Technisches über diese Plattform
Was macht diese Plattform aus?
PiR - Nordkirche verbindet Pastor:innen im Ruhestand mit den Kirchenkreisen des Sprengels Schleswig und Holstein. Kirchenkreise veröffentlichen Vertretungen, Projekte und Angebote — Pastor:innen im Ruhestand hinterlegen ihr Profil und ihre Tätigkeitswünsche.
Zur Vernetzung stehen ein öffentliches Forum, thematische Gruppen und direkte Nachrichten zwischen Nutzer:innen zur Verfügung.
Für Fragen und technischen Support gibt es ein vollständiges Helpdesk-System, über das Anfragen direkt an das Administrations-Team gestellt werden können.
Warum diese Technologien?
Laravel ist ein PHP-Framework — eine Art Grundgerüst, das häufig benötigte Funktionen wie Datenbankzugriff, Nutzeranmeldung und E-Mail-Versand bereits mitbringt. Es ist weit verbreitet, gut gepflegt und ideal für langfristige Wartbarkeit ohne großes Entwicklungsteam.
Umami ist ein datenschutzfreundliches Analyse-Werkzeug, das zählt, wie viele Besucher:innen die Seite nutzen — ohne Cookies, ohne Datenweitergabe. Wir betreiben Umami auf einem eigenen Server bei IONOS in Deutschland, sodass keine Nutzungsdaten an Dritte fließen.
Friendly Captcha ist ein Schweizer Dienst, der automatisierte Bot-Angriffe auf Formulare abwehrt — ohne die bekannten „Klicken Sie alle Ampeln an"-Rätsel und ohne Datenweitergabe an große Konzerne. Wir verzichten bewusst auf Dienste von Google, Amazon oder ähnlichen Anbietern, um die Privatsphäre unserer Nutzer:innen zu schützen.
Worauf achten wir beim Entwickeln?
- Barrierefreiheit zuerst — WCAG 2.2 AAA ist keine Option, sondern Anforderung. Die primäre Zielgruppe sind ältere Menschen.
- Datenschutz by Design — Personendaten werden verschlüsselt gespeichert, nicht in Browser-sichtbaren Strukturen verarbeitet.
- Sauberer Code — CSS nur in SCSS-Dateien, JS nur in dedizierten Modulen, einheitliche Muster für alle Komponenten.
- Performance & Sicherheit — Alle hochgeladenen Bilder werden serverseitig neu gerendert und als WebP gespeichert. Das reduziert die Dateigröße und entfernt dabei alle Original-Metadaten.
- Transparenz — Der Quellcode wird über GitHub versioniert verwaltet. Jede Änderung ist intern nachvollziehbar dokumentiert.
Wie funktioniert die Freigabe?
-
Registrierung
Pastor:innen im Ruhestand registrieren sich mit ihrer E-Mail-Adresse und füllen ihr Profil aus — Kontaktdaten, Tätigkeitswünsche und persönliche Informationen. -
E-Mail-Verifizierung
Nach der Registrierung wird eine Bestätigungs-E-Mail verschickt. Erst nach dem Klick auf den Bestätigungslink ist das Konto aktiv. -
Prüfung durch Administrator:innen
Das Team des Sprengels prüft jede Registrierung manuell. Erst nach der Freigabe kann sich die Person einloggen und ist für Kirchenkreise sichtbar. -
Benachrichtigung
Nach der Freigabe erhält die Person automatisch eine E-Mail mit dem Hinweis, dass ihr Profil nun aktiv ist.
Datenschutz
Diese Plattform verarbeitet personenbezogene Daten von Pastor:innen im Ruhestand sowie Kirchenkreisen. Datenschutz ist daher keine Pflichtübung, sondern ein grundlegendes Versprechen gegenüber unseren Nutzerinnen und Nutzern.
Was wir für den Datenschutz tun
- Direktnachrichten werden verschlüsselt gespeichert. Kein Administrator kann den Inhalt privater Konversationen einsehen — außer bei einer aktiven Meldung, und auch dann nur pseudonymisiert und protokolliert.
- Passwörter werden niemals im Klartext gespeichert, sondern ausschließlich als nicht rückrechenbare Hashwerte.
- Sicherheitsereignisse (Anmeldungen, Fehlversuche, Admin-Eingriffe) werden automatisch nach 90 Tagen gelöscht.
- Abgeschlossene Helpdesk-Tickets werden nach 12 Monaten automatisch entfernt.
- Alle Administrator:innen müssen sich mit Zwei-Faktor-Authentifizierung anmelden.
- Jede Admin-Aktion wird in einem Audit-Log festgehalten.
Eingesetzte Schutztechniken
- AES-256-CBC-Verschlüsselung für alle Nachrichteninhalte und Teilnehmerdaten (at-rest)
- HMAC-SHA-256 für durchsuchbare Lookup-Tokens ohne Offenlegung der echten IDs
- bcrypt für Passwort-Hashing
- TLS für alle Übertragungen (in-transit)
- Content Security Policy, Strict-Transport-Security und weitere Sicherheits-Header
- Rate-Limiting gegen Brute-Force-Angriffe
- Pseudonymisierung: In Moderationsansichten erscheinen keine Klarnamen, nur anonyme Nummern
Transparenz durch anonyme Moderationsberichte
Moderationsaktionen können auf der Transparenz-Seite veröffentlicht werden — vollständig anonymisiert. Weder Verfasser noch Melder noch Administratoren werden namentlich genannt. Nur die Art der Maßnahme, der Zeitraum und der Grund werden sichtbar. Das schafft nachvollziehbares Vertrauen, ohne Einzelpersonen zu exponieren.
Datenschutz
Diese Plattform verarbeitet personenbezogene Daten von Pastor:innen im Ruhestand und Kirchenkreisen — Namen, Kontaktdaten, Tätigkeitswünsche, private Nachrichten. Datenschutz ist deshalb kein formales Pflichtfeld, sondern ein grundlegendes Versprechen gegenüber den Menschen, die uns vertrauen.
Was wir konkret tun
- Verschlüsselte Direktnachrichten — Inhalte werden AES-256-verschlüsselt gespeichert. Kein Administrator kann private Konversationen einsehen — außer bei einer aktiven Meldung, und auch dann nur pseudonymisiert und mit vollständiger Protokollierung.
- Kein Passwort-Klartext — Passwörter werden ausschließlich als nicht rückrechenbare Hashwerte gespeichert. Selbst wir können Ihr Passwort nicht lesen.
- Automatische Löschfristen — Sicherheitslogs nach 90 Tagen, abgeschlossene Helpdesk-Tickets nach 12 Monaten — automatisch und ohne manuelles Zutun.
- Zwei-Faktor-Pflicht für Admins — Alle Administratoren müssen sich mit TOTP-Zwei-Faktor-Authentifizierung anmelden. Kein Admin-Zugang ohne zweiten Faktor.
- Lückenloser Audit-Trail — Jede Admin-Aktion wird in einem manipulationssicheren Protokoll festgehalten — mit Zeitstempel, Kennung und Grund.
- Datenminimierung — Wir erheben nur was für den Betrieb der Plattform tatsächlich notwendig ist.
Eingesetzte Schutztechniken
- AES-256-CBC — Alle Nachrichteninhalte und Teilnehmerdaten werden vor dem Speichern verschlüsselt (at-rest encryption).
- HMAC-SHA-256 — Für durchsuchbare Lookup-Tokens, die SQL-Abfragen ermöglichen, ohne echte IDs preiszugeben.
- bcrypt — Passwort-Hashing mit individuellem Salt pro Konto.
- TLS / HTTPS — Alle Daten werden ausschließlich verschlüsselt übertragen (in-transit encryption).
- Sicherheits-Header — Content Security Policy, HSTS, Referrer-Policy und Permissions-Policy schützen vor gängigen Web-Angriffen.
- Rate-Limiting — Automatische Drosselung bei zu vielen Anmeldeversuchen schützt vor Brute-Force-Angriffen.
Transparenz durch anonyme Moderationsberichte
Wenn eine Gemeinschaft Regeln hat, muss sie auch zeigen, dass diese Regeln durchgesetzt werden — ohne Einzelpersonen an den Pranger zu stellen. Deshalb können Moderationsmaßnahmen auf der Transparenz-Seite veröffentlicht werden.
Veröffentlicht wird ausschließlich: die Art der Maßnahme, der Zeitraum und ein allgemeiner Grund. Es erscheinen weder Namen von Nutzerinnen und Nutzern noch von Administratoren. Kein Beitrag, kein Gesprächsinhalt, keine persönlichen Daten.
Wir glauben, dass Vertrauen durch Nachvollziehbarkeit entsteht — nicht durch Schweigen. Wer sehen kann, dass Meldungen ernst genommen und konsequent bearbeitet werden, kann die Plattform mit gutem Gewissen nutzen. Gleichzeitig schützt die vollständige Anonymisierung alle Beteiligten vor ungerechtfertigter öffentlicher Kritik.
Datenspeicherung
Verschlüsselt gespeichert
Folgende personenbezogene Daten werden verschlüsselt in der Datenbank abgelegt — selbst bei einem Datenbankzugriff sind sie ohne den Anwendungs-Schlüssel nicht lesbar:
- Vor- und Nachname
- Straße, Hausnummer, Postleitzahl und Ort Werden ausschließlich dazu verwendet, die nächstgelegene Kirchengemeinde innerhalb der Nordkirche zu berechnen. Die genaue Adresse wird nirgendwo angezeigt — nur der ermittelte Gemeindename ist optional im Profil sichtbar.
- Geburtsdatum
- Ruhestandsdatum
Nicht öffentlich sichtbar
Diese Daten sind grundsätzlich nicht öffentlich einsehbar und werden nur für den internen Betrieb genutzt:
- E-Mail-Adresse (Login)
- Passwort (gehasht, niemals im Klartext gespeichert)
- Geburtsdatum und Ruhestandsdatum (nur zur internen Validierung)
- IP-Adresse beim letzten Login (Sicherheitszwecke)
- Genaue Wohnadresse — wird nie angezeigt, nur intern zur Berechnung der nächstgelegenen Kirchengemeinde genutzt
Barrierefreiheit: Diese Seite ist für alle zugänglich, W C A G 2 Punkt 2.
Barrierefreiheits-Werkzeug: Unten rechts auf jeder Seite finden Sie einen runden lila Knopf. Damit können Sie die Schriftgröße anpassen von 75 bis 200 Prozent in fünf Stufen sowie hohen Kontrast aktivieren für bessere Lesbarkeit bei Sehbeeinträchtigung.
Unser Ziel ist volle Barrierefreiheit nach W C A G 2 Punkt 2 Standard. Alle Formulare, Schaltflächen und Inhalte werden so gestaltet, dass sie auch mit Screenreadern, Tastatursteuerung und Vergrößerungssoftware vollständig nutzbar sind, ohne Abstriche.
Etwas ist schwer zugänglich? Schreiben Sie uns an info@mitschimmer.de.
Diese Seite ist für alle zugänglich
WCAG 2.2Barrierefreiheits-Werkzeug
Unten rechts auf jeder Seite finden Sie einen runden lila Knopf . Damit können Sie:
- Schriftgröße anpassen — von 75 % bis 200 % in fünf Stufen
- Hohen Kontrast aktivieren — für bessere Lesbarkeit bei Sehbeeinträchtigung
Unser Ziel: volle Barrierefreiheit
Wir stellen diese Plattform schrittweise auf den WCAG 2.2 Standard um, damit alle Nutzer:innen die Seite barrierefrei verwenden können.
Das bedeutet: Alle Formulare, Schaltflächen und Inhalte werden so gestaltet, dass sie auch mit Screenreadern, Tastatursteuerung und Vergrößerungssoftware vollständig nutzbar sind — ohne Abstriche.
Hosting, Betreiber & Team
Betreiber
Betreiber:
Ev.-Luth. Kirchenkreis Nordfriesland
Plattform-Server:
Eigener Server des Kirchenkreises Nordfriesland
Analytics-Server:
IONOS, Deutschland (selbst gehostet)
Administration & Entwicklung
Herr Andreas Schimmer
Administration & Entwicklung
Herr Niklas Schimmer
Administration & Entwicklung
Version 0.4-beta
Willkommen bei PiR – Nordkirche
Das Projekt PiR verbindet Pastor:innen im Ruhestand mit Kirchengemeinden, Kirchenkreisen und Institutionen der Evangelisch-Lutherischen Kirche in Norddeutschland.
Was sind Projekte?
Gemeinden können konkrete Vertretungs- und Mitarbeitsprojekte ausschreiben. Pastor:innen im Ruhestand nehmen direkt Kontakt auf.
Beispiele für Projekte
- Gottesdienst-Vertretung während der Urlaubszeit
- Begleitung von Beerdigungen und Trauerfeiern
- Mitarbeit bei Gemeindeentwicklungsprojekten
- Durchführung von Taufen und Trauungen
| Für Kirchengemeinden Stellen Sie ein Projekt ein und erreichen Sie erfahrene Pastor:innen in Ihrer Region. | Für Pastor:innen Entdecken Sie aktuelle Projekte und bleiben Sie aktiv in der Gemeindearbeit. |
PiR – Nordkirche · Evangelisch-Lutherische Kirche in Norddeutschland
Roadmap
- Aktuell: Version 0.4-beta. Funktionen vollständig, interne Stabilisierung.
- April bis Juni 2026: Testphase. Echte Pastorinnen und Pastoren im Ruhestand sowie Kirchenkreise testen die Plattform und geben Rückmeldungen.
- August bis September 2026: Version 1.0. Stabiler Release nach abgeschlossener Testphase und Einarbeitung der Rückmeldungen.
Roadmap
Version 0.7-beta, Mai 2026@if(config('app.version') === 'v0.7-beta'), aktuelle Version@endif.
Sicherheit
- 2FA Recovery-Codes werden nicht mehr per Session-Flash übertragen, sondern sicher über den Server-Cache ausgegeben (einmalig, 15-Minuten-Ablauf).
- God-Mode-Prüfung zentralisiert: Die Logik existiert nun an genau einer Stelle, verwendet timing-sicheren Hash-Vergleich und protokolliert Entschlüsselungsfehler.
- Passwort-Reset: Nach dem Zurücksetzen wird beim nächsten Login eine Pflichtänderung des temporären Passworts erzwungen.
- Datei-Uploads (SunEditor): Magic-Bytes-Prüfung ergänzt — der tatsächliche Dateiinhalt wird geprüft, nicht nur der vom Browser gemeldete Typ.
- Forum: Forum-Sperren greifen nun auch bei Reaktionen, Lesezeichen und Beiträgen teilen.
- Moderationsrouten: Rate-Limiting (30 Anfragen/Minute) auf Admin-Meldungs- und Sperren-Routen.
- Admin-Konversationszugriff wird in der manipulationssicheren Security-Log-Tabelle protokolliert.
- Pseudonym-Salt für Moderationsansichten kann als eigene Umgebungsvariable (PSEUDONYM_SALT) konfiguriert werden — unabhängig vom APP_KEY.
- 2FA-Challenge-Fenster auf 5 Minuten verkürzt, maximal 5 Fehlversuche vor Ablauf der Challenge.
- Recovery-Code-Format auf 4×7 Zeichen erweitert (~166 Bit Entropie, statt bisher ~72 Bit).
- Session-Cookie ist standardmäßig auf Secure gesetzt (HTTPS-Only), sofern nicht explizit überschrieben.
- Exception-Messages werden nicht mehr in Logs ausgegeben (verhindert unbeabsichtigte Preisgabe von Stack-Traces).
- X-Frame-Options von DENY auf SAMEORIGIN geändert — eigene Domain darf iframes einbetten.
- Scope-ID bei gruppenspezifischen Sperren wird auf Existenz in der Datenbank geprüft.
- Pair-Block-Erstellung race-condition-sicher: updateOrInsert statt create.
- Moderation-Log-Einträge erhalten einen HMAC-Integritäts-Hash zur Erkennung nachträglicher Manipulation.
- Nachrichten-Empfänger-ID auf 300 Zeichen begrenzt.
- E-Mail-Adressen werden vor dem Versand validiert (FILTER_VALIDATE_EMAIL).
- Klarname-Anzeige bei Wiederholungsmeldungen nur noch für Admins mit Chat-Berechtigung.
v0.7-beta
Mai 2026 AktuellSicherheit
- Sicherheit 2FA Recovery-Codes sicher über Cache (nicht mehr Session-Flash) — einmalige Anzeige, 15-Min-Ablauf
- Sicherheit God-Mode-Prüfung zentralisiert, timing-sicher (
hash_equals), Fehler werden protokolliert - Sicherheit Passwort-Reset erzwingt Pflichtänderung beim ersten Login nach dem Zurücksetzen
- Sicherheit Datei-Uploads: Magic-Bytes-Prüfung — tatsächlichen Dateiinhalt statt Browser-MIME prüfen
- Sicherheit Forum-Sperre greift nun auch bei Reaktionen, Lesezeichen und Beiträgen teilen
- Sicherheit Rate-Limiting (30/Min) auf Admin-Moderations- und Sperren-Routen
- Sicherheit Admin-Konversationszugriff in manipulationssicherem Security-Log protokolliert
- Sicherheit Moderation-Log-Einträge mit HMAC-Integritäts-Hash gegen Manipulation gesichert
- Sicherheit Race Condition bei Pair-Block behoben (
updateOrInsert) - Sicherheit Scope-ID bei gruppenspezifischen Sperren wird auf DB-Existenz geprüft
- Sicherheit Klarname-Anzeige bei Wiederholungsmeldungen nur mit Chat-Berechtigung
- Sicherheit SunEditor: explizite Link-Attribut-Whitelist + Sanitizer gegen
javascript:-URLs undon*-Event-Handler - Sicherheit SecurityLog bei Anlage neuer Administrator:innen (
superuser_created)
Verbesserungen
- Verbessert 2FA-Timeout auf 5 Minuten, max. 5 Fehlversuche vor Sitzungsende
- Verbessert Recovery-Codes: 4×7 Zeichen (~166 Bit Entropie, vorher ~72 Bit)
- Verbessert Session-Cookie standardmäßig Secure (HTTPS-Only)
- Verbessert Pseudonym-Salt konfigurierbar (
PSEUDONYM_SALT) — APP_KEY-Rotation ändert keine historischen Pseudonyme mehr - Verbessert Exception-Messages nicht mehr in Logs (kein unbeabsichtigtes Leak von Stack-Traces)
- Verbessert X-Frame-Options: SAMEORIGIN statt DENY (eigene Domain darf iframes einbetten)
- Verbessert E-Mail-Adressen vor Versand auf gültiges Format geprüft
- Verbessert Nachrichten-Empfänger-ID auf 300 Zeichen begrenzt
- Datenschutz Datenschutzerklärung um Abschnitt zu Direktnachrichten und gemeldeten Konversationen ergänzt (Rechtsgrundlage, Pseudonymisierung, Protokollierung)
- Neu Tätigkeitsprofil-Editor: 5 separate Schritte mit automatischem Speichern — kein Datenverlust mehr beim Navigieren
- Verbessert SunEditor: Inter als Standard-Schriftart, Figtree im Font-Selector verfügbar
- Verbessert Pastor:innen-Suche reagiert jetzt sofort beim Tippen (statt erst nach Fokusverlust)
- Verbessert Pastor:innen-Suche berücksichtigt jetzt die Sichtbarkeits-Einstellung „Über interne Suche auffindbar"
- Verbessert Eingeloggter Account erscheint nicht mehr in der eigenen Pastor:innen-Liste
Behobene Fehler
- Fix Einstellungen: AGB/Datenschutz-Checkbox zeigte Bestätigungs-Dialog beim Abwählen nicht an — Zustimmung wurde stillschweigend widerrufen
- Fix Einstellungen: Falsche Passwort-Eingabe bei Account-Deaktivierung leitete auf die Startseite weiter statt auf die Einstellungsseite
- Fix Einstellungen: Validierungsfehler beim Speichern wurden nicht angezeigt
- Fix 2FA: Falsch eingegebener Code leitete auf die Startseite weiter statt zur Eingabemaske zurück
- Fix Registrierung: Spaltenversatz bei Feldern mit Hilfe-Symbol (Fragezeichen-Button) korrigiert
Version 0.6.5-beta, Mai 2026@if(config('app.version') === 'v0.6.5-beta'), aktuelle Version@endif.
Neue Funktionen
- Melde-Funktion für Forum-Nachrichten, Threads und Gruppen — Meldungen werden als Helpdesk-Ticket erfasst, der Melder erhält eine Bestätigung per E-Mail.
- Eigene Beiträge bearbeiten und löschen — Verfasser können ihre Nachrichten nachträglich anpassen oder entfernen.
- Gesperrte Forum-Beiträge und Gruppen zeigen einen deutlichen Hinweis mit Sperrgrund und sind nicht mehr lesbar.
- Moderations-Protokoll für Administratoren — jede Moderation wird vollständig dokumentiert.
- Öffentliche Transparenz-Seite mit anonymisierten Moderations-Aktionen — erreichbar über die Datenschutzerklärung.
- Gruppen-Datenschutz: Administratoren können private Gruppen nur einsehen, wenn eine aktive Meldung vorliegt.
- Direktnachrichten zwischen Nutzer:innen werden verschlüsselt in der Datenbank gespeichert — Inhalt, Absender und Empfänger sind nicht im Klartext lesbar.
- Anonymisiertes Anmeldeprotokoll: alle Login-Versuche werden in einer eigenen Datei festgehalten, ohne personenbezogene Daten zu speichern.
- Direktnachrichten: eigene Nachrichten können gelöscht werden. Gelöschte Nachrichten bleiben als Platzhalter sichtbar.
- Direktnachrichten: Verhaltenskodex-Banner bei erster Nutzung — Bestätigung wird gespeichert.
- Direktnachrichten: Melde-Funktion für ganze Unterhaltungen (nicht einzelne Nachrichten), mit Bestätigungsmail und Admin-Benachrichtigung.
- Direktnachrichten: Rich-Text-Editor (SunEditor) für Nachrichteneingabe und Antworten.
- Administratoren können gemeldete Direktnachrichten-Konversationen einsehen — ausschließlich bei aktiver Meldung, mit pseudonymisierten Teilnehmern.
- Gesprächssperre zwischen zwei Personen (Pair Block) — beide Parteien erhalten eine E-Mail mit Widerspruchsmöglichkeit.
- Granulare Nutzersperren: Forum-Sperre, Gruppen-Sperre, Nachrichten-Sperre und vollständige Konto-Sperre.
- Vier-Augen-Prinzip für Kontosperrungen — erfordert Bestätigung durch einen zweiten Administrator.
Sicherheit und Datenschutz
- Granulare Moderationsrechte: Schlichter, Moderator, Redakteur und Durchgreifer — jede Rolle erhält nur die notwendigen Befugnisse.
- Alle Admin-Eingriffe werden im Sicherheitsprotokoll und im Moderations-Protokoll festgehalten.
- Beim Admin-Bearbeiten wird der Originaltext gesichert. Beim Löschen einer Nachricht werden hochgeladene Bilder automatisch vom Server entfernt.
- Geschlossene Support-Tickets werden nach 12 Monaten automatisch gelöscht (DSG-EKD).
- Datenschutzerklärung um Abschnitt zu Forum, Moderation und Meldefunktion erweitert.
- Admin-Zugriff auf gemeldete Konversationen wird vollständig protokolliert — Pseudonyme schützen die Identität der Beteiligten.
- Eigene Nachrichten löschen bei aktiver Meldung wird protokolliert, um Verschleierung zu verhindern.
Verbesserungen
- Bearbeitete Nachrichten zeigen ein „Bearbeitet am"-Badge mit Datum — bei Admin-Eingriffen mit Shield-Icon.
- Helpdesk-Benachrichtigungen gehen nur noch an Admins mit Chat-Berechtigung.
- Admin-Aktionsbuttons heben sich durch Farbe und Shield-Icon deutlich von Nutzer-Buttons ab.
- Rechte-Verwaltungs-UI im Dashboard wird automatisch aus der Konfiguration generiert — neue Berechtigungen erscheinen ohne Code-Änderung.
- Öffentliche Kontaktdaten der Kirchenkreise (E-Mail, Telefon, Social Media) werden jetzt aus der Datenbank gelesen — Änderungen in der Verwaltung wirken sofort auf alle Seiten.
v0.6.5-beta
Mai 2026Neue Funktionen
- NeuMelde-Funktion für Nachrichten, Threads und Gruppen — Helpdesk-Ticket, Bestätigungsmail an Melder, Benachrichtigung an Admins
- NeuEigene Beiträge bearbeiten und löschen — Verfasser können Nachrichten nachträglich anpassen oder entfernen
- NeuGesperrte Beiträge und Gruppen: deutlicher Hinweis mit Sperrgrund, Inhalt nicht mehr lesbar
- NeuModerations-Protokoll für Administratoren — jede Aktion vollständig dokumentiert, alle Einträge rückgängig machbar
- NeuÖffentliche Transparenz-Seite mit anonymisierten Moderations-Aktionen (erreichbar über die Datenschutzerklärung)
- NeuGruppen-Datenschutz: private Gruppen für Admins nur bei aktiver Meldung einsehbar
- NeuDirektnachrichten verschlüsselt gespeichert — Inhalt, Absender und Empfänger sind in der Datenbank nicht im Klartext lesbar (DSG-EKD)
- NeuAnonymisiertes Anmeldeprotokoll (
auth.log) — alle Login-Versuche ohne personenbezogene Daten festgehalten - NeuDirektnachrichten: eigene Nachrichten löschen — gelöschte Nachrichten bleiben als Platzhalter sichtbar, Löschung bei Meldung wird protokolliert
- NeuDirektnachrichten: Verhaltenskodex-Banner bei erster Nutzung
- NeuDirektnachrichten: Melde-Funktion für ganze Unterhaltungen — pseudonymisiertes Helpdesk-Ticket mit Admin-Link
- NeuAdmin-Ansicht gemeldeter Direktnachrichten — nur bei aktiver Meldung zugänglich, Teilnehmer pseudonymisiert, Wiederholungswarnung ab 2 Meldungen in 30 Tagen
- NeuGesprächssperre (Pair Block) — verhindert neue Nachrichten zwischen zwei Personen, beide werden per E-Mail mit Widerspruchslink informiert
- NeuGranulare Nutzersperren: Forum, Gruppen, Nachrichten oder vollständige Konto-Sperre — Vier-Augen-Prinzip, alle Sperren rückgängig machbar
Verbesserungen & Datenschutz
- SicherheitGranulare Moderationsrechte: Schlichter, Moderator, Redakteur, Durchgreifer — Minimalprinzip
- SicherheitAlle Admin-Eingriffe im Sicherheits- und Moderations-Protokoll festgehalten
- SicherheitBilder in gelöschten Nachrichten automatisch vom Server entfernt
- DSG-EKDGeschlossene Support-Tickets nach 12 Monaten automatisch gelöscht
- DSG-EKDAdmin-Zugriff auf gemeldete Konversationen vollständig protokolliert — Pseudonyme schützen Identität der Beteiligten
- DSG-EKDSelbst-Löschung von Nachrichten bei aktiver Meldung wird protokolliert — verhindert nachträgliche Verschleierung
- DSG-EKDDatenschutzerklärung um Forum-, Moderations- und Meldefunktions-Abschnitt erweitert
- VerbessertDirektnachrichten: Rich-Text-Editor (SunEditor) für Nachrichteneingabe und Antworten
- Verbessert„Bearbeitet am"-Badge — bei Admin-Eingriff mit Shield-Icon gekennzeichnet
- VerbessertHelpdesk-Benachrichtigungen nur noch an Admins mit Chat-Berechtigung
- VerbessertRechte-Verwaltungs-UI automatisch aus Konfiguration generiert — neue Rollen erscheinen ohne Code-Änderung
- VerbessertÖffentliche Kontaktdaten der Kirchenkreise (E-Mail, Telefon, Social Media) aus Datenbank — Änderungen in der Verwaltung wirken sofort
Version 0.6-beta, Mai 2026@if(config('app.version') === 'v0.6-beta'), aktuelle Version@endif.
Sicherheit und neue Funktionen
- Newsletter-Versand läuft jetzt im Hintergrund — kein Warten beim Veröffentlichen einer Informationsseite.
- Bestätigungsschritt vor dem Newsletter-Versand — Abonnentenzahl wird angezeigt, bevor die E-Mails abgeschickt werden.
- Kirchenkreise können den Newsletter abonnieren — über ihre Profileinstellungen opt-in.
- Direkter Abmelde-Link in jeder Newsletter-E-Mail — ohne Login, ein Klick genügt. Entspricht den Anforderungen der DSG-EKD.
- Sicherheits-HTTP-Header auf allen Seiten: Schutz gegen Clickjacking, MIME-Sniffing und unerwünschte Kamera- und Mikrofon-Zugriffe.
- Automatische Protokollierung aller An- und Abmeldungen sowie fehlgeschlagener Login-Versuche für alle Nutzergruppen.
- Logins zwischen 2 und 5 Uhr nachts werden als verdächtig markiert und führen zu einer Sicherheitsbenachrichtigung.
- E-Mail-Benachrichtigung bei kritischen Sicherheitsereignissen — IP-Häufungen und ungewöhnliche Aktivitäten.
Verbesserungen
- Versandstatus für Newsletter sichtbar im Verwaltungsbereich — wann und an wie viele Personen eine Benachrichtigung gesendet wurde.
- Keine Verbindung zu Google-Servern mehr — Google Charts vollständig entfernt.
- Content Security Policy schränkt externe Skript- und Stilquellen präzise ein — nur explizit erlaubte Quellen werden geladen.
v0.6-beta
Mai 2026Neue Funktionen
- NeuNewsletter-Versand läuft jetzt im Hintergrund — kein Warten beim Veröffentlichen einer Informationsseite
- NeuBestätigungsschritt vor dem Newsletter-Versand — Abonnentenzahl wird angezeigt, bevor die E-Mails abgeschickt werden
- NeuKirchenkreise können den Newsletter abonnieren — über ihre Profileinstellungen opt-in
- SicherheitDirekter Abmelde-Link in jeder Newsletter-E-Mail — ohne Login, ein Klick genügt (DSG-EKD)
- SicherheitSicherheits-HTTP-Header auf allen Seiten: Schutz gegen Clickjacking, MIME-Sniffing, unerwünschte Kamera- und Mikrofon-Zugriffe
- SicherheitAutomatische Protokollierung aller An- und Abmeldungen sowie fehlgeschlagener Login-Versuche — alle Nutzergruppen
- SicherheitLogins zwischen 2 und 5 Uhr nachts werden als verdächtig markiert und führen zu einer Sicherheitsbenachrichtigung
- SicherheitE-Mail-Benachrichtigung bei kritischen Sicherheitsereignissen — IP-Häufungen, ungewöhnliche Aktivitäten
Verbesserungen & Fixes
- VerbessertVersandstatus für Newsletter sichtbar im Verwaltungsbereich — wann und an wie viele Personen eine Benachrichtigung gesendet wurde
- VerbessertKeine Verbindung zu Google-Servern mehr — Google Charts vollständig entfernt
- VerbessertContent Security Policy schränkt externe Skript- und Stilquellen präzise ein — nur explizit erlaubte Quellen werden geladen
Version 0.5-beta, Mai 2026@if(config('app.version') === 'v0.5-beta'), aktuelle Version@endif.
Sicherheit und neue Funktionen
- Zwei-Faktor-Authentifizierung für Superuser — verpflichtend, per Authenticator-App nach dem TOTP-Standard. Für Pastor:innen und Kirchenkreise optional. Kompatibel mit offenen Apps wie Aegis, Bitwarden und KeePassXC, ohne Google-Konto.
- Mobile Dashboard-Ansicht für Superuser — kompakte Hero-Card mit Profil, Kirchenkreis, Zuständigkeiten und Aktionsbuttons.
- Mobile Dashboard-Ansicht für Pastor:innen — Hero-Card mit Kirchenkreis, Gemeinde, Ruhestandsdatum und direktem Tätigkeitsprofil-Link.
- JSON-LD Organization-Schema auf jeder Seite, WebSite-Schema auf der Startseite — für Rich Results in Suchmaschinen.
Verbesserungen und Fehlerbehebungen
- SEO: seitenspezifische Meta-Descriptions auf allen öffentlichen Seiten.
- SEO: robots.txt Produktionsregeln aktiv, Sitemap um Forum, Changelog und Barrierefreiheit erweitert.
- Video-Hintergrund: schwarzes Aufblitzen beim Loop-Neustart behoben.
- Registrierung schlug fehl wegen falschem Spaltentyp für Kirchenkreis-ID.
- Profilbild in der Navigation zeigte falsches Geschlecht — Anrede-Zuordnung korrigiert.
- Kirchenkreis-Anzeige im Profil-Bearbeiten-Formular zeigte keinen Wert mehr.
v0.5-beta
Mai 2026Neue Funktionen
- SicherheitZwei-Faktor-Authentifizierung (2FA) für Superuser — verpflichtend, via Authenticator-App (TOTP). Für Pastor:innen und Kirchenkreise optional verfügbar. Kompatibel mit Aegis, Bitwarden, KeePassXC und anderen offenen Apps — ohne Google-Konto.
- NeuMobile Dashboard-Ansicht für Superuser — kompakte Hero-Card mit Profil, Kirchenkreis, Zuständigkeiten und Aktionsbuttons
- NeuMobile Dashboard-Ansicht für Pastor:innen — Hero-Card mit Kirchenkreis, Gemeinde, Ruhestandsdatum und direktem Tätigkeitsprofil-Link
- NeuJSON-LD Organization-Schema auf jeder Seite, WebSite-Schema auf der Startseite — für Rich Results in Suchmaschinen
Verbesserungen & Fixes
- VerbessertSEO: seitenspezifische Meta-Descriptions auf allen öffentlichen Seiten — Google zeigt nun passende Snippets je Seite
- VerbessertSEO: robots.txt Produktionsregeln aktiv, Sitemap um Forum, Changelog und Barrierefreiheit erweitert
- VerbessertVideo-Hintergrund: schwarzes Aufblitzen beim Loop-Neustart behoben
- FixRegistrierung schlug fehl wegen falschem Spaltentyp für Kirchenkreis-ID (SQLSTATE Data truncated)
- FixProfilbild in der Navigation zeigte falsches Geschlecht — Anrede-Zuordnung korrigiert
- FixKirchenkreis-Anzeige im Profil-Bearbeiten-Formular zeigte keinen Wert mehr (undefined Variable)
Version 0.4-beta, April 2026@if(config('app.version') === 'v0.4-beta'), aktuelle Version@endif.
Neue Funktionen
- Vollständige PiR-Verwaltung für Administratoren: Profil bearbeiten, deaktivieren, löschen, Rollen und Rechte, Passwort zurücksetzen.
- Willkommens-E-Mail beim Anlegen eines Kirchenkreis-Accounts mit Zugangsdaten.
- Newsletter-Benachrichtigung an alle Abonnentinnen und Abonnenten bei neuen Informationen.
- Newsletter-Checkbox in der Registrierung.
- Öffentliche Barrierefreiheits-Seite nach WCAG 2.2.
- Superuser: Kirchenkreise anlegen per Button direkt im Profil-Panel.
- Mehrere Ansprechpersonen pro Kirchenkreis — öffentlich sichtbar, mit Funktion, E-Mail und Telefon.
- Kirchenkreise können ihre Ansprechpersonen und ihr Passwort selbst verwalten.
- Diese Versionshistorie-Seite.
Verbesserungen
- SunEditor einheitlich auf allen Seiten mit vollständigem Editor, Mehr-Werkzeuge-Toggle und korrektem Bild-Upload ohne Base64.
- Kirchenkreis-Logos werden jetzt korrekt als Querformat-Logos dargestellt.
- Startseite: Sektionen mit sichtbarem Hintergrund zwischen den Blöcken.
- Alle Bild-Uploads werden serverseitig in WebP konvertiert.
- Superuser-Profil-Panel: Tabs für Pastorinnen und Pastoren und Kirchenkreise sowie Namenssuche.
- SCSS-Bereinigung: keine Inline-Styles mehr in Blade-Templates.
- Video-Hintergrund auf öffentlichen Seiten mit Bild-Fallback.
- Superuser-Dashboard: Tab-Berechtigungen per Bitmask, God-Mode-Badge und System-Einstellungen-Seite für Fernwartung.
- Glass-Button-Varianten für alle Button-Typen, Dark Mode und Hoher-Kontrast-Unterstützung.
- Tätigkeitsprofil von Pastorinnen und Pastoren als eigene Seite statt Modal.
- Footer-Leiste mit wichtigen Links auf allen öffentlichen Seiten.
- Login: ein Tag Standard-Session, fünfzehn Tage mit Angemeldet-bleiben-Checkbox.
Fehlerbehebungen
- Nginx 413-Fehler beim Bild-Upload durch Swap-Einrichtung und korrekten Upload-Endpunkt behoben.
- Einführungstext-Spalte auf MEDIUMTEXT erweitert, da sie zu klein für formatierten Inhalt war.
- Fehlender Import verhinderte das Laden aller Routen.
- Alpine.js Doppelinstanz-Problem behoben: Livewire übernimmt die Initialisierung.
- Forum Share-Modal: Stacking-Context-Problem durch backdrop-filter behoben.
- Anrede-Zuordnung korrigiert: 1 gleich Herr, 2 gleich Frau.
- Superuser: Vollzugriff-Anzeige, Zuständigkeiten und letzter Login funktionieren korrekt.
v0.4-beta
April 2026Neue Funktionen
- NeuVollständige PiR-Verwaltung für Administratoren — Profil bearbeiten, deaktivieren, löschen, Rollen & Rechte, Passwort zurücksetzen
- NeuWillkommens-E-Mail beim Anlegen eines Kirchenkreis-Accounts mit Zugangsdaten
- NeuNewsletter-Benachrichtigung an alle Abonnent:innen bei neuen Informationen
- NeuNewsletter-Checkbox in der Registrierung
- NeuÖffentliche Barrierefreiheits-Seite (WCAG 2.2)
- NeuSuperuser: Kirchenkreise anlegen per Button direkt im Profil-Panel
- NeuMehrere Ansprechpersonen pro Kirchenkreis — öffentlich sichtbar mit Funktion, E-Mail und Telefon
- NeuKirchenkreise können Ansprechpersonen und Passwort selbst verwalten
- NeuDiese Versionshistorie-Seite
Verbesserungen
- VerbessertSunEditor einheitlich auf allen Seiten — vollständiger Editor mit „Mehr Werkzeuge"-Toggle und korrektem Bild-Upload (kein Base64)
- VerbessertKirchenkreis-Logos werden jetzt korrekt als Querformat-Logos dargestellt
- VerbessertStartseite: Sektionen mit sichtbarem Hintergrund zwischen den Blöcken
- VerbessertAlle Bild-Uploads werden serverseitig in WebP konvertiert
- VerbessertSuperuser-Profil-Panel: Tabs für Pastor:innen und Kirchenkreise + Namenssuche
- VerbessertSCSS-Bereinigung: keine Inline-Styles mehr in Blade-Templates
- VerbessertVideo-Hintergrund auf öffentlichen Seiten
- VerbessertSuperuser-Dashboard: Tab-Berechtigungen per Bitmask, God-Mode-Badge, System-Einstellungsseite für Fernwartung
- VerbessertGlass-Buttons, Dark Mode und Hoher-Kontrast-Unterstützung
- VerbessertTätigkeitsprofil als eigene Seite statt Modal
- VerbessertFooter-Leiste mit Impressum, Datenschutz und weiteren Links
- VerbessertLogin: 1 Tag Standard-Session, 15 Tage mit „Angemeldet bleiben"
Fehlerbehebungen
- Fixnginx 413-Fehler beim Bild-Upload durch Swap-Einrichtung und korrekten Upload-Endpunkt
- FixEinführungstext-Spalte auf MEDIUMTEXT erweitert (war zu klein für formatierten Inhalt)
- FixFehlender Import verhinderte das Laden aller Routen
- FixAlpine.js Doppelinstanz behoben — Livewire übernimmt die Initialisierung
- FixForum Share-Modal: Stacking-Context-Problem durch backdrop-filter behoben
- FixAnrede-Zuordnung, Superuser-Vollzugriff-Anzeige und letzter Login korrigiert
Version 0.35-beta, März bis April 2026@if(config('app.version') === 'v0.35-beta'), aktuelle Version@endif.
Neue Funktionen
- Öffentliches Forum mit Kategorien, Antworten, Reaktionen und Lesezeichen.
- Gruppen für Pastorinnen und Pastoren: thematische Gemeinschaften mit eigenem Diskussionsbereich.
- Helpdesk-System: vollständiges Support-Ticket-System für PiR und Kirchenkreise.
- Deanery-Account-Anlage mit Vorausfüllung aus Aufnahme-Anfragen.
- Aufnahme-Anfragen-System für Kirchenkreise und Gemeinden.
- Passwort-vergessen-Prozess vollständig implementiert.
- Informationen und Aktuelles mit Kategorien und Seiten.
- Umami-Analytics für datenschutzfreundliches Seitentracking.
- PiR-Landingpage.
- Accessibility-Panel für Schriftgröße und hohen Kontrast.
- Umgemeidungs-Suche: wohnortnahe Kirchengemeinde finden.
- PiR-Dashboard mit Tabs.
Verbesserungen
- WCAG 2.2 AAA Barrierefreiheit auf allen Seiten.
- Navbar vollständig überarbeitet.
- SEO-Grundlagen: Meta-Tags und Sitemap.
- Kirchenkreis-Slug-URLs für Projekte.
- Performance-Optimierungen.
- Erweiterte Deanery-Entitäten: Gemeinden, Institutionen, Kirchenvorstand.
Sicherheit und Fehlerbehebungen
- Honeypot-Schutz gegen Bot-Registrierungen.
- Friendly Captcha im Registrierungsformular.
- Kirchenkreis-Validierung bei der Registrierung.
- Routenfehler, View-Pfade und Migrationen konsolidiert, Sicherheitslücken geschlossen.
v0.35-beta
März – April 2026Neue Funktionen
- NeuÖffentliches Forum mit Kategorien, Antworten, Reaktionen und Lesezeichen
- NeuGruppen für Pastor:innen — thematische Gemeinschaften mit eigenem Diskussionsbereich
- NeuHelpdesk-System — vollständiges Support-Ticket-System für PiR und Kirchenkreise
- NeuDeanery-Account-Anlage mit Vorausfüllung aus Aufnahme-Anfragen
- NeuAufnahme-Anfragen-System für Kirchenkreise & Gemeinden
- NeuPasswort-vergessen-Flow vollständig implementiert
- NeuInformationen & Aktuelles mit Kategorien und Seiten
- NeuUmami-Analytics für datenschutzfreundliches Seitentracking
- NeuPiR-Landingpage
- NeuAccessibility-Panel (Schriftgröße & Hoher Kontrast)
- NeuUmgemeidungs-Suche: wohnortnahe Kirchengemeinde finden
- NeuPiR-Dashboard mit Tabs
Verbesserungen
- VerbessertWCAG 2.2 AAA — Barrierefreiheit auf allen Seiten
- VerbessertNavbar vollständig überarbeitet
- VerbessertSEO-Grundlagen (Meta-Tags, Sitemap)
- VerbessertKirchenkreis-Slug-URLs für Projekte
- VerbessertPerformance-Optimierungen
- VerbessertErweiterte Deanery-Entitäten (Gemeinden, Institutionen, Kirchenvorstand)
Sicherheit & Fehlerbehebungen
- SicherheitHoneypot-Schutz gegen Bot-Registrierungen
- SicherheitFriendly Captcha-Integration im Registrierungsformular
- SicherheitKirchenkreis-Validierung bei der Registrierung
- FixRoutenfehler, View-Pfade, Migrationen konsolidiert, Sicherheitslücken geschlossen
Technologie-Stack
- Laravel 12, PHP-Framework
- PHP 8.2+, Programmiersprache
- Livewire 3.6, reaktive Komponenten
- Bootstrap 5.3, UI-Framework
- Alpine.js, Interaktivität
- Vite 7, Build-Tool
- MariaDB, Datenbank
- SCSS, Stylesheet-Sprache
- Umami, datenschutzfreundliche Analytics
- Friendly Captcha, Bot-Schutz ohne Cookies
- pragmarx/google2fa, Zwei-Faktor-Authentifizierung
- bacon/bacon-qr-code, QR-Code-Generierung
- Git, Versionskontrolle
Technologie-Stack
Open-Source-Credits
Diese Plattform basiert auf folgenden Open-Source-Projekten: Laravel, Livewire, Alpine.js, Bootstrap, SunEditor, Leaflet, Cropper.js, Font Awesome, Intervention Image, Vite, pragmarx/google2fa, bacon/bacon-qr-code und Umami.
Medien: Hintergrundvideo und Hintergrundfoto von Wolfgang Weiser, zur Verfügung gestellt über Pexels zur kostenlosen Nutzung.
Open-Source-Credits
Diese Plattform wäre ohne die Arbeit der Open-Source-Community nicht möglich. Vielen Dank an: