Anonyme Umfrage nicht Anonym

[Acta]

Hallo,

ich bin gerade babei die Anonyme Umfrage mit Tan zu testen. Leider musste ich feststellen, dass es hier sehr einfach möglich ist, den Nutzer anhand der Tan zu überführen.

Schuld daran ist die Zuordnung von Pin und Tan in der Tabelle: tl_survey_pin_tan

D.h. wenn ich als Admin die Tanliste erstelle, den jeweiligen User dann die Tans für die Umfrage zukommen lasse, habe ich immer die Möglichkeit zu überprüfen, welche eingaben der User gemacht hat. Hier dürfte meiner Meinung nach eine Zuordnung von Pin und Tan nicht erfolgen.

Oder sehe ich hier etwas falsch?


Mfg

Acta

[Acta]

Nach 16 Tagen mal die Frage ob es hierfür ne Lösung gibt bzw. ob die Zuordnung von Pin und Tan erfolgen muss?

[Fryd]

Auch wenn Du das Verfahren EDV-frei durchführst, benötigst Du eine Liste mit der Zuordnung von TANs und Namen, denn sonst kannst Du diejenigen, die noch nicht geantwortet haben, ja nicht noch einmal anschreiben. - Auch bei Interviews liegt es im Verantwortungsbereich der Durchführenden, die Anonymität der Befragten sicher zu stellen.

Meiner Meinung nach bedarf es einer organisatorischen Trennung der zuständigen Personen (in diesem Fall: Admin / Auswerter) und/oder einer Selbstverpflichtung bzgl. des Schutzes der Anonymität der Teilnehmer.

Grüße
Fryd

[Acta]

Meiner Meinung nach müsste lediglich geloggt werden ob bereits eine bestimmte Tan genutzt wurde... Dies deckt sich auch mit deinem Wunsch, Personen anschreiben zu können, die die Umfrage noch nicht ausgefüllt haben.

Die Datenbank Tabelle tl_pin_tan zeigt mir ja die Pin, also die Zufällig generierte Kombination aus Zahlen und Buchstaben welche die Umfrage eigentlich Annonym machen sollte in Verbindung mit der Tan an.

Wenn ich dann also weiß ich habe die Tan 705207 an Person A geschickt dann kann ich in der Tabelle nachschauen und sehe bei der entsprechenden Tan dann die Pin 09aabb. Wenn ich mir dann im Contao Backend die Ergebnisse nach Nutzer anzeigen lasse so kann ich ganz genau sehen was Person A für Eingaben gemacht hat.

Das ist meiner Meinung nach gegen das Prinzip der Annoymität.

Und nicht immer lässt sich die Arbeit des Admins so gut trennen...

[hschottm]

Hi Acta,

entschuldige. Ich war länger krank und habe akute Arbeitsüberlastung, deswegen habe ich nicht geantwortet.

Wie Fryd bereits geschrieben hat, ist es immer möglich, wenn man das will, eine Zuordnung vorzunehmen, wenn das organisatorisch nicht getrennt wird. Bei "richtigen" Umfragen hast du ja meist nicht nur eine TAN, sondern PIN und TAN, die getrennt erzeugt werden bzw. als Prüfsumme für eine gültige TAN fungieren.
Außerdem werden die Durchführung und Auswertung und der Verwaltungskram mit Anschreiben etc. organisatorisch getrennt.
Leicht ist es für die meisten "User" nicht, Zuordnungen in Datenbanktabellen zu ermitteln, auch wenn es für dich natürlich leicht ist. Wer genug "kriminelle Energie" hat, so etwas zu ermitteln, der wird auch vor höheren Hürden nicht zurückschrecken.
Natürlich hat das auch etwas mit Vertrauen zu tun. Ich kann ja auch eine anonyme Umfrage erstellen und den Teilnehmer per Mail ihre Zugangsschlüssel zusenden. Damit besitze ich die Zuordnung und kann jeden Teilnehmer persönlich ausfindig machen.

Es ist also immer nur eine Frage des Szenarios. Die Survey-Erweiterung ist jetzt nicht dazu gedacht, irgend eine hochrepräsentative Umfrage wie z.B. Studierendenevaluationen etc. durchzuführen, wo natürlich eine ganze Menge rechtlicher Aspekte berücksichtigt werden müssen.

Ich kann gerne die Zuordnungstabelle auch noch mal mit einem Ein-Weg-Schlüssel verschlüsseln (z.B. MD5), dann kannst du nichts mehr direkt aus der Datenbank ablesen, aber dann kommt sofort der nächste Experte, der dann sagt, dass da doch ein einfaches Programm reicht, mit dem man dann, wenn man die Ein-Weg-Verschlüsselung kennt nur alle möglichen Schlüssel abfragen muss. Das ist auch für viele ganz einfach...

Wie gesagt, ich bin nicht angetreten, um der neue Marktführer bei Umfragen zu werden und meiner Meinung nach hat jemand, der Umfragen durchführt, in den Datenbankstrukturen bzw. den Datenbankdaten nichts zu suchen. Das ist für mich das Gleiche, als würde ein Administrator im Uni-Rechenzentrum dauernd in die Home-Verzeichnisse seiner User reinschauen, was da so alles drinliegt. Eben ein ziemlicher Vertrauensbruch.

LG,
Helmut

[Acta]

Das mit der Verschlüsselung hört sich doch erstmal gut an *g*.

Es ist halt einfach so, dass ich gefragt wurde, ob das Umfragetool auch Anonym ist.

Aus dem Backend heraus ist es natürlich Anonym.

Nur die sehr einfache Möglichkeit die Pin und Tan Zuordnung empfand ich persönlich als nicht zu 100% gelungen. Wenn man dafür erst die ganze DB durcharbeiten muss dann empfinde ich das nicht als Problem. Aber dadurch, dass alles in einer Tabelle stand war es halt "zu einfach".

Das hat auch für mich nix mit kriminelle Energie zu tun.

PS: Dann auf jedenfall noch gute Besserung....

Und nicht immer lässt sich Durchführung und Auswertung trennen.

[Fryd]

Es ist halt einfach so, dass ich gefragt wurde, ob das Umfragetool auch Anonym ist.

Das Tool ist nicht anonym: steht ja "Contao" drauf.

Die richtige Frage lautet doch: Lässt sch mit dem Tool eine Befragung durchführen, bei der die Teilnehmer anonym bleiben. Diese Frage kann man eindeutig mit "ja" beantworten, denn um die Anonymität aufzuheben, muss einer der Beteiligten dies aktiv wollen. Durch schriftliche Vereinbarung versichern die Beteiligten (z.B. der Admin), von dieser Möglichkeit keinen Gebrauch zu machen.

Admins haben oft Möglichkeiten, die sie nicht nutzen sollten, z.B. bei der Verwaltung von E-Mail-Accounts, beim Reparieren und Einrichten von Computern usw. - Ein guter Admin ist sich dieser Verantwortung bewusst.

Grüße
Fryd.

[Acta]

Fryd hier geht es ja nicht um Guter Admin böser Admins...

Es ist hier auch nicht damit getan zu sagen... hey ich bin zwar admin und könnte alles nachvollziehen aber ich tu es nicht....

Ich als Anwender dieser Sofware der nur mal kurz in die DB geschaut hat, ohne jetzt intensiv zu suchen, konnte sofort eine Zuordnung der Eingaben der User zu Pins und Tans herstellen.

Wie Helmut schon sagte will er natürlich nicht der neue Marktführer für Umfragetools werden, und ich kann Ihn auch verstehen wenn er sagt das diese Sache für Ihn nicht prioritär ist.

Aber das Tool an sich bietet dem Anwender die Möglichkeit eine Anonyme Umfrage zu starten. Diese Umfrage ist meiner Meinung nach aber aufgrund der von mir beschriebenen Probleme nicht Anonym. Die Verschlüsselung der Daten würde dem einfachen Anwender die Möglichkeit nehmen, eine einfache Zuordnung der Nutzereingaben vorzunehmen. Vielleicht wäre auch einfach die Auflösung der Zuordnung von Pin und Tan in der Datenbanktablle tl_survey_pin_tan möglich.

Das würde das Problem an sich ja lösen.


Diese Verbesserung würden das Tool Anonyme Umfrage einfach glaubwürdiger machen.

Und wie ich bereits gesagt habe, nicht immer lassen sich die Durchführung und Auswertung von Umfragen trennen. Und wenn die Umfrage einen selbst betrifft und z.b. Negatives Feedback kommt, wer kann schon von sich behaupten, dass er nicht auch Wissen möchte vom wem... wobei die Betonung auf Wissen liegt... was nicht gleichzeitig heißen muss das er auch nachschaut.