschiedenheit haben. Sinnvoller - aber auch aufwendiger zu implementieren - wäre ein Bewertungssystem, das den Nutzern inhaltliche, der Diskussionskultur förderliche Bewertungen erlaubt. Beispielsweise könnten die Benutzer den Beiträgen folgende Label zuweisen: Zustimmung, Ablehnung, In- formativ, Falsch und Störenfried (Troll).

Über die Aufzeichnung dieser Bewertungen lässt sich eine kontrovers geführte Diskussion aufspüren, ohne dass Benutzer gezwungen werden aufgrund mangelnder Optionen ein Gegenüber mit „schlecht“ zu bewerten. Dies senkt natürlich auch den Moderationsaufwand und damit die Betriebskosten. Diese Methode hat sich zum Beispiel bei Slashdot oder Kuro5hin bewährt.

Barrierefreiheit

Laut Punkt 6.5 des Lastenheftes bzw. Punkt 12 des Fragebogens der Ausschreibung muss die Anwendung barrierefrei nach BITV, Priorität I, sein. Der Anbieter musste erklären, damit einverstanden zu sein. Laut dem „Internet Style Guide“ des Bundestages muss auch Priorität II mit wenigen Ausnahmen erfüllt sein. Dies soll garantieren, dass behinderte Menschen möglichst ungehinderten Zugang haben.

Diese Anforderung wird nicht erfüllt. Update: ich habe einihe Screenreader-Audio-Aufzeichnungen gemacht. Die zeigen, wie Blinde die Webseite „sehen“. So gibt es beispielsweise die folgenden formalen Fehler:

  • Es gibt keine textuelle Beschreibung aller verwendeter Bilder, es fehlen bei vielen Bildern die alt-Attribute (BITV-Bedingung 1.1).
  • Es handelt sich nicht um valides HTML (Bedingung 3.2). Update, 17. November: Die meisten XHTML-Fehler (fehlende Attribite, nicht geschlossene Tags usw.) wurden in der Zwischenzeit behoben.
  • Die Struktur ist nicht sauber mit Überschriftenelementen geordnet, in der Regel beginnt die Darstellung mit einer Überschrift dritten oder vierten Grades (H3 und H4) anstatt sauber mit H1 zu beginnen (Bedingung 3.5)
  • HTML-Tabellen werden auch zur Darstellung von nicht-tabellarischen Elementen verwendet (Anforderung 5; Bedingung 5.3).
  • Spaltenüberschriften in Tabellen sind nicht mit dem dafür vorgesehenen HTML-Tag TH gekennzeichnet (Bedingung 5.1).
  • Bei abgeschaltetem JavaScript kommt eine deutliche Meldung, man möge zur korrekten Darstellung JavaScript aktivieren. Ob tatsächlich nicht alles funktioniert habe ich nicht getestet, aber alleine schon die Meldung widerspricht meines Erachtens Bedingung 6.3 bzw. 6.4, zumal es den Anwender nötigt JavaScript einzuschalten.
  • Es gibt keine Tastaturkurzbefehle für wichtige Links und Navigationselemente (Bedingung 9.5).
  • Die Navigationsmechanismen sind nicht übersichtlich und schlüssig (Anforderung 13). So sind beispielsweise nicht alle Link-Ziele eindeutig identifizierbar (Bedingung 13.1). Man kommt durch Anklicken einer Zahl zum Beispiel entweder zur Liste der Unterzeichner einer Petition oder der Übersicht der Kommentar-Überschriften, ohne dass dies bei dem Link gesondert gekennzeichnet wäre. Ob 23 nun über einen Zwischenschritt zu den Kommentaren oder ob 42 zu den Unterzeichnern führt ist nicht deutlich.
  • barriere-lynx.png Die angebotenen Inhalte sind insbesondere bei dem Forum nur schwer verständlich (Anforderung 14). Bei Verwendung eines Textbrowsers oder eines Browsers für Blinde geht der Haupt-Teil beispielsweise auf der Übersichtsseite der Diskussionen vollkommen unter. Die Links zu den eigentlichen Inhalten sind unter all dem Rauschen mit einem Textbrowser oft kaum zu finden. Update: Wer sich in einen Blinden Internet-Nutzer hineinversetzen möchte, kann sich entsprechende Audio-Dateien von Bildschirmlese-Programmen anhören.

Der Bundestag als Auftraggeber muss bei der Abnahme diese formalen Kriterien überprüfen bzw. überprüfen lassen. Anscheinend ist dies nicht oder nicht durch kompetente Personen geschehen. Anders ist nicht zu erklären, warum selbst einfach zu prüfende formale Kriterien nicht erfüllt sind. Das Projekt hätte so nie abgenommen werden dürfen.

Trennung von Funktion, Layout und Inhalt

Das Lastenheft verlangt in Punkt 6.7 die strikte Verwendung von Templates:

Um eine mögliche Erweiterung des Systems einfach und kostengünstig zu gestalten, ist bei der Entwicklung der Grundsatz der strikten Trennung von Funktion, Layout und Inhalt zu berücksichtigen.

Punkt 6.7 Erweiterbarkeit vom Lastenheft Softwareprojekt „Öffentliche Petition“, Seite 28

Dieser Grundsatz wird von dem verwendeten Simple Machines Forum (SMF) nicht beachtet. Zwar gibt es beim SMF auch Vorlagen, dieses sind aber auch nur PHP-Dateien, die einen Teil der Logik implementieren. Aber auch im Haupt-Code befindet sich viel HTML. Dabei handelt es sich nicht nur um hart codierte Tabellen-Elemente, sondern auch um fest codierte Stylesheets mit Farbangaben, Hintergrundfarben, Texte und so weiter. Dies ist ein klarer Verstoß gegen Punkt 6.7 des Lastenheftes.

Dass keine strikte Trennung von Code und Repräsentation vorliegt, macht nicht nur die Gestaltung schwieriger bzw. bei Erweiterungen unnötig kompliziert und auf Dauer teurer. Es verstärkt auch die oben genannten Probleme mit der Barrierefreiheit und Usability.

Zwischenfazit zur Umsetzung

Mehrfach ist zu beobachten, dass wichtige Anforderungen der Ausschreibung bzw. des Lastenheftes nicht umgesetzt wurden und mit der verwendeten Foren-Software gar nicht bzw. nur mit exorbitantem Aufwand umgesetzt werden können. Das Grundproblem ist also die verwendete Foren-Software. Nach meinem Verständnis hätte daher schon das Angebot von der Ausschreibung ausgeschlossen werden müssen, denn wenn Anforderungen nicht umgesetzt werden können, dann ist ein Angebot eben auch hinfällig. Es ist zu erwarten, dass die araneaNET GmbH das Board in ihrem Angebot erwähnt hat, denn es wurden konkrete Angaben zu den zu verwendenden Techniken verlangt. Aber spätestens bei der Begutachtung des Pflichtenheftes wäre die Notbremse zu ziehen gewesen. So aber steigen die Folgekosten bei Änderungen und Erweiterungen und so manche Erweiterung ist in einem sinnvollem Rahmen kaum möglich.

Insgesamt macht die Umsetzung einen amateurhaften und schludrigen Eindruck. Die Online-Petitions-Website des Bundestages ist keineswegs innovativ oder modern, sondern so zusammengestückelt, dass sie gerade mal irgendwie die wichtigsten Anforderungen erfüllt: es können Petitionen eingereicht und unterzeichnet werden und man kann im Forum Kommentare hinterlassen. Man merkt aber, dass da niemand am Werk war, der sich mit Benutzerführung und Gestaltung von modernen Webseiten auskennt. Dies wäre aber zwar änder- und erweiterbar, wenn da nicht die Foren-Software wäre ...

So aber kann man dem Bundestag nur einen Rat geben, den ich verschiedenen Kunden leider auch gelegentlich geben muss: wegwerfen und neu schreiben (lassen). Das ist zwar bitter, aber dennoch die mittelfristig beste Lösung.

Das Simple Machines Forum

Die Software, auf der die Petitions-Site beruht, wurde im Wesentlichen entwickelt, um in wenigen Minuten auf einem beliebigen Webserver ein einfaches Diskussionsforum aufzusetzen. Sie kommt aus der Kultur der Bulletin-Board-Foren, die vor allem bei privaten Betreibern beliebt sind. Und es gehört zu den üblichen PHP/MySQL-Frickeleien: kaum Trennung zwischen Code und Design (einige Design-Elemente werden sogar im Haupt-Code definiert), seltsame Lizenzbedingungen (die vermutlich noch nicht mal eingehalten werden), keine Gewährleistung von Datenintegrität da MyISAM-Tabellen und keine Transaktionen genutzt werden, wenig Dokumentation, schwer durchschaubarer Spaghetti-Code, haufenweise globale Variablen, keine automatisierten Test und so weiter. Da wundert es wenig, dass das System nur wenig Flexibilität mitbringt und sich zig Berichte über Sicherheitslücken finden - die vom Bundestag eingesetzte Version hat, obwohl schon vor Tagen eine neue Version heraus kam, noch einige kritische Sicherheitslücken offen -. Ob sie in der konkreten Implementierung auch ausnutzbar sind/waren habe ich aus naheliegenden Gründen nicht probiert.

Lizenz

Wie bereits schon mehrfach angesprochen geht es um das kostenlos erhältliche „Simple Machines Forum“ (SMF). Dabei steht SMF keineswegs unter einer Open Source Lizenz und ist auch keine Freie Software:

»Freie Software« hat etwas mit Freiheit zu tun, nicht mit dem Preis. Um das Konzept zu verstehen, ist an »frei« wie in »freier Rede«, und nicht wie in »Freibier« zu denken.

Aus der Definition Freier Software der Free Software Foundation

Die Lizenzbestimmungen zum SMF untersagen zum Beispiel das Weiterverteilen (Redistribution) der Software. Zudem müssen die Copyright-Hinweise unverändert auch in der Ausgabe (also auf jedem damit umgesetzten Forum) erhalten bleiben. Dies war in den ersten Tagen/Wochen nach dem Start der Online-Petitions-Website nicht der Fall, wie auch schon Matthias Dietrich beschrieben hat. Ein klarer Verstoß gegen die Lizenzbedingungen. In der Zwischenzeit wurde dies korrigiert und der Hinweis ist vorhanden.

Eine weitere Lizenzbedingung mag dem Bundestag vielleicht nicht schmecken: bei jeder Modifikation oder Erweiterung muss dem Hersteller eine kostenlose Lizenz zur Nutzung dieser eingeräumt werden. Simple Machines LLC muss demnach das Recht erhalten, die Online-Petitions-Erweiterungen zu nutzen und zu verbreiten:

When a Modification to the Package is released, a non-exclusive royalty-free right is granted to Simple Machines LLC to distribute the Modification in future versions of the Package

Aus der Simple Machines License

Sicherheitslücken

Wie auch bei anderen PHP/MySQL-Boards üblich werden auch beim Simple Machines Forum immer wieder teils kritische Sicherheitslücken bekannt. Die Verwendung dieses Boards für geschäftskritische bzw. missionskritische Anwendungen kann daher nur als grob fahrlässig bezeichnet werden. Bei der Online-Petitions-Webseite wird derzeit wurde bis 12. November Version 1.1.6 verwendet, für die am 4. November ein Code Execution Exploit sowie am 5. November ein weiterer Code Execution Exploit bekannt wurden. Das bedeutet, dass ein Angreifer eigenen Programmcode auf einem Server, auf dem das SMF läuft, ausführen kann - und damit in der Lage ist, die Webseite beliebig zu manipulieren, Daten auszuspähen bzw. zu manipulieren und weitere Angriffe zu starten. Obwohl bereits eine Version 1.1.7 veröffentlicht wurde, ist bis jetzt (10. November) immer noch die alte Version im Einsatz. Update: Obwohl schnell eine fehlerbereinigte Version 1.1.7 veröffentlicht wurde, dauerte es bis zum 12. November, bis diese bei der Online-Petitions-Webseite installiert wurde.

Code-Qualität

Ein kritischer Blick auf den Source-Code des Simple Machine Forums bringt einige Unzulänglichkeiten zu Tage, viele davon typisch für PHP-Anwendungen:

  • Flache Code-Struktur: Aufgrund fehlender Namensräume ist es oft üblich, Code nicht hierarchisch zu ordnen sondern alles auf eine Ebene zu klatschen. So sind dann im Haupt-Source-Verzeichnis vom SMF auch 66 PHP-Dateien ohne hierarchische Ordnung zu finden.
  • Exzessive Verwendung globaler Variablen: Über 70 Variablen sind global deklariert. Dies erschwert das Verständnis und die Wartung des Codes, reduziert die Robustheit und erhöht die Gefahr für Fehler und Sicherheitslücken.
  • Schwer durchschaubarer Spaghetti-Code: Nicht nur, dass über 300 Code-Zeilen eine nicht überschaubare Länge von mehr als 200 Zeichen haben (die Längste Zeile enthält 1470 Zeichen). Auch viele Unterfunktionen bestehen aus hunderten von Zeilen. parse_bbc hat zum Beispiel 1423 Zeilen Code. Da drin verstecken sich 144 if-Abfragen, mindestens 85 logische Operatoren, 25 mal elseif, 38 else und 49 mal der Ternäre Operator (?-Operator) ... Wer soll sowas warten? Wenn das der Psychopath mit der Kettensäge sieht ...

    Ab einer bestimmten Komplexität ist Code für Menschen nicht oder nur noch sehr schwer zu verstehen und nicht sinnvoll testbar. Diese Komplexität, die auch als zyklomatische Komplexität oder McCabe-Metrik (nach Thomas J. McCabe) bekannt ist, besagt, wieviele verschiedene Wege mindestens durch ein Programm(teil) führen. Um den Code übersichtlich und testbar zu halten, sollten dies möglichst wenige sein: McCabe empfiehlt 10, Perl::Critic und die passende Regel Subroutines::ProhibitExcessComplexity erlauben per default 20. Bei der angesprochenen Funktion parse_bbc sind es deutlich über 300.

    Dass man BBCode auch mit sauberem und übersichtlichem Code parsen kann zeigt beispielsweise Tina Müller beim CPAN-Modul Parse::BBCode.

  • PHP-Typisch werden keine Module für Standardaufgaben wie das Parsen von URLs oder die Validierung von E-Mails genutzt, sondern alles selbst gebaut. Für Perl-Programmierer gibt es das CPAN, PHP-Programmierer haben eben nichts vergleichbares.
  • Ebenfalls PHP-Typisch enthält die SMF-Distribution keine Unit- oder Regression-Tests. Ohne automatisierte Tests sind viele Fehler nur schwer erkenn- und reproduzierbar.
  • Die Dokumentation ist relativ knapp und rudimentär gehalten, auch wenn ich da schon deutlich schlimmeres gesehen habe.
  • SMF ist weder objektorientiert programmiert noch wird ein Datenbankabstraktionslayer verwendet. Dies erschwert die Entwicklung von Erweiterungen.
  • SMF verwendet MySQL mit dem MyISAM-Tabellentyp. Damit kann keine Datenintegrität gewährleistet werden, es erfüllt noch nicht einmal die Mindest-Anforderungen an eine ACID-konforme Datenbank. Dies kann zum einen Auswirkungen auf die Datenkonsistenz haben: MyISAM gibt keine Garantie, dass keine kaputte Daten in die Datenbank gelangen. Update: ACID-Konformität ist eine Anforderung des BSI Grundschutz-Katalogs (M 2.124    Geeignete Auswahl einer Datenbank-Software), die damit nicht eingehalten wird bzw. mit MySQL gar nicht eingehalten werden kann.
    Zum anderen ist die Performance bei parallelen Lese-/Schreib-Operationen, wie sie bei vielen Web-Anwendungen vorkommen, sehr schlecht: ein Schreibzugriff muss warten, bis alle Lesezugriffe fertig sind und umgekehrt. Dies kann einen Server sehr schnell unter der Last zusammenbrechen lassen. (Update, 8.Februar 2009: was nicht nur theoretischer Natur ist sondern sich nun auch praktisch bestätigt hat)
  • Das Simple Machines Forum läuft in der verwendeten Version 1.1 nur mit MySQL. MySQL bzw. genauer die MySQL Client Library ist nach Auffassung von MySQL aber nur unter wenigen Umständen ohne Lizenzkosten nutzbar. Dies gilt zum Beispiel dann nicht, wenn die MySQL nutzende Software nicht unter der GPL oder einer anderen Lizenz steht, die unter die „Free and Open Source Software ("FOSS") License Exception“ fällt. Für die Simple Machines Licence gibt es keine solche Ausnahme. Daher ist dabei eine kostenpflichtige Lizenz (ab 479 Euro pro Jahr) zu erwerben. In der Ausschreibung wurde aber explizit verlangt, dass kostenpflichtige Lizenzen nur bei gesonderter Begründung erlaubt sind (Frage 10.4 des Fragenkatalogs) ...
  • PHP-Code, HTML und CSS werden beim SMF miteinander vermischt. Zukünftige Design-Änderungen sind damit in vielen Fällen sehr schwer und nur durch Code-Änderungen möglich - was wie bereits oben beschrieben auch der Ausschreibung widerspricht. Gleichzeitig bringt dies wiederum Probleme beim Aktualisieren der Software mit: Gibt es eine neue SMF-Version, muss diese u. U. mühsam mit den eigenen Änderungen verglichen und manuell eingespielt werden.
  • Der Bundestag verlangt, dass die Software als Peak 10000 Besucher pro Minute verträgt. Bei Zeiten von rund 200 Millisekunden bei der Generierung und Auslieferung alleine der Startseite ist fraglich, ob diese Werte erreicht werden können ...

Insgesamt stellt sich die Frage, wie man seriöserweise überhaupt auf die Idee kommen kann, eine solche Foren-Software als Basis für eine Geschäftskritische Anwendung auszuwähen. Die Probleme sind zu massiv und umfangreich, als dass man sie ignorieren sollte. Und sie sind zu tiefgreifend, um sie durch Erweiterungen und Fehlerbehebungen in den Griff zu bekommen. Um die Anforderungen einzuhalten und ein gut wartbares Produkt zu erhalten ist seriöserweise eine komplette Neuentwicklung zu empfehlen.

Der Auftragnehmer: araneaNET GmbH

Die Umsetzung der neuen Online-Petitions-Website des Bundestages wurde laut Impressum und Pressemeldung durch die Firma araneaNET GmbH aus Potsdam durchgeführt. araneaNET GmbH bezeichnet sich selbst als ein „BSI-zertifizierter Technologieberater“. Warum ein solches Unternehmen dann aber eine Software einsetzt, die offensichtlich nicht die Anforderungen der BSI-Grundschutz-Kataloge (bzw. Grundschutz-Handbuch) einhält, bleibt unverständlich.

Laut Eigenaussage liegen die Kompetenzen von araneaNET in Bereichen, die ich als Softwareentwickler und Gestalter von Web-Anwendungen in den Systemadministrations-Bereich einordnen würde, keinesfalls aber im Bereich der Erstellung benutzerfreundlicher Web-Applikationen. Interessant ist dabei der Punkt Open Source, dort stehen als angebotene Leistungen:

  • Support von Open Source basierten Betriebssystemen (Novell Open Enterprise Server, SuSE Linux Enterprise Server)
  • Eigenentwicklung einer Open Source Produktreihe zur Verwaltung und Management von IT-Ressourcen

Neben dem Support für Novell/SuSE-Betriebssysteme haben sie also auch noch eine ganze eigene „Open Source Produktreihe“ im Programm. Nur: bis auf ein paar kurze Beschreibungen was die Produkte denn können sollen und der Angabe „Open Source - keine Lizenzgebühren“ findet sich nicht viel: neben einer Kurzbeschreibung je ein PDF-Flyer und eine Demo-Website für araneaSOURCE|documentare, auf der nicht viel passiert. Kein Source und keine Angaben zur Lizenz. Dabei geht Open Source viel weiter und hat erstmal nichts mit kostenlos oder kommerziell/nichtkommerziell zu tun - wenn dann also bei einem „Open Source“-Projekt noch nicht mal der Source zu finden ist, dann finde ich das durchaus ... ungewöhnlich. Auch auf eine Anfrage an die angegebene E-Mail-Adresse war keine Antwort zu erhalten. Eine Google-Suche findet im Wesentlichen nur ein paar alte Pressemeldungen (Stand: 9. November 2008).

Das alles mag nicht viel bedeuten, auch wenn ich persönlich auf überschwengliche Pressemeldungen allergisch reagiere, vor allem wenn lange nach der Ankündigung nichts zu sehen ist. Nach Open Source sieht es auf jeden Fall eher weniger aus.

Zu den Kernkompetenzen der araneaNET GmbH gehört nach eigener Angabe weder Informationsdesign noch die Erstellung von Websites oder gar Community-Websites noch die Erstellung von gebrauchstauglichen und benutzerfreundlichen Bedienkonzepten. In den Ausschreibungsunterlagen wurde vom Bundestag aber explizit gefordert, dass dem Angebot „drei bis fünf Referenzen über vergleichbare Aufträge vorzulegen“ seien. Vielleicht wurde hier also „vergleichbare Aufträge“ besonders weit ausgelegt? Und sicherlich schadet es auch nicht, an dem ein oder anderen Projekt des Wirtschaftsministeriums teilzunehmen.

 

Fazit

Dass die Umsetzung der Online-Petitions-Webseite alles andere als optimal ist, ist deutlich zu sehen: Schlechte Bedienung, fehlende Funktionalität bzw. nicht eingehaltene Anforderungen, mangelnde Barrierefreiheit, sicherheitskritische Basis, altbackenes Design und rechtswidrige Datenabfrage. Man kriegt eben das, was man bezahlt. Natürlich kann man in einigen der hier genannten Kritikpunkte anderer Meinung sein, aber bei einem Projekt des Bundestages habe ich einfach besonders hohe Ansprüche!

In gewisser Weise wird die neue Webseite allerdings dem gerecht, was den Petitionsausschüssen von Bund und Ländern nachgesagt wird: sie würden wenig wahrgenommen, seien das Stiefkind aller Ausschüsse und für Abgeordnete, die angeblich sonst nichts können. Aber gerade deswegen wäre ein moderner, gut bedienbarer und zukunftsweisender Auftritt nötig, nicht ein Rückschritt ins Web 1.0.

Aber, welche Lehren lassen sich aus der Sache ziehen?

Lehren für Bieter

Für den (potentiellen) Auftragnehmer lässt sich vor allem eine Lehre ziehen: sei billig! Und zwar so billig, dass es kaum möglich ist, hochqualitative Arbeit zu leisten. Also wirklich billig, in allen seinen Bedeutungen. Oder anders gesagt: Wer billig ist, hat die besten Chancen auf den Zuschlag. Das ist aber auch egal, merkt erstmal sowieso keiner - und ansonsten überhaupt erst dann, wenn es zu spät ist. Und ebenso wichtig ist, wie auch an anderen Stellen zu beobachten ist: immer schön dick auftragen, die eigenen Leistungen so sehr übertreiben bis man es selbst nicht mehr aushält, irgendwie zertifizieren lassen und mit dem Strom schwimmen. Wenn Open Source modern ist, dann mache Open Source. Oder sage zumindest, dass Du das machst, irgendwer wird es schon glauben.

Lehren für Ausschreibende

Das klingt fatalistisch, ein bisschen ist es das auch. Aber ich habe auch Hoffnung, dass es anders laufen kann. Dazu gehört sicherlich, dass sich die ausschreibenden Behörden oder Unternehmen besser mit den Bereichen auskennen, in denen sie etwas ausschreiben. Ohne Wissen geht es nicht - und wenn von den Mitarbeitern des Bundestages sich keiner auskennt, dann muss man dies eben mit kompetenten externen Partnern machen. Vermutlich ist dies im Fall der Online-Petitions-Webseite des Bundestages sogar passiert, denn die Ausschreibungs-Unterlagen und das Lastenheft sind im Großen und Ganzen nicht zu beanstanden. Aber ich habe die Vermutung, dass bei der Auswahl der Angebote weniger Sorgfalt angewendet wurde, sondern nur ein paar Punkte anhand des einzureichenden Fragebogens mit dem angebotenen Preis verrechnet wurden. Dabei ist bei genauerem Hinsehen klar, dass ein Angebot auf Basis des Simple Machine Forums einige Anforderungen ohne exorbitanten Aufwand gar nicht erfüllen kann. Dafür ist die Software zu sehr auf die Zielgruppe eher privater Foren- bzw. Board-Betreiber zugeschnitten.

Bei solchen Aufträgen halte ich es daher für die Ausschreibenden schwer, nach Aktenlage zu entscheiden. Dann gewinnt nämich der, der am meisten übertreibt. Vermutlich wäre es sinnvoller, eine Auswahl der in Frage kommenden Angebote zu erstellen und diese dann genauer unter die Lupe zu nehmen, inklusive Präsentation durch die Anbieter. Vielleicht auch schon von mehreren Bietern ein Pflichtenheft auf Basis ihres Vorschlages erstellen lassen - diese werden das zwar nicht umsonst machen, aber lieber etwas mehr Geld ausgeben als nachher ein schlechtes Produkt zu erhalten. Inwieweit das alles mit dem Ausschreibungsrecht vereinbar ist mag ich nicht beurteilen, in anderen Fällen klappt sowas aber auch. Eine perfekte Welt ist natürlich ein weit entferntes Wunschdenken, aber man kann sich dieser ja Schritt für Schritt nähern ...

 

Update, 16.November: Umfrage und Sicherheitsupdate beim Bundestag, Screenreader-MP3s und sonstige Neuigkeiten

Update, 7. Februar 2009: Petitions-System des Bundestages bricht zusammen

 

19 TrackBacks

TrackBack-URL: http://www.perl-blog.de/mt/mt-tb.cgi/199

Der Bundestag wollte eine Oberfläche für Onlinepetitionen schaffen. Durch offensichtliche Fehler in der Auswahl eines seriösen Dienstleisters und bei der Abnahme durch den Auftraggeber kam es jetzt jedoch zu einer peinlichen Umsetzung.

Alvar... Mehr

Usability beim Bundestag von blog.5gestalten.de zu 10.11.08 18:25

Einen spannenden Artikel dazu gibt es im Perl-Blog. Und ein paar Details dann demnächst bei uns im Webdesign-und-Usability-Blog :)... Mehr

ITertreibungen. von sysadminfetzen zu 10.11.08 19:41

Alvar Freude beschwert sich in seinem Blog ziemlich ausführlich und nachvollziehbar über die neue Online-Petitions-Website. Alvar ist unter anderem erschüttert, wie dick die Firma Aufgetragen hat, um die Ausschreibung zu gewinnen. Sein ganzer Artike... Mehr

Onlinepetitionen in Deutschland von Fatalitility, where Logic ends... zu 11.11.08 13:13

Was lese ich denn da gerade in meinem Feed-Reader? Der Bundestag hat es doch tatsächlich endlich hinbekommen nach einem Feldversuch in Zusammenarbeit mit den Schotten eine eigene Plattform für Onlinepetitionen zu erstellen. Klingt toll? Ist es aber n... Mehr

Der Deutsche Bundestag hat im Frühjahr dieses Jahres die Erstellung einer neuen, professionellen und barrierefreien Website für Online-Petitionen ausgeschrieben. Diese sollte zum 1. Oktober fertig sein, bisher sind aber nur kryptische Fehlerm... Mehr

Noch mehr Webseiten-Mecker von Der Schockwellenreiter zu 12.11.08 9:24

Alvar Freude setzt sich in seinem Perl-Blog mit der Online-Petition des Deutschen Bundestags auseinander. Er stellt nicht nur schwere Mängel bei der Sicherheit, Barrierefreiheit und Usability fest, sondern auch gesetzeswidrige Abfragen persönlicher D... Mehr

Juhu, endlich Karneval. Hat mich diese Woche doch glatt wer gefragt, ob ich auf eine Karnevalsparty mit will. Naja, ok, der kam aus Köln, der kennt es nicht anders. Jetzt aber mal ein kurzer Linkeinschub:News des Tages: Das BKA Gesetz ist mit seiner kom Mehr

Seit einiger Zeit hat das Web-System des Deutschen Bundestages ein Petitionssystem. Dieses Petitionssystem ist in der Netzgemeinde ausführlich gewürdigt worden, denn es ist, gelinde gesagt, alter Kram (um das Wort Schrott zu vermeiden). SMF kennt verm Mehr

Hören statt sehen Als Ergänzung zu meiner Kritik an der Online-Petitions-Webseite des Bundestages habe ich ein paar Audio-Aufzeichnungen mit Screenreadern gemacht, die unten als MP3 verlinkt sind. Damit kann man hören, wie sich die Webse... Mehr

Alvar Freude analysiert in Mit dem Bundestag zurück ins Web 1.0 die neue Petitionsseite des Bundestags. Grob gesagt: Das Ding ist nicht nur jetzt schon veraltet und eventuell ein Sicherheitsrisiko, es erfüllt nicht mal die Kriterien, die in dessen Auss Mehr

Vor einer Weile habe ich das neue Petitions-System des Bundestages der araneaNET GmbH kritisiert. Das Fazit: es hat eine grottenschlechte Benutzerführung, ist eine technische Katastophe, verletzt Datenschutzgesetze, ist alles andere als Barrierefrei un... Mehr

Wer billig kauft, kauft zwei Mal. "Die neue aber altbackene Online-Petitions-Website des Deutschen Bundestages führt den Nutzer zurück ins Web 1.0. Sie verdeutlicht ein Problem öffentlicher Ausschreibungen […]Denn anstatt einer speziell auf die Anforderu Mehr

Der AK Vorratsdatenspeicherung spielt mal wieder mit der Angst der Leute: seit heute wird zum Protest gegen das BSI-Gesetz aufgerufen und die dortige Änderung des §15 vom Telemediengesetz kritisiert. Diese soll beispielsweise Betreibern von Webservern ... Mehr

Vor einiger Zeit habe ich über die gravierenden Mängel des Online-Petitions-Systems vom Deutschen Bundestag berichtet. In der Zwischenzeit wurden zwar einige kleine kosmetische Reparaturen vorgenommen, das Grund-Problem der gammeligen Software besteht ... Mehr

Grundeinkommen von Hanno's blog zu 16.02.09 17:27

Seit ein paar Wochen macht eine Petition an den Bundestag die Runde, die die Einführung eines bedingungslosen Grundeinkommens fordert. Der Bundestag verpflichtet sich, Themen solcher Petitionen zumindest zu verhandeln, wenn die Zahl der UnterstützerInnen Mehr

Auch wenn ich lieber nicht über sehgeschädigte Autofahrer nachdenken möchte - dieser Heise-Artikel führt ein paar Zielgruppen auf, die bei der neuen Online-Variante des Formulars für die Abwrackprämie leider vergessen wurden. Mal wieder, muss man wohl ... Mehr

Markus hat heute morgen nebenan bei netzpolitik.org darauf hingewiesen, dass es eine ePetition gegen die Indizierung und Sperrung von Internetseiten gibt. Wir sind natürlich dabei - ihr auch? Mittlerweile sind es schon über 11.500 (Update: 17.00 Mehr

Seit heute laeuft eine Petition gegen die geplanten Netzsperren. Wenn euch eure Freiheit etwas bedeutet moechte ich euch bitten, diese ebenfalls hier zu unterzeichnen. Gleich vorweg: Der Petitions-Server des Bundestags ist hoffnungslos ueberlastet, die Mehr

Dank der Petition gegen den Gesetzentwurf zur Änderung des Telemediengesetzes steuern momentan wieder viele die Petitionsseite des Bundestages an. Wer sich wundert, warum diese Seite daherkommt wie das dahingemurkste Forum eines Kleingartenvereins, kan... Mehr

62 Kommentare

Salut,

Also, ich finde ja einen etwas anderen Vergleich angebrachter: das Parlament fragt nach einem Plenar- und Sitzungsgebäude und die araneaNET stellt ihnen ein Häuschen aus Lego Duplo hin.

Tonnerre

Salut,

Ich sollte vielleicht nicht so negativ sein. Zu deinem vulnerability assessment, soweit ich das sehe basiert das nur auf banner grabbing, i.e. du hast die Versionsnummern verglichen, oder? Es ist nämlich durchaus denkbar, dass eine gepatchte Version 1.1.6 des SMF auf dem Server läuft. Der grundsätzlichen Unwartbarkeit eines solchen PHP-Monsters ist das natürlich nicht abträglich, ich wollte nur darauf hinweisen.
Sicherheit bringt an dieser Stelle natürlich nur ein pentest, aber ich weiss nicht wie gut dieser ankäme.

Ein Gegenargument mit dem die PHPler gerne gegen CPAN kommen: es gibt PEAR, eine Sammlung von PHP-Erweiterungen in PHP, allerdings wird die in diesem Fall wohl nicht genutzt - schliesslich will man sich ja keine Abhängigkeiten schaffen oder so.

Was den MySQL-Teil betrifft, ich bin ja mal gespannt wie das Forum sich so verhalten wird, wenn es mal ein Bisschen bekannt wird und benutzt. Allerdings kann man die 200 Millisekunden Seitengenerierung ja nicht direkt umrechnen, i.e. die Generierung zweier parallel aufgerufener Seiten braucht nicht zwingend 400 Millisekunden. Dennoch ist diese Zeit schon einmal kein gutes Zeichen; also wiegesagt, man darf gespannt sein wie schlimm es enden wird.

Zum Open Source-Gedanken ist noch zu sagen: wir von der SyGroup entwickeln auch häufiger Software für Kunden unter GPL oder BSD-Lizenz und veröffentlichen die Software dann nicht - das ist auch völlig legal. Wir geben sie dem Kunden in die Hand und er darf dann damit tun was er will, und wenn er sie veröffentlichen will, darf das. Wichtig ist, dass die Lizenzvereinbarung dem Programm beiliegt und dass entweder der Quellcode bei der Verbreitung an den Empfänger mitgegeben wird oder aber ein Dokument, in dem man sich verpflichtet, den Quellcode jedem zu geben der fragt.
Wenn der Kunde nun den Quellcode mitsamt dem Binärcode erhält, ist man nicht verpflichtet, jemandem anderen den Code zu geben; dies ist detailiert aufgeführt in der Sektion 6 der GPL Version 3.

Insgesamt betrachtet ist das ganze Projekt wie richtig bemerkt in der Tat eher schändlich und schädlich, vor Allem die breit angelegte Ignoranz der Definitionen des Pflichtenheftes. Insbesondere in Anbetracht der Probleme mit der Barrierefreiheit sollte man da vielleicht einmal Beschwerde einlegen. Auf der anderen Seite würde ich sagen, dass in der Tat eine etwas modifizierte Version von Slashdot so ziemlich das gewesen wäre was die lieben Leute im Bundestag erwartet hatten, mit oder ohne Firehose ist natürlich dann eine Detailfrage. Vielleicht sollte man sowas mal schnell basteln und dann mitsamt der Beschwerde einreichen.

So, nun aber genug geschrieben.

Tonnerre

Das ist so deprimierend!

Am schlimmsten finde ich aber das das alte System besser war als das neue!
Selbst einem komplett blinden Beamten sollte auffallen das das alte System zumindest mal besser strukturiert war und zumindest das getan hat was man davon erwartet hat, es konnte Petitionen aufnehmen.

Ich weis, das alte System hat bei der Softwarepatente-Petition nicht skaliert. Aber ich bin dennoch der Meinung es waere auch jetzt die bessere Wahl gewesen.

Tonnere: ja, es ist richtig dass nicht klar ist, ob vielleicht doch gepatcht wurde. Oder vielleicht ist diese Installation auch aus anderen Gründen nicht angreifbar. Ich habe es natürlich nicht getestet. Aber so wirklich besser macht es das auch nicht, denn wer weiß schon wie viele Lücken da noch drin sind?

Was PEAR anbelangt, das ist natürlich gegenüber dem CPAN ein Witz, der aktuelle Stand ist 519 Packages im PEAR gegenüber 16418 Distributions im CPAN.

Und wie das ganze bzw. MySQL in der Praxis skaliert, das wird man sicherlich dann sehen wenn es wieder so eine Petition wie die Software-Patente oder etwas ähnliches gibt.

Auch das mit der Lizenz ist natürlich richtig, aber dennoch hinterlässt das für mich einen komischen Beigeschmack. Vor allem da es so aussieht, dass es um Software geht, die für die Allgemeinheit gedacht sein soll.

In einigen Kommunen der Schweiz wird laut Hörensagen bei öffentlichen Ausschreiben ein interessantes Verfahren angewendet.

Nicht der Billigste gewinnt, sondern der, dessen Angebot am nächsten am Median liegt. (Oder am Durchschnitt, vermutlich mit Eliminierung von Ausreißern, wie gesagt, nur Hörensagen.)

Salut Deep-Thought,

Mal so gesagt, erwartest du, dass die aktuelle Lösung besser skaliert? ;-)

Tonnerre

>obwohl schon vor Tagen eine neue Version heraus kam

Aber bis vorgestern wurden noch verschiedene Dateien in den Updatepaketen angeboten. Das dürfte inzwischen behoben sein.

>Der Code der meisten frei verfügbaren PHP-Boards ist

>meist auf schlechtem bis sehr schlechtem Niveau,

>fehleranfällig und schwer wartbar.

Jetzt würde mich mal interessieren, was ein gutes (freies) Bsp. wäre - muß auch nicht PHP sein.

Ein wenig bitter stößt aber auch die Usability dieser Seite auf. Unlesbare Captchas, die man nicht neu anfordern kann, kein Hinweis, wieso der "eingegebene Text" falsch ist, zurück-Funktionen, die den eingegebenen Text löschen etc....

zu Paul: Ich bin allgemein kein Fan von solchen Boards, für umfangreichere Diskussionen ist das eben nicht so sehr geeignet (genauso wenig wie die Kommentarfunktion hier ;-) ). Aber das Simple Machines Forum gilt ja schon als besseres Board bzw. mit dem besseren Code.
In Perl ist gerade Battie in Entwicklung, aber das ist mehr als nur ein Board. Ich kenne es aber auch nicht näher.

Ansonsten bin ich der Ansicht, dass für eine solche Online-Petitions-Website eine speziell auf die dortigen Anforderungen zugeschnittene Software sinnvoll wäre. Dabei lassen sich natürlich auch Komponenten wiederverwenden oder Frameworks nutzen, keine Frage. Bei einem sauberen, moduleren und objektorientiertem Code ist das auch eher weniger ein Problem. Aber die Anforderungen sind halt überall etwas anders, so dass ein Produkt von der Stange immer Probleme machen würde, auf die eine oder andere Art.

Catalyst Framework z.B.

Da bleibt am Ende noch eine Menge Komponenten-Klemptnerei uebrig, aber das ist ja normal bei einer Software die man fuer einen speziellen Zweck implementiert.

Wie wäre es mit einer Petition gegen das Petitionssystem ?

danke für einblick und einschätzung... erschreckend, wirklich erschreckend.

@Christoph

zumindest sollte man diese Expertise dem Sekretariat des Petitionsausschusses zu kommen lassen.

post.pet@bundestag.de

> Auf der anderen Seite würde ich sagen, dass in der Tat
> eine etwas modifizierte Version von Slashdot so ziemlich
> das gewesen wäre was die lieben Leute im Bundestag
> erwartet hatten, mit oder ohne Firehose ist natürlich
> dann eine Detailfrage. Vielleicht sollte man sowas mal
> schnell basteln und dann mitsamt der Beschwerde
> einreichen.

Keine Ahnung ob das jedem klar ist, der Code hinter Slashdot ist unter einer freieren Lizenz verfügbar als SMF. -> http://www.slashcode.com/

> Keine Ahnung ob das jedem klar ist, der Code hinter
> Slashdot ist unter einer freieren Lizenz verfügbar als
> SMF. -> http://www.slashcode.com/

Ich habe mir Slash schon eine Weile nicht mehr angeschaut, früher war da der Code aber auch nicht so toll. Hast da jemand gerade einen Überblick?
Einen Vorteil hat es ja: es ist in Perl ... ;-)
Aber leider nicht auf dem CPAN, was natürlich auch ein psychologisches Hemmnis ist.

@Christoph

Die Idee mit der Petition gegen die Petition gefällt mir. Positiv formuliert: Petition zu Prüfung und Überarbeitung des Online-Petitionssystems...
Würde ich sofort unterzeichnen. Ist eine solche schon drin?

Alvar - interessante Analyse - aber warum hast Du beim Thema "Sicherheit" plötzlich einen solchen Argumentations-Krampf?
Wenn mir jemand mit sowas kommt wie "Bäää, da gibt es eine Sicherheitslücke" stöhne ich nur - wie kannst Du nur so eine Argumentation ernsthaft auffahren, damit reduzierst Du die Textqualität ganz erheblich und Du richtest Schaden an bei den Leuten, die Dich Ernst nehmen und referenzieren und bei den ganzen irren Halbwissenden, denen wir seit Ewigkeiten versuchen klarzumachen, dass Sicherheit ein Prozess und kein Zustand ist - brauch ich Dir ja eigentlich nich zu erklären, aber gerade deshalb wundere ich mich darüber, das sowas ausgerechnet von Dir kommt.
Für alle anderen: nach der Argumentation wäre der Linux-Kernel auch völlig unbrauchbar, weil es auf mailw0rm Exploits dazu gibt. Ist natürlich quatsch - wenn man sich da was angucken und beurteilen will, dann den Qualitäts-Sicherungs-Prozess und Update-Pfade - Sicherheitslücken gibts überall, es kommt darauf an, wie damit umgegangen wird.
Auch wenn ich sehr gut nachvollziehen kann, dass der berechtigte Ärger über inkompetente Sesselfurzer, die überall in diesem Land nur Schaden anrichten, einen schon mal Amoklaufen lassen kann - hier solltest Du nochmal nacharbeiten und das Thema differenzierter angehen, also z.B. die Update-Mechanismen von smf untersuchen. "Sicherheitslücke in Online-Petitions-System" ist zwar eine prima Schlagzeile - aber Du brauchst sowas nicht. Ich bitte also um Überarbeitung.
Alles andere: Zustimmung. Wobei ich natürlich eher eines der gängigen Python-Frameworks empfehlen würde, wie z.B. Turbogears, Django oder web2py.

Ongollo: Du hast Recht, es ist selbstverständlich vor allem wichtig, wie mit Sicherheitslücken umgegangen wird. Aber gerade hier habe ich den Eindruck, dass der Bundestag bzw. der/die von ihm beauftragten Dienstleister nicht sonderlich sauber damit umgehen. Auch heute ist noch die Version 1.1.6 installiert.
Auch wenn die Installation vielleicht gar nicht verwundbar sein sollte, lockt sowas ja nur Leute an, die es auch an anderer Stelle versuchen.
Und wenn man sich sowohl den Code als auch die Exploit-Historie vom SMF anschaut, dann sollte man nur begrenztes Vertrauen in die Sicherheit des Systems haben. Ansonsten braucht man sich nicht zu wundern, wenn es nicht nur eine Petition gibt, die innerhalb kürzester Zeit eine Million Unterzeichner hat oder die Daten aller registrierten Nutzer im Esel landen oder ähnliches.
Immerhin geht es hier um eine Missionskritische Anwendung.

Recht hast du.
Das ganze ist wirklich peinlich und eine Zumutung. Das ganze ist eine so dermaßen halbgare Lösung das man annehmen muss das es praktisch nichts gekostet hat. Muss ja wirklich erbärmlich gewesen sein.

Was mich zu einem Punkt bringt der noch gar nicht erwähnt wurde: Wieso wird gerade wenn es um eine Sache geht die unter "direkt Demokratie" läuft so dermaßen gespart? Das macht mich maßlos wütend wenn ich sehe für was eine Schei**** Geld rausgeworfen wird.

Zum Artikel:
Es gibt neber dem bereits erwähnten PEAR eine Menge guter "Frameworks" für PHP. Welches übrigens auch gut gecoded sein kann (höre ich eine gewisse Ablehnung gegenüber PHP heraus?). Auch ist die Sicherheit von OS Anwendungen für gewöhnlich vorbildlich.
Ansonsten ein sehr guter, ausführlicher Bericht. Hoch informtiv und kurzweilig zu lesen. Danke!


So viel Aufwand wie der Autor sollte der Bundestag treiben, bevor er eine IT Ausschreibung macht. Dieses Teil ist nur ein weiteres Beispiel für die Inkompetenz in der IT sowohl der Parlamentarier als auch der Bundestagsverwaltung und anderer Behörden. Ein weiteres Beispiel aus der IT Steinzeit ist das Dokumentationssystem für Gesetze des Bundestages, das erst kürzlich "runderneuert" wurde. Versuchen Sie einfach mal den Gesetzestext zur Einrichtung des Hausarztmodells bei www.bundestag.de zu finden. Falls Sie sich beim Angeordneten ihres Vertrauens beschweren wollen, sollten Sie ihr Faxgerät anwerfen. eMail Adressen für Abgeordnete gibt es bei bundestag.de nicht.

Ein weiteres schönes Negativbeispiel ist der IT Gipfelblog (/it-gipfelblog.hpi-web.de) des Hasso-Plattner-Instituts, der den IT Gipfel der Kanzlerin begleiten soll. Hier wird zwar "State of the Art" Wordpress Software verwendet. Sinnigerweise beteiligen sich aber weder Abgeordnete, Mitarbeiter der Ministerien oder Lobbyisten, aber auch kaum IT Professionals sodass das Diskussionsforum wenig Sinn macht. Ein kleines technisches Detail verhindert auch sinnvolle Diskussionen. Da das HPI keine eMails aus automatischen Systemen verschickt (das soll angeblich der Sicherheit dienen), wird man als Diskussionsteilnehmer nicht benachrichtigt, wenn Kommentare zu eigenen Diskussionsbeiträgen eingehen. Damit werden natürlich sinnvolle Diskussionen abgewürgt, da wohl niemand Zeit und Lust hat im IT Gipfelblog nach neuen Diskussionsbeiträgen zu suchen. Vielleicht sollte man eine "IT eGovernment Hall of Shame" aufmachen, damit die Auswüchse in der IT Beschaffung der offenen Hand mal an zentraler Stelle gesammelt werden.

Das stinkt schon ganz schön. Da sonst schon fast alles gesagt wurde möchte ich ein anderes Thema ansprechen: Nach Durchsicht der Webseite von Araneanet frage ich mich tatsächlich, wie die an den Auftrag gekommen sind. Es würde mich nicht wundern, wenn da jemand ein wenig nachgeholfen hätte.

Hat eigentlich schon jemand diesen Text an post.pet@bundestag.de geschickt, und wenn ja: kam eine Antwort, wenn ja: welche Antwort?

Ich erlaube mir mal eine Kritik an der Kritik: Was nutzt dieser Blogeintrag, wenn die Entscheider davon keine Notiz nehmen? Wer glaubt, mit solchen Einträgen was zu bewegen, der steckt nach meiner Meinung viel zu tief im Web-2.0-Paralleluniversum.

Also: Ran an euren örtlichen Bundestagsabgeordneten! Macht ihn auf die Mißstände aufmerksam! Nutzt den Rest von Basisdemokratie, der Euch noch geblieben ist!

~JJ

Das ist eben das, was man von einer BWL-getrieben Firma bekommt! Ein paar bunte Zertifikate und andere heiße Luft, Kompetenzen im Vertrieb. Für die eigentliche fachliche Thematik bleibt dann eben nicht mehr viel übrig.

Sicher, für einen staatlichen Auftritt nimmt man kein SMF. Aber zeig mir mal für den Hausgebrauch eine bessere Forensoftware welche nix kosten soll.

Statt auf SMF rumzuhacken mach mal was ordentliches und code ein 100% GPL BBS mit allen Features die du verlangst.

@Oh Mann: In dem Artikel geht es aber nicht um eine "Forensoftware, die nix kosten soll".
Abgesehen davon: Der SMF Code ist Mist, auch wenn es weit schlimmeres gibt. Aber eben typisch PHP. Die genannten Beispiele zeigen das, wenn auch nur zum Teil.

Erschreckend, außer bei Hobby-Seiten habe ich selten sowas schlechtes wie die ePetitions-Seite des Bundestages gesehen.
Sieht aus, als ob da der Sohn vom Abteilungsleiter mal schnell was zusammengebaut hat.

Aber nachdem ich den Artikel hier gelesen habe wurde mir so einiges klar.

Salut,

Eine Randnotiz an den Herren, welcher sich von Rothschild nennt: aus welchem Buch zitierst du?

Bitte lasst euch doch nicht immer zu solchen Phrasen hinreissen. Sicherheit ist natürlich etwas, was nur durch Prozesse erreicht werden kann (also Abläufe, nicht Gerichtsverfahren). Trotzdem gibt es Software die einem das einfach macht (sagen wir OpenSSL) und solche, wo zu erwarten ist, dass es sehr schwer werden wird auch in der Zukunft (sagen wir GnuTLS).

Auch wenn es keine absolute Sicherheit gibt, sind manche Dinge nur unter extremen Aufwänden sicher zu betreiben (und manche auch einfach gar nicht).

Wenn ihr also so etwas sagen wollt, dann sagt es bitte ohne Frank Rieger oder Bruce Schneier zu zitieren. Ihr habt ja hoffentlich ein eigenes Hirn.

Tonnerre
(IT security professional)

Also diese Diskussion ist mir nicht ganz klar.
Erstens heutiger Stand die Version ist jetzt 1.1.7 soweit mal dieses.
Als weiteres soll das Online Petitionssystem den Nutzer lediglich Grundfunktionen zur Verfügung stellen, dieses tut es auch einwandfrei.
Ebenfalls soll es einfach zu benutzen sein, das ist ebenfalls der Fall, ein einfacher Nutzer kommt mit der Navigation wunderbar klar (Tests innerhalb der Familie haben das gezeigt).
Und zum Schluss das Design, die Seite musste damit ein einheitliches Bild gewahrt bleibt dem Design der erstlichen Seiten des Bundestages angepasst sein. Das ist es in ausreichendem Maße und mehr nicht.
Also vergessen wir mal diesen ganzen Schnick-Schnack, kehren wir mal zurück zu den Wurzeln und kritisieren wir nicht gleich alles. Niemand weis wie der Code modifiziert wurde damit er sicher ist und welche zusätzlichen Mechanismen es noch gibt. Der hiesige Blog hört sich eher nach Propaganda gegen einen Mitbewerber an. Vielleicht ist es ja so das Alvar Freude selber ein Angebot abgegeben hat, ich weis es nicht, aber hört doch mal mit der ganzen Hetzjagd auf, ich vertraue auf dieses Portal. MfG Ein Petent

Hallo Online-Petent,

bist du Blind? Nein? Ich nehme an, du hast keine physischen Beeinträchtigungen, kannst die Seite mit ihren Layout-Tabellen also einwandfrei nutzen. Was macht ein Blinder mit diesem Layout? Schau dir die Seite mal in einem Text-Browser an...

So eine Seite ist einfach nicht tragbar, vor allem muss die Barierefreiheit von den Behörden per Gesetz eingehalten werden, was hier nicht der Fall ist. Und schon alleine das ist schlimm genug! Es geht nicht nur darum, dass du oder deine Familie die Seite bedienen kann oder dass die Grundfunktionen vorhanden sind. Es aber zum Großteil darum, was für einen Mist unsere Abgeordneten da in Auftrag geben lassen und unsere Steuern zum Fenster rausschmeißen. Das kann einfach nicht sein...

Der "Online-Petent" hat Tests innerhalb der Familie durchgeführt, das ist löblich, bringt jedoch in der Diskussion nicht wirklich etwas. Alvar hat eine Analyse geschrieben, die ziemlich tief geht und dabei noch nicht einmal alle möglichen Kritikpunkte aufzählt. Das bringt schon ein wenig mehr.

Was landläufig als Design bezeichnet wird ist nicht ausschließlich eine Frage von "sieht so aus wie der Rest", was in diesem Fall ohnehin kaum zutrifft. Hier handelt es sich immerhin nicht um eine Broschüre, sondern eine interaktive Anwendung. Die Qualität des Interaktionsdesigns und der Benutzerführung ist im Simple Machines Forum einfach nicht auf dem aktuellen Stand der Kunst, um es einmal vorsichtig auszudrücken.

Eine Hetzjagd findet hier gewiss nicht statt. Es muss doch möglich sein, ein Regierungsprojekt öffentlich zu analysieren und zu hinterfragen, wie es zu Stande kam. Immerhin wurde es mit Steuergeld finanziert, wenn auch offensichtlich nicht mit besonders viel.

Klar, irgendwie, also mit etwas Mühe, kommt man mit dem Projekt schon über die Runden. Mit etwas Herumprobiere, zig Fehlklicks und zwischen unnützen, schlecht gegliederten und ungenügend unterschiedenen Elementen findet man sich irgendwie zurecht. Aber insgesamt ist und bleibt es peinlich. Die einzige Steigerung, die ich mir vorstellen kann, wäre, wenn wir es plötzlich mit einer halbgar angepassten Version von 4chan zu tun bekämen. mit so einem Murks abspeisen lassen?

Es gibt unter
https://www.befragung.epetitionen.bundestag.de
die Möglichkeit seine Meinung zur Seite mitzuteilen. Es werden zwar ein paar persönliche Daten wie Schulbildung etc. abgefragt, aber eine Email-Adresse für eventuelle Antworten gibt es nicht.

Das ist alles so traurig. Einfach nur traurig.

Ich frage mich echt, wie so etwas zustande kommt. Klar, dass eine Agentur sich um einen Auftrag bewirbt ohne von der Materie Ahnung zu haben, das kommt schon mal vor.
Aber wie kann es passieren, dass dann so jemand den Zuschlag erhält? Wie wählt der Bundestag denn seine Dienstleister aus? Oder waren das die Vorgaben und die Firma kann nichts dafür?
Mich würde ja tatsächlich mal interessieren, was der Bundestag und was die Firma dazu sagen.

Zu "Aus den Zielbestimmungen vom Lastenheft Softwareprojekt „Öffentliche Petition“":

Das Lastenheft liegt Dir offenbar vor. Ist es veröffentlicht? Kommt man ggf. per IFG ran?

Ja, das Lastenheft liegt mir (in Papierform) vor. Veröffentlicht ist es meines Wissens nicht. Über das IFG müsste man aber auch an die Sachen herankommen.

Auch irgendwie ziemlich "Web 1.0" ...

P.S.: Erinnert mich irgendwie an "Die SPD Norderstedt ist im Besitz eines Urteils des VG Schleswig, aus dem hervorgeht, daß wir Recht haben."

Solange ich nicht das Recht habe ein Dokument zu veröffentlichen, ist es auch keine gute Idee dies zu tun. Man muss ja nicht allen Web 2.0-Trends folgen und anderen Gelegenheiten für Abmahnungen/Klagen geben.

Es ist zu hoffen, dass diese Firma nie wieder einen Auftraf der öffentlichen Hand erhält. Sollten die Angaben hier stimmen, wäre das ein Skandal.
Aber vielleicht mag ja auch mal ein Bundestags-Mitarbeiter oder ein Mitarbeiter der Firma zu den Vorwürfen äußern. Ich würde schon gerne wissen, warum hier meine Steuergelder verschleudert werden.

Vielen Dank für die zu recht kritischen Beitrag zur Nutzbarkeit der Petitionsseiten.

Ich habe gerade eine Petition beim Bundestag laufen zum Thema Barrierefrei Fliegen (offizieller Name: Öffentliches Luftrecht - Barrierefreiheit im Flugverkehr, Mitzeichnungsfrist bis 19.12.2008).

Leider ist es vielen potentiellen Mitzeichnern nicht möglich selbst mitzuzeichnen, weil die Benutzerführung schlicht grottenschlecht ist!

Will der Petitionsausschuss, bzw. der Bundestag keine Petitionen - oder warum sonst wird den Bürgerinnen und Bürgern eine solch überholte und unzulängliche Seite zugemutet?!


Lieber Jan,

+++++++ hat uns deine Mail weitergeleitet. Wir haben uns mit dem Büro von
Kersten Naumann (Vorsitzende des Petitionsausschusses) in Verbindung
gesetzt und diese wird sich an den Petitionsausschuss-Dienst wenden. Uns
wurde mitgeteilt, dass es wohl aus verschiedenen Ecken Kritiken zur
besagten Website gibt, so dass davon ausgegangen werden kann, dass diese
sicherlich noch nachgebessert werden wird. Bei Nachfragen wende dich
doch direkt an Kersten Naumann.
Ansonsten kannst du dich natürlich jederzeit an uns wenden.

"Will der Petitionsausschuss, bzw. der Bundestag keine Petitionen"

Nein, will er nicht, vgl. http://blog.tessarakt.de/archiv/2008/12/04/petition-offensichtlich-erfolglos/

Salut,

Ich befürchte nur, dass mit Nachbesserungen da nicht viel zu holen ist. Also, vielleicht kann man sich der Brauchbarkeit infinitesimal annähern, aber wie bereits beschrieben in dem Artikel ist das Grundproblem ja, dass wir esm it einem völlig ungeeigneten System zu tun haben. Es ist kein Petitionssystem, sondern ein Webforum, es geht von völlig falschen Usecases aus und implementiert hauptsächlich Dinge, welche nicht benötigt werden.

Das ist ja die Quintessenz des ganzen Artikels. Aber du hast Recht, ich erwarte eher, dass die rechtlich belangbaren Punkte bereinigt werden und wir dann dort hängen bleiben, da es keinen Anlass mehr gibt, das System zu verbessern.

Tonnerre

Wie mich deucht, hat man aktuell wohl so seine Probleme mit der Plattform, wenn die Anzahl der Unterstützer einer Petition den 16000 nahe kommt, wie aktuell bei der Petition bzgl. eines Grundeinkommens.

Gruß ZEITungsleser

Salut, 
Nicht nur das, es gab auch mindestens 4 neue Sicherheitslücken seit diesem Posting... 
Tonnerre

ZEITungsleser: in welcher Hinsicht äußern sich denn diese Probleme? Derzeit werden nur die neusten 100 Unterzeichner angezeigt (oder ich habe aufgrund der grauenhaften Benutzerführung die anderen nicht gefunden), das könnte zum Schutz vor Performance-Problemen sein ...

Tonnere: ja, die neuen Sicherheitslücken habe ich auch gesehen. Hat mal wieder ziemlich gedauert bis es einen Fix gab, aber immerhin ist der schon eingespielt -- wenn man der angezeigten Versionsnummer Glauben schenken darf.
Tatsächlich würde es mich aber nicht wundern, wenn mal jemand das eine oder andere Sicherheitsproblem ausnutzt.

Jupp
Das mit den letzten 100 Mitzeichnern war wohl eine Notbremse, damit die Performance nicht ganz einbricht. Heute im laufe des Nachmittag war es vor dieser "Umstellung" teilweise unmöglich die vollständige Liste der Mitzeichner einzusehen. Auch das Forum reagierte nur mit erheblicher Verzögerung. Seit der Umstellung auf die letzten 100, scheint es wieder halbwegs zu funktionieren.
Wobei im Forum noch von einigen ausbleibenden Registrierungsmails die Rede ist. Ohne diese Registrierung können mögliche Mitzeichner aber ihre "Unterschrift" nicht unter eine Petition setzen. In den gestrigen Abendstunden sollen es wohl auch knapp 300 neue Mitzeichner gegeben haben, wohingegen heute Abend nur knapp 30 neue dazu kamen. Wobei ich jetzt hier absolut keine Aussage über die statistische Signifikanz oder die Korrelation beider Fakten machen möchte. ;-)
Rein psychologisch wird "das Herdentier" Mensch aber wohl eher zu einer Unterschrift "unter" 15000 bestehende verleitet, als nur unter 100 bestehende.

Gruß ZEITungsleser

Ergänzung:

Gerade eben noch 2 Forumsbeiträge gelesen, dass die Registrierung zur Zeit wohl gar nicht möglich ist. Ein potentieller User hätte wohl auch die Meldung bekommen, dass sein "Name" schon vergeben wäre - was ja bei dieser super "Namensvergabe" ala Nutzerxxyyyzz schlimmstenfalls darauf hindeutet, dass MySQL bzw. MyISAM arg in Nöten ist.

Gruß ZEITungsleser

Hallo Jupp,

Für die Petition zum "Bedingungslosen Grundeinkommen" habe ich die Entwicklung der Anzahl von Unterzeichnungen graphisch dargestellt (auf http://webaccordeon.free.fr/de/petition.php ).
Es möge einen Beitrag zu Deiner Überlegungen und Analyse zur "statistische Signifikanz oder die Korrelation beider Fakten..." leisten.

Grüße

Achduschreck, das kommt davon wenn man sich nicht an die Vorgaben des BSI hält und MySQL+MyISAM verwendet – da hat wohl eine Race Condition zugeschlagen und den Zähler zerheckselt.

Ich werde da wohl mal ein Update machen ...

Hallo Alvar

Anscheinend bestehen die Probleme bzgl. der Registrierung auch heute morgen noch. Zumindest lassen dies die sehr niedrigen Mitzeichnungszahlen, als auch erneute Berichte von Benutzern in den Foren vermuten.
Sehr befremdlich ist auch, dass man anscheinend aus dem Feldversuch mit den Schotten nicht viel gelernt hat. So wollte sich die Petentin heute morgen nähere Informationen bzgl. der Probleme beschaffen, erreichte wohl aber nur eine einsame Dame im Bundestag, welche ihr nicht wirklich weiterhelfen konnte.
Ich habe das jetzt mal ein wenig zusammengefasst, und bei heise in's elektronische Postfach gekippt, inklusive einem Verweis auf deine Analyse. Falls es zu einer Newsmeldung kommt, wirst du hoffentlich nicht geheised. ;-)
Mal sehen, vielleicht bringt ja Herr Leitner noch ein wenig Publicity, dem ich das gestern auch in den bloginput gekippt habe. Er hatte ja auch damals schon auf deine Analyse hingewiesen.

In Summe führt das bei den Menschen, welche sich z.B. gerade nicht registrieren können, wieder zu einer Abnahme des Vertrauens in die Demokratie. Auch bei dem einen oder anderen Forumsteilnehmer beginnen dann die latenten Verschwörungsgedanken an die Oberfläche zu gelangen. Und das alles nur wegen ein paar tausend Euro, welche "gespart" werden konnten.

Gruß ZEITungsleser

Die Petitionsseite ist mehr als Schrott. Die aktuell laufende BGE-Petition mit über 20.000 Leuten hat das spätestens gezeigt. Die Performance ist grauenhaft, stellenweise ist die Seite nicht erreichbar. Sieht nicht nach einem ernsthaften Interesse des Bundestags an den Interessen der Petenten aus.
Meine Statistik zeigt mir zudem 0 abgegebene Stimmen an. Möchte ich unterzeichnen, erhalte ich die Fehlermeldung "Es ist nur eine Mitzeichnung erlaubt!". Sehr transparent, das alles.

Dass die Seite Schrott ist, haben jetzt auch die Macher zugegeben und die Mitzeichnungsfrist um eine Woche verlängert (https://epetitionen.bundestag.de/index.php?topic=793.0).

Bin mal gespannt, wie sich die Wahlergebnisse verändern, wenn erstmal Wahlmaschinen eingeführt werden ...

Schöne Grüße

haenky

> Klar, dass eine Agentur sich um einen Auftrag bewirbt ohne von der Materie Ahnung zu haben, das kommt schon mal vor.
Aber wie kann es passieren, dass dann so jemand den Zuschlag erhält?

Kommt ständig vor. Den Zuschlag für ein B2B-Warenhaus eines Großhandelsriesen im hohen siebenstelligen Bereich bekam Ende 2000 eine Unternehmensberatung (!) ohne jegliche Erfahrung in Webprojekten. Warum? Weil sie den völlig unrealistischen Zeitvorgaben (wer schafft sowas in 8 Wochen?) nicht den Vogel gezeigt hat, sondern gesagt hat "klar, kein Problem".

Von der Kritik im Artikel teile ich fast alles, nur nicht den Vorwurf, es sei nicht "datensparsam", wenn man nicht anonym im Forum posten könne.
Immerhin haftet der Forenbetreiber ggfs. für Straftaten von Beitragsschreibern (und bei Unterlassung hat er überhaupt kein Haftungsprivileg, muß also ggfs. die Abmahngebühren blechen, auch wenn er sofort löscht) - wie da kein "berechtigtes Interesse" begründet werden kann, den Beitragsschreiber in Regreß zu nehmen, möchte ich mal wissen...

Ich fürchte, da hilft nur noch ein ePetition zur Änderung von Vergabekriterien :-)

Moeffju hat grade noch eine XSRF Lücke gefunden, Proof of Concept hier: http://itblog.eckenfels.net/archives/447-XSRF-Schwachstelle-auf-dem-ePetitions-Server.html

Gruss
Bernd

wurde hierher gelinkt -
grosse überaschung.
habe das mit erschrecken aber auch grossem vergnügen gelesen.
danke für die arbeit -
und viel erfolg!

wurde hierher gelinkt -
grosse überaschung.
habe das mit erschrecken aber auch grossem vergnügen gelesen.
danke für die arbeit -
und viel erfolg!

Bereits in Anfang 2008 hatte ich mich m´beim Bundesdatenschutz beschwert, daß über Personensuchmaschinen mein Name als Petent von ePetitionen gefunden werden kann. Nach einer unendlich langen Zeit kam eine Rückmeldung, daß dies ja eine öffentliche Petition sei und es insofern in Ordnung wäre. Auf meine Rückantwort, daß eine ePetition nicht mit einer offlinePetition vergleichbar sei, weil dabei ja nicht die ganze Welt und systematisch erfassen kann, wer konkret unterzeichnet hat, bakam ich die Rückmeldung man werde sich eingehender damit beschäftigen. Ende 2008 bekam ich dann die Rückmeldung, das "ewas" am System geändert worden sei, welche Suchmaschinen daran hindern solle, die Namen der Petenten in ihren Index aufzunehmen. Ich wies nun noch auf die Vorbildliche Lösung von Abgeordnetenwatch.de hin, welche die Namen der Fragesteller nur als Grafik ausgeben und verwies im Übrigen soweit darauf, daß die bisherige Modifikation nicht ausreichend sein.

PS. an den Blogbeitragsschreiber:
schreiben sie mir, wenn sie an dem Emailverlauf interessiert sind.

sehr gut geschrieben.
hast du offizielle beschwerde eingericht? schonmal beim datenschutz gemeldet?

Einfach nur klasse geschrieben. Im Kern könnte man sagen "business as usual" - araneaNET GmbH haben anscheinend einen "guten" Vertriebsmann. Leider klappt das mit dem "erst einmal verkaufen und dann sehen wir mal" nicht immer.
Die Politiker brauchen sich nicht wundern, wenn man dann als aufgeklärter Bürger bei Themen wie z.B. Wahlautomataten in Panik gerät.

Mittlerweile kann man diese Politik eh inne tonne kloppen.
Wir brauchen Endlich mal ne Politik die sich mit uns auseinandersetzt nicht mit sich selbst und höheren gehalt.....

Jetzt kommentieren

Aktuelle Kommentare

  • Niels Dettenbach: ...schade eigentlich, das es PyPerl nicht mehr wirklich gibt. Zwar weiter lesen
  • Alvar Freude: Kannte ich noch nicht, danke für den Hinweis; allerdings ist weiter lesen
  • Ben Sieverts: Ich vermisse noch folgendes Buch auf der List: Effective Perl weiter lesen
  • Alex: Ich schlage einfach mal ganz unverschämt bei diesem Beitrag die weiter lesen
  • Marcel: Oke, danke für den Tipp. Schade natürlich. Wird euer Buch weiter lesen
  • Alvar: Nein, leider ist das noch nicht fertig. :-( Es gibt weiter lesen
  • Marcel : Hallo! gibt es dein Buch zu Perl6 schon? Wo kann weiter lesen
  • air max 2009: Nimm ein Paradigma deiner Wahl (z.b. MVC) und lerne Applikationscode weiter lesen
  • vTasker: Was ist das denn für ein MIST? Der Artikel ist weiter lesen
  • Virenschutz-Test: Das ist ja lustig hihi. Der Admin ist wohl nicht weiter lesen

Über diese Seite

Diese Seite enthält einen einen einzelnen Eintrag von Alvar Freude vom 10.11.08 15:03.

Akismet und der Trackback-Spam ist der vorherige Eintrag in diesem Blog.

Spammer vom Netz getrennt ist der nächste Eintrag in diesem Blog.

Aktuelle Einträge finden Sie auf der Startseite, alle Einträge in den Archiven.