Hinweise zur Datenverarbeitung

Im Firmeneinsatz ist es wichtig zu wissen, wann eine Software Verbindung zum Internet aufnimmt und welche Daten dabei ausgetauscht werden. In diesem Kapitel beschreiben wir diese Situationen ausführlich. Es liegt dabei in der Natur der Sache, dass dieses Kapitel nicht ohne technische Spezialbegriffe auskommt. Bitte nutzen Sie bei Bedarf auch unser Glossar.

Wenn Sie sich für die nicht-technischen Aspekte des Themas Datenschutz interessieren, lesen Sie bitte unsere Datenschutzerklärung.

Datenübermittlung bei Programmstart und Anmeldung

• Beim Programmstart fragt Citavi den Citavi-Server, ob ein Update vorliegt. Ein Systemadministrator kann diese Prüfung unterbinden.
• Beim Programmstart prüft Citavi die installierten AddOns. Wenn ein AddOn neu hinzugefügt wurde oder ein Update verfügbar ist, wird dieses heruntergeladen und aktiviert.
• Beim Programmstart prüft Citavi, ob eine Verbindung mit der Citavi Cloud erlaubt ist. Ein Systemadministrator kann diese Prüfung unterbinden.
• Beim Programmstart prüft Citavi, ob der Nutzer sich auf dem betreffenden Computer bereits einmal bei seinem Citavi Account angemeldet hat. Ist dies der Fall, meldet Citavi den Nutzer automatisch beim Citavi Account an. Diese Anmeldung erfolgt verschlüsselt. Die automatische Anmeldung findet nicht statt,
  • wenn der Nutzer sich auf dem betreffenden Computer bisher noch nie angemeldet hat,
  • wenn der Nutzer sich bei der letzten Sitzung abgemeldet hat,
  • wenn der Nutzer sich entschieden hat, dass die Anmeldeinformationen nach jedem Beenden von Citavi automatisch gelöscht werden.
• Nach erfolgreicher Anmeldung beim Citavi Account lädt Citavi die Lizenzinformation des Nutzers von unserem Server herunter. Das gilt nur für Citavi for Windows. Citavi for DBServer-Nutzer erhalten die Lizenzinformationen vom Firmenrechner, auf dem der SQL Datenbankserver mit der Citavi-Datenbank läuft.
• Citavi kommuniziert für die Anmeldung und für alle nachfolgend beschriebenen Schritte mit der WebApi unseres Servers. Die Kommunikation über die WepApi erfolgt über HTTPS, Port 443.
• Konfigurieren Sie Ihre Firewall wie hier beschrieben.

Datenübermittlung während der Arbeit mit Citavi

• Bevor ein Hilfetext im Programm zum ersten Mal angezeigt wird, wird er vom Citavi-Server heruntergeladen.
• Citavi blendet im Startfenster Nachrichten ein. Wir informieren damit über wichtige Programmneuerungen. Hochschulen, die eine Campuslizenz von Citavi nutzen, können den Angehörigen der Hochschule relevante Nachrichten einblenden. Jeder Nutzer kann eigene Nachrichtenkanäle ergänzen. Diese Nachrichten werden nur bei bestehender Internetverbindung aktualisiert.
• Wenn der Nutzer Online-Recherchen aus Citavi heraus durchführt, Textdateien importiert oder Zitationsstile auswählt, prüft Citavi, ob die dazu jeweils nötige Beschreibungsdatei auf dem Citavi-Server in einer neueren Version vorliegt. Falls das der Fall ist, lädt Citavi die jeweilige Datei herunter.
• Wenn der Nutzer PDF-Dateien importiert, versucht Citavi, die bibliographischen Daten zu recherchieren. Dazu analysiert es die PDF-Datei:
  • Wenn auf den ersten fünf Seiten eine DOI, ISBN, PubMed-ID oder ArXiv-ID gefunden wird, wird diese für die Recherche übertragen.
  • Wenn keiner der o.g. Identifier gefunden wird, versucht Citavi den Titel des Werks zu finden (das ist in der Regel die größte Überschrift) und nutzt diesen für eine Recherche.
• Bei der Online-Recherche, der ISBN-Recherche und der Volltext-Suche übermittelt Citavi die Suchbegriffe (und nur diese) an die jeweiligen Server. Zwei Kommunikationswege sind zu unterscheiden:

• • Recherche in web-gestützten Bibliotheken oder mittels Webservices: Diese erfolgen ausschließlich über HTTP, Port 80, oder über HTTPS, Port 443. Die Kommunikation erfolgt immer direkt zwischen dem lokal installierten Citavi-Programm und dem Anbieter der Daten.
  • Recherche mittels des Protokolls Z39.50, das die meisten öffentlichen Bibliotheken verwenden: Z39.50 wird von den Bibliotheken auf verschiedensten Ports betrieben, meistens aber auf Port 210 oder 3950. Falls ein Z39.50-Server wegen einer strengen Firewall nicht erreicht werden kann, schickt Citavi die Anfrage über HTTPS, Port 443, an einen Webservice auf dem Citavi-Webserver. Der Server führt die Abfrage bei der Bibliothek aus und schickt die Daten an den Client zurück. Dabei werden keine Daten auf dem Citavi-Server gespeichert.

Datenübermittlung bei Programmfehlern

Für die Verbesserung von Citavi und die Behebung von Programmfehlern verwenden wir den Dienst Application Insights von Microsoft Azure.

Wenn das Programm zur Produktentwicklung eingeschaltet ist, werden Programmfehler inklusive des Fehlerkontextes und ‑ablaufes übermittelt. Grundsätzlich wird nur der Name der aufgerufenen Citavi-Funktion übermittelt. Es kann aber vorkommen, dass auch ein Benutzername enthalten ist: "Zugriff auf Datei C:\Users\thomas.schempp\Documents\Citavi 6\... fehlgeschlagen." Sensible Informationen wie Passwörter u.ä. werden nie übermittelt.

Diese Daten werden nur übermittelt, wenn der Nutzer diese Option unter Extras > Allgemein > Diagnose oder Extras > Allgemein > Produktentwicklung aktiviert. Ein Systemadministrator kann diese Optionen mit Hilfe des MSI-Assistenten abschalten.

Fehler werden immer protokolliert, wenn sie innerhalb unserer Cloud-Infrastruktur auftreten. Sie enthalten niemals personenbezogene Daten.

Weitere Datenübermittlungen

Welche Netzzugriffe darüber hinaus geschehen, hängt davon ab, wo das Citavi-Projekt gespeichert wurde:

Lokale Projekte

Das Citavi-Projekt ist auf einem Computer, einer externen Festplatte oder in einem lokalen Netzwerk gespeichert. In diesem Fall gibt es keine zusätzlichen Datenübermittlungen.

DBServer-Projekte

Das Citavi-Projekt ist in einer Microsoft SQL Datenbank gespeichert.

• Bei einer per seat license für Citavi for DBServer speichert Citavi diese Lizenzinformation auf dem Computer des Nutzers für 56 Tage. Der Nutzer kann so auch ohne Verbindung zum SQL Server der Firma mit lokalen Projekten arbeiten. Um das Ablaufdatum der zwischengespeicherten Lizenz festzulegen, bezieht Citavi das Datum per WebAPI-Aufruf von unserem Server.
• Sind alle concurrent licenses für Citavi for DBServer in Gebrauch und versucht ein weiterer Nutzer eine Lizenz abzurufen, kann Citavi über einen WebAPI-Aufruf den Versand einer E-Mail an den Lizenzadministrator veranlassen. Diese Option muss der Lizenzadministrator einrichten. In dieser E-Mail informieren wir, dass nicht genug Lizenzen für alle interessierten Nutzer verfügbar waren. Die E-Mail enthält keine personenbezogenen Daten.

Cloud-Projekte

Das Citavi-Projekt ist in der Citavi Cloud gespeichert, welche Microsoft Azure nutzt. Microsoft betreibt viele Rechenzentren um den ganzen Globus. Wir verwenden für Nutzer in Europa die Rechenzentren in Westeuropa (Azure WestEurope in Dublin und Amsterdam) für die Account-Daten und für die Citavi-Projekte. Nutzer in Amerika verwenden Rechenzentren in den Vereinigten Staaten (Azure US Central), in Asien befindet sich das Rechenzentrum in Singapur (Azure Southeast Asia).

Citavi wird permanent mit der WebApi kommunizieren.

• Die jeweilige Citavi-Installation sendet einen verschlüsselten Nachweis (= Token) an das Cloud-Projekt. Der Token stellt sicher, dass die richtige Person das richtige Projekt mit den richtigen Rechten öffnen darf.

• Beim erstmaligen Öffnen eines Cloud-Projekts lädt Citavi die vollständigen Projektdaten von unseren Servern herunter und speichert diese auf dem Computer des Nutzers als Cache-Kopie. Bei jedem nachfolgenden Öffnen wird die Differenz zwischen der Cache-Kopie und dem Stand in der Cloud heruntergeladen. (Die Cache-Kopie wird gelöscht, wenn der Nutzer sich vom Citavi Account abmeldet.)
• Während der Arbeit mit einem Cloud-Projekt greift Citavi auf die WebApi zu, um Datenänderungen zu speichern, zu synchronisieren, Attachments hochzuladen usw.
• Zur Entlastung unserer Webserver greift Citavi in manchen Fällen direkt auf die Cloud-Infrastruktur von Microsoft zu. Die Verbindungen sind verschlüsselt und geschützt (sog. Shared Access Token). Diese Technik setzen wir unter anderem in folgenden Fällen ein:
  • initialer Download eines Projekts,
  • Upload eines vorhandenen Projekts in die Cloud (in gewissen Szenarien),
  • Upload und Download von Attachments,
  • Speicherung von umfangreichen bibliographischen Angaben nach einem großen Import.
• Parallel zu diesem Datenaustausch öffnet Citavi einen «Real Time»-Kommunikationskanal über Ably. Mit Ably können unsere Server eine Citavi-Installation darüber informieren, dass ein anderer Benutzer Änderungen an einem geteilten Projekt vorgenommen hat. Nach dieser Information werden die Änderungen synchronisiert, so dass alle Beteiligten wieder den gleichen Arbeitsstand vor sich haben. Ably erlaubt außerdem die Kommunikation mit anderen aktiven Benutzern eines Projekts, so dass die Nutzer z.B. einem anderen Teammitglied mit der eingebauten Chat-Funktion eine Nachricht senden können. Nach dem Beenden des Chats wird der Chat-Inhalt gelöscht.

Weitere Hinweise

Citavi for DBServer

Verbindung

Citavi nutzt für die Verbindung zum SQL Server die Standard-Bibliotheken von .NET (System.Data.SqlClient). Die gesamte Kommunikation zwischen Citavi und dem Datenbankserver erfolgt auf dieser Basis und gemäß den von Microsoft etablierten und bewährten Protokollen.

DBServer Manager

DBServer Manager ist keine Server-Software, kommuniziert also nicht mit Citavi. DBServer Manager ist ein Frontend, mit welchem wir SQL-Statements an den ausgewählten SQL Server senden, oder mit anderen Worten: ein «Management Studio light für Citavi-Zwecke». Da DBServer Manager keine Serversoftware ist, ist sie sicherheitstechnisch wenig kritisch.

Projekt-/Datensicherheit

Die Sicherheit auf Datenbank-/Projektebene wird mit Standard-Verfahren von SQL Server durchgesetzt (also nicht mit Citavi-eigenen Mitteln).

Ein Projekt wird SQL Server-seitig als Schema abgebildet. Für jedes Schema gibt es drei Rollen: Managers, Authors, Readers. Authors haben auf dem Schema Insert/Update/Delete-Rechte, Readers lediglich Select-Rechte. (Manager haben zusätzlich das Recht, Rollenmitgliedschaften zu ändern.)

Wenn im DBServer Manager einem User Autorenrechte gegeben werden, heißt das technisch: der User wird per SQL zur Rolle «Authors» des entsprechenden Projektschemas hinzugefügt. Diese Architektur bedeutet: Auch wenn ein User mit einem anderen Client als Citavi auf die SQL Server-Datenbank zugreift, kann er nur Daten sehen, die er auch mit Citavi sehen könnte.

Cloud 

Für unsere Webdienste nutzen wir die Azure-Cloud von Microsoft. Unsere Server betreiben wir als so genannte WebApps (Platform-as-a-Service). Das bedeutet, dass Microsoft auf mehreren Ebenen selbst für die Sicherheit dieser Maschinen sorgt.

Kommunikation

Alle Kommunikation mit unseren Servern erfolgt immer verschlüsselt (https / TLS).

Projekt-Datenbank

Cloud-Projekte werden in einer SQL Azure-Datenbank gespeichert. Wir stellen über mehrere Maßnahmen in unserem Code und auf Datenbank-Ebene sicher, dass ein Benutzer niemals «fremde» Projektdaten sehen kann – auch dann nicht, wenn einer unserer Entwickler versehentlich eine falsche SQL Query schreiben sollte.

SQL Azure spiegelt alle Daten auf drei Instanzen gleichzeitig, damit im Falle eines Hardware-Ausfalls keine Daten verloren gehen. SQL Azure erstellt im Minutenabstand automatische Backups und sichert diese für die letzten 7 Tage. Für den Extremfall, dass ein ganzes Rechenzentrum ausfällt, werden die Daten laufend in ein anderes Rechenzentrum kopiert.

Die SQL Azure-Daten sind auf physischer Ebene verschlüsselt und damit für einen externen Angreifer, der Zugriff auf die Speichersysteme der Datenbank erlangt, unzugänglich. Für Swiss Academic Software selbst sind die Daten nicht verschlüsselt – dies ist aus technischen Gründen unumgänglich. Mit dem Administrationszugriff auf die Produktionsumgebung geht deshalb auch die Möglichkeit einher, auf die Citavi-Projektdaten und die Attachments unserer Nutzer zuzugreifen. Deshalb haben wir die technische Möglichkeit, die Produktionsumgebung zu administrieren, auf sehr wenige Personen beschränkt. Sie sind verpflichtet, keine Kenntnis von den Nutzerdaten zu nehmen.

Client (Desktop-Programm) 

Das Citavi Desktop-Programm stellt keine Serverdienste zur Verfügung und kann deshalb nicht von außen angegriffen werden. In diesem Sinne ist es sicherheitstechnisch wenig kritisch.

Wenn Citavi sicherheitsrelevante Informationen speichert (z.B. im Falle eines so genannten Access Tokens), verwenden wir starke Public/Private-Key-Verschlüsselung.