Schlagwortarchiv für: Sicherheit

,

Es braucht sichere Identitäten für das Vertrauen der Kunden

| 0 Kommentare
/0 Kommentare/in , /von

Isoliert, zentral oder dezentral – welche Vor- und Nachteile die unterschiedlichen Lösungen für die Identifizierung haben, vergleichen hier zwei Forscher von der BFH Technik und Informatik. 

Mit Identity Management bezeichnet man Prozesse und Dienste, die sich mit der Erfassung, Verwaltung und Verwendung von elektronischen Identitäten befassen. Ein elektronisches Identity Management System muss das richtige Gleichgewicht zwischen Benutzerfreundlich-keit, Sicherheit und Datenschutz finden. Klassische Modelle verfolgen die Ansätze isolierter oder zentraler Identitäten, welche diese Ziele nur teilweise erfüllen können. In den letzten Jahren werden dezentrale Ansätze stark diskutiert und haben mit Self-Sovereign Identity (SSI) international bereits grosse Beachtung erlangt. Diese Modelle und die dahinter-liegenden Architekturen und Konzepte sollen in diesem Artikel gegenübergestellt werden, um Vor- und Nachteile der einzelnen Lösungen aufzuzeigen.

In einer vernetzten Welt haben Maschinen eine Identität, Benutzer aber nicht

Das Internet wurde grundsätzlich ohne elektronische Identitäten aufgebaut. Ein Endgerät konnte nicht wissen, mit wem (Person, Organisation, Dienst oder Ding) es sich verbindet ausser auf technischer Ebene. Maschinen kommunizieren über IP-Adressen miteinander. Sie können ebenfalls, bis zu einem gewissen Grad, die Echtheit eines Partners überprüfen, da sie bei einem Verbindungsaufbau die Verknüpfung zwischen einem Namen und der dazugehörigen IP-Adresse in einem dezentralen Namensregister (Domain, Name, System) auflösen können.

Um echtes Vertrauen in Namen aufbauen zu können, muss für ein bestimmtes Endgerät ein Zertifikat erstellt werden. Für Benutzer ist der Geltungsbereich solcher Zertifikate meist nur auf Unternehmen limitiert. In globalen Netzen werden deshalb Zertifikate fast nur für Web-Server von dafür spezialisierten Diensten ausgestellt. Diese Zertifikatsanbieter sind meist zentrale Instanzen, welchen man vollständig vertrauen muss, obschon sie vielfach unbekannt sind (z.B. DigiCert).

Das Problem elektronischer Identitäten im Internet (insbesondere für Benutzeridentitäten) ist also auch heute (noch) nicht gelöst, obschon sich Diebstahl und Täuschung von Identitäten schnell verbreiten. Diese Entwicklung untergräbt das Vertrauen der Öffentlichkeit in das Internet.

Isolierte Identitäten

Dies ist die am häufigsten anzutreffende Lösung. Viele Webseiten oder Portale in unserem täglichen Umfeld verwenden solch isolierte Identitäten. Hier muss ein Benutzer bei jedem Portal erst einmal seine Identität verifizieren lassen, bevor eine elektronische Identität für ihn ausgestellt wird. Der Benutzer vereinbart – je nach Anforderungen des Dienstleisters – ein oder mehrere Authentisierungsmittel (Passwort, mobile TAN usw….), um künftig auf sein Konto zugreifen zu können. Dies ist aber eine isolierte Identität, da sie meist nur für diesen Zweck (Dienstleister) genutzt werden kann. Wie im Bild unten dargestellt, ist der Dienstleister hier Verwalter und Herausgeber von elektronischen Identitäten, also ein sogenannter Identity Provider (IdP).

Abbildung 1: Isoliertes Identitätsmanagement

Dieses Modell hat zwar den Charakter einer dezentralen Lösung, da eine Identität nur für eine Applikation verwendet werden kann, bringt aber einige entscheidende Nachteile mit sich:

  1. Aus Sicht des Benutzers:
    – Pro Dienstleister erhält der Benutzer jeweils eine andere elektronische Identität und vielfach ein anderes Authentisierungsmittel. Dies ist für den Benutzer schlecht überschaubar, da er mehrere elektronische Identitäten und dazugehörige Authentisierungsmittel bei sich lokal pflegen muss. Lösungen zur Vereinfachung können Passwort-Manager oder Cloud-Dienste zur Ablage der Identitäten bieten.                                                                                                                               – Der Benutzer muss dem Dienstleister und dessen Handhabung seiner Identitätsinformationen voll vertrauen. Dies ist für den Benutzer wenig transparent, auch wenn neuste Datenschutzgesetze dies verlangen.
  2. Aus Sicht des Dienstleisters:
    – Damit dieser die Identität des Benutzers prüfen kann, muss er einen Identitätsnachweis des Benutzers bei sich ablegen (meist zusammen mit anderen Informationen).
    – Er ist für die Sicherheit der von ihm erhobenen Identitätsinformationen verantwortlich. Weshalb er sich zunehmend gegen drohenden Missbrauch technisch absichern muss, da sonst seine Reputation darunter leiden könnte.
    – Um eine zeitgemässe und sicherere Authentisierungsmöglichkeit anbieten zu können, muss der Dienstleister kostenintensive 2-Faktor-Verfahren (z.B. zusätzlich eine SMS an die mobile Nummer des Benutzers senden) selbst implementieren.

Zentrale Identitäten

Heutige Dienstleister haben diese Probleme natürlich längst erkannt und dadurch gelöst, dass sie einen Schritt in Richtung zentralisierte Identität gemacht haben. Sie gingen dazu über, die Kontoverwaltung an bestimmte Unternehmen zu delegieren. Sie erlaubten den Benutzern, sich mit einer elektronischen Identität anzumelden, die von einem anderen Unternehmen ausgestellt und gewartet wird.
Gerade im Bereich ‘Social Login’ wird es damit für den Benutzer einfacher, da er sich mit einem Login auf mehreren Apps und Webseiten anmelden kann. Aber auch für den Dienstleister ist die Welt einfacher geworden, da er im Idealfall keine eigenen Identitäten mehr aufbauen muss. In einem betrieblichen Kontext wird für die Entlastung der Applikationen vielfach dafür ein zentraler Authentisierungsdienst eingesetzt.

Bei zentralen Identitäten wird die Login- und/oder die Validierungsfunktion vom Dienstleister an einen spezialisierten Betreiber (Identity Provider) ausgelagert (1). Der Dienstleister vertraut den Prozessen des Identitätslieferanten und damit seinen Bestätigungen.

Abbildung 2: Zentralisiertes Identitätsmanagement

Um auf einen Dienstleister zugreifen zu können, muss sich der Benutzer nun erst beim Identity Provider authentisieren. Dieser sendet dem Dienstleister nach erfolgter Authentisierung das Resultat in Form einer Bestätigung zu. Damit wird es möglich, dass ein Benutzer für verschiedene Dienstleister eine einzelne Identität verwenden kann.

In diesem Modell sind zwei Ausprägungen möglich:

  • Isolierte Identity Provider: Jeder IdP verfügt – unabhängig von anderen IdPs – über eigene Identitätsdaten des Benutzers, welche in seinem Kontext Gültigkeit haben. (z.B. «Social-Login»-Lösungen, wie Facebook, Google, Twitter, Amazon, Instagram, LinkedIn, Microsoft)
  • Vernetzte Identity Provider: Mehrere IdPs vertrauen sich gegenseitig und verfügen je nach Vertrauensstufe über ein gemeinsames Set an Identitätsdaten (Attribute wie z.B. Name, Vorname, E-Mail, usw.) eines Benutzers. Dieser kann sich ohne weiteres bei verschiedenen IdPs registrieren, da sich diese einen gemeinsamen Identifikator teilen. Dieser gemeinsame Identifikator wird meist von einer staatlichen Instanz vergeben, welche die IdPs zertifiziert und mit Standard-Identitätsdaten eines Benutzers versorgt. Jedem, in diesem Modell zertifizierten IdP steht es frei, weitere Attribute aus seinem Kontext einer Identität beizufügen. (z.B. E-ID der CH)

«Zentrale Identitäten» haben gegenüber «isolierten Identitäten» zwar klare Vorteile, aber sie weisen immer noch bestimmte Nachteile auf:

  1. Aus Sicht des Benutzers:
    – Für den Benutzer wird die Verwaltung seiner elektronischen Identität einfacher, denn er hat nur noch eine bzw. wenige Identitäten, die er pflegen muss. Er sollte diese gegenüber möglichst vielen Dienstleistern einsetzen können.
    Umgekehrt wird aber die Privatsphäre des Benutzers empfindlich eingeschränkt, da der Identitätslieferant in jeden Authentisierungsvorgang einbezogen wird (Loginfunktion) und deshalb in der Lage ist, sich zu merken, wann und wie häufig ein Benutzer einen Dienstleister besucht hat. Diese Information kann für die Profilbildung und gezielte Werbung genutzt werden. Diese Form der unbemerkten Überwachung kann nur dann verhindert werden, wenn der IdP bei der Authentisierung des Benutzers nicht mehr beteiligt ist.
    – Der Benutzer muss nun dem Identitätslieferanten und dessen Handhabung seiner Identitätsinformationen voll vertrauen. Im Endeffekt ist dies für den Benutzer nicht viel transparenter, auch wenn gegenüber spezialisierten oder sogar vom Staat zertifizierten IdP’s mehr Vertrauen entgegengebracht werden kann.
    – Der Benutzer – welcher eigentlich Inhaber der Identität ist – wird von diesem Dienst abhängig. Wenn dieser Dienst seine Funktion nicht mehr erfüllen kann, so ist auch die elektronische Identität des Benutzers nicht mehr zugänglich.
  2. Aus Sicht des Dienstleisters:
    – Dienstleister delegieren die Authentisierung einem spezialisierten System von Identitätslieferanten, welchem sie vollständig vertrauen.
    – Damit sind sie von einer Last befreit:
    o sie müssen keinen Identitätsnachweis eines Benutzers mehr bei sich ablegen.
    o sie können beglaubigte und damit vertrauenswürdige Attribute von einem dafür spezialisierten IdP beziehen.
    Aus Sicht des Identitätslieferanten:
    – Da aus verschiedenen Bereichen (Dienstleistern) Daten von Benutzern anfallen, lohnt es sich eine komplexe Datenerhebung durchzuführen, die Nutzerdaten zu sammeln und, wenn die Gesetzgebung dies erlaubt, auch zu Geld damit zu machen. Es besteht die Versuchung mehrdimensionale Profile zu erstellen, welche mit leistungsstarken Targeting- und Profiling-Tools eine sehr effiziente Form der Überwachung ermöglichen. Die reichhaltigen Informationen aus dem Verhalten des Benutzers, können für öffentliche Werbung eingesetzt werden, zunehmend aber auch für Propaganda und zur Wahlpolitik.
    – Aggregierte Datenbestände werden zunehmend zu lohnenden Angriffszielen von Hackern. Immer mehr werden verfügbare Ressourcen für einen Missbrauch freigesetzt. Gravierende Sicherheitsprobleme können auftreten und sind fast nicht mehr zu handhaben. Ein solcher IdP muss die Identitätsinformationen besonders gut schützen.

Dezentrale Identitäten

Die verbleibenden Nachteile versucht man mit Self-Sovereign Identities (SSI) (2) in den Griff zu kriegen. Auf zentrale Instanzen kann in diesem Modell verzichtet werden, da die Identitätsinformationen unabhängig von einer zentralisierten Registrierungs-, Zertifizierungsstelle oder eines IdPs sind. Hierbei steht der Benutzer als Eigentümer einer elektronischen Identität im Mittelpunkt, denn nur er ist im Besitz seiner persönlichen Daten (und niemals ein zentraler Dienst oder ein staatlicher Herausgeber). Diese Identität kann er bei Bedarf in einem beliebigen Umfeld einsetzen, sei es privat oder geschäftlich (z.B. beim Online-Shopping oder in einem behördlichen Kontext).

Abbildung 3: Self-Sovereign Identity

Wie in Abbildung 3 dargestellt, ist der Benutzer sein eigener Identity Provider. Er erstellt sein Schlüsselmaterial, seine Identität und seine Daten von Beginn weg selbst aus. Alle Daten eines Nutzers sind zuerst «nicht-bestätigt». Erst wenn eine autoritative Instanz die Attribute (behauptete Eigenschaften) eines Nutzers beglaubigt hat, erhalten diese einen bestimmten Wert für Konsumenten (Dienstleister).
Dieser Ansatz wirft aber eine Reihe anderer Fragen auf:

  • Wie kann ein Dienstleister den Angaben eines Benutzers vertrauen? Ein Missbrauch wäre einfach zu realisieren. Ein Benutzer könnte sich als jemand anderes ausgeben, oder falsche Eigenschaften präsentieren, ohne dass der Dienstleister in der Lage ist die Korrektheit zu prüfen.
  • Was ist, wenn ein Benutzer keinen Zugriff auf seine dezentral geführten Informationen (Schlüsselmaterial, Identitätsinformationen, …) mehr hat? Niemand kann ihm da helfen, da es keine zentrale Autorität gibt, die das Schlüsselmaterial wiederherstellen, bzw. bestätigte Identitätsdaten wiederausstellen könnte.

Für diese und weitere Fragen wurden in der Vergangenheit bereits einige Lösungen erarbeitet.

  • Die Nachweisbarkeit einer Aussage übermittelt der Benutzer in Form von überprüfbaren Nachweisen («verifiable credentials») gegenüber einem Dienstleister. Um das Vertrauen (Prüfbarkeit) in Identitätsdaten bilden zu können, wird ein öffentlich, überprüfbares, verteiltes Datenregister im Netzwerk verwendet. Mit diesem können Nachweisbarkeit und Unveränderlichkeit von Transaktionen umgesetzt werden, indem Benutzer und Aussteller Informationen darin ablegen, die es einem Dienstleister erlauben einen Nachweis für die Echtheit der erhaltenen Informationen zu bilden. Anstelle eines klassisch, zentral geführten Systems, mit welchem elektronische Identitäten ausstellt, verteilt und geprüft werden können, tritt ein dezentral organisiertes System, welches der Veröffentlichung und dem sicheren Abruf von Metainformationen zu einer Identität dient.
  • Es wurden auch Lösungen erarbeitet, wie die Hinterlegung und Wiederherstellung von verlorenem Schlüsselmaterial – ohne zentrale Instanz – umgesetzt werden kann. Vorschläge dazu werden unter dem Begriff «Distributed Key Management System» (DKMS) diskutiert.

Fazit

Isolierte und zentral verwaltete Identitäten zeigen gerade hinsichtlich Flexibilität und Schutz der Privatsphäre grosse Lücken. Neue Datenschutzgesetze in der EU und hoffentlich auch bald in der Schweiz, fordern die Sicherstellung der Privatsphäre und ein Recht auf Selbstbestimmung. Die Zurückgewinnung über die Hoheit der Daten wird in naher Zukunft ein zentrales Anliegen werden. Deshalb erstaunt es auch nicht, dass sich «Self-Sovereign Identity» (SSI) als künftige Identity Management Lösung zu etablieren scheint. Mit «Self-Sovereign Identities» tritt an Stelle herkömmlicher Identitätslösungen ein flexibles und dynamisches Ökosystem, das verschiedenste Anwendungsgebiete abdeckt. Die Kommunikation im globalen Netzwerk wird mit SSI erstmals standardmässig mit einer Identität versehen. Ohne Angabe einer Identität kommt eine Kommunikation zwischen zwei Partnern gar nicht zustande.
Dieser noch sehr junge Ansatz hat international bereits eine recht hohe Aufmerksamkeit erlangt (3) und man erkennt laufend weitere Vorteile, welche eine dezentrale, nutzerzentrierte Lösung bieten könnte. Gerade im Umfeld heterogener Systemlandschaften, die in unserem Alltag und in komplexen Organisationen vielfach vorzufinden sind, bietet ein solcher Ansatz eine ungeahnte Vereinfachung.

Diese Form der elektronischen Identität ist analog zu bisherigen uns wohl bekannten Verfahren. Eine Legitimierung verhält sich genau gleich, wie wir uns täglich gegenseitig unsere Identität in der realen Welt beweisen. Wir holen die geforderten Beweismittel aus unserer Brieftasche und zeigen sie einer prüfenden Stelle. Diese entscheidet anhand des Aussehens und des Inhalts über die Echtheit des Beweismittels, welches wir von anderen vertrauenswürdigen Parteien im Vorfeld erhalten haben (z.B. Identitätskarte oder Fahrausweis).
Wann und wo wir dieses Beweismittel einsetzen, ist dem Aussteller völlig unbekannt, aber es ist in diesem Szenario möglich, dass jeder (ob Person, Organisation oder Ding) Aussteller und Prüfer sein kann.

Referenzen

  1. Es fallen darunter auch Lösungen, bei welchen die Identitätsdaten in Form einer Smartcard dem Benutzer übergeben werden.
  2. Auch unter dem Begriff «Bring Your Own Identity» (BYOI) bekannt.
  3. Weiterführende Informationen zu Self-Sovereign Identity: https://ssimeetup.org
  4. Roadmap zu Self-Sovereign Identity: https://w3c-ccg.github.io/roadmap/diagram.html
Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Cybersecurity als WEF-Thema – ein Kommentar

| 0 Kommentare
/0 Kommentare/in /von

Das WEF wird in Genf ein Zentrum für Cybersecurity eröffnen. Das ist grundsätzlich sehr zu begrüssen. Aber es wirft Fragen auf, die das neue Zentrum ebenso betreffen wie die bisherigen staatlichen und wissenschaftlichen Aktivitäten.

Nach vielen Staaten, der EU Kommission und dem EU Council demonstriert auch das WEF die Dringlichkeit des Themas «Cybersecurity». Es gründet ein gleichnamiges Zentrum in Genf. Nach bisherigen Informationen soll dort die Wirtschaft unter sich bleiben, wobei man über die Medien auch durchblicken liess, dass damit das Niveau der Cybersecurity-Diskussionen stark steige.

Als Beobachter freue ich mich, dass auch im WEF die Relevanz des Themas erkannt wurde. Die Cybergefahren sind nicht nur für Einzelne und Unternehmen gross, sondern auch für den Staat und die Gesellschaft als Ganzes. Was auch immer an Wissen zusammengeführt wird ist gut – dann und nur dann, wenn die demokratisch organisierte Gesellschaft insgesamt davon profitiert.

In der aktuellen Informationslage stellen sich deshalb einige Fragen:

  1. Warum ohne die Hochschulforschung? Nachdem eines der beiden Teams, welches Spectre entdeckte, viele Forschende aus dem Hochschulkontext enthielt, ist es sehr erstaunlich, dass die Hochschulzusammenarbeit nicht geplant ist. Während man in der EU auf die Triple-Helix setzt, das heisst die Zusammenarbeit zwischen Wirtschaft, Staat und Wissenschaft, setzt das WEF auf einen Wirtschaftsblock. Dieser soll sich auch mit den Staaten austauschen.
  2. Wie viel Souveränität werden die Staaten effektiv haben, wenn der Wirtschaftsblock des WEF ihnen erklärt, was sie tun sollen? Und gleich angefügt: Werden sich die Staaten beim Austausch von den von ihnen finanzierten Wissenschaftlern beraten lassen dürfen, oder wird man ihnen das verbieten? Ein stets präsentes Argument ist ja, dass Wissenschaftler ein Sicherheitsrisiko darstellen. Um die Wirkung solcher und ähnlicher Argumente zu entkräften hat die EU vor einigen Jahren für eine offene Zusammenarbeit plädiert, nach dem Motto: geschlossene Produktionszyklen innerhalb der EU, halboffene Zusammenarbeit.
  3. Wie wird die Governance des neuen Zentrums aussehen? Wer hat was zu sagen? Wer bekommt welchen Zugang zu den Resultaten? Wie wird die Schweiz das Zentrum beaufsichtigen? Wir sollten zwei Dinge nicht vergessen. Im Cybersecurity-Bereich sind das Hineindenken in Kriminelle und die Fähigkeit, Regeln ad absurdum zu führen, wesentliche Erfolgsfaktoren für die Verteidiger. Eine Vernetzung der «Kriminellenversteher» ist nicht harmlos. Und: Das Einbrechen in den Zirkel der Verteidiger macht einen Angreifer riesenstark.
  4. Wie sehr taugt das WEF für das Lösen konkreter Probleme? Das WEF hat zwar zu Recht eine hohe Reputation als Ort des internationalen Austausches und des sich Kennenlernens, Wissenschaftler inklusive. Aber seine Konsens-Thesen geniessen nur bedingte Glaubwürdigkeit – teils, weil sie dem sehr ehrenwerten, aber unrealistischen Wunsch nach einer besseren Welt entsprechen, teils weil sie von einem Übermass an Begeisterung für das Neue getragen werden. Angesichts der tollen Winteratmosphäre in Davos ist diese Begeisterung nur zu gut verständlich. Aber dieser Wille zum Guten und dieses Übermass an Einzigartigkeitsgefühlen haben in der Vergangenheit auch zu irreführenden Prognosen geführt: Einst hörte man vom WEF beispielsweise, dass nicht der Gewinn, sondern das Umsatzwachstum zähle. Kurz danach platzte die Internetblase.

Ich bin gespannt, ob es auf diese Fragen Antworten geben wird. Fragen 1 bis 3 könnten vom WEF sofort beantwortet werden, die Antwort auf die Frage 4 wird die Zeit geben.

Ausgehend von den Kernkompetenzen des WEF wäre allerdings eine näherliegende Rolle des WEF der Austausch darüber, worum es bei Cybersecurity eigentlich geht. Denn in der Welt der alltäglichen Cyber-Konflikte, oft auch als Cyberwar bezeichnet, sind die Verbündeten gleichzeitig auch die Feinde. Wie es Henry Kissinger in seinem Buch «World Order» eindrücklich beschrieben hat, gibt es keinerlei Konsens, wie eine Weltordnung für das Internet aussehen könnte, die den Cyberwar beschränkt. Über eine solche Weltordnung zu diskutieren würde gut zum WEF passen. Die Diskussion müsste aber natürlich die Staaten mit einbeziehen.

Der Kontext kurz erklärt

Cybersecurity ist in den USA und in Europa, aber auch in Ländern wie Australien, ein Topthema auf Regierungsebene. In den USA gibt es unter anderem den nicht völlig geglückten Cybersecurity Framework des NIST. In Australien gibt es neben einem eigens zuständigen Minister gut zehn Senior-Berater für den Premierminister zu Cybersecurity. Und beim Digital Summit in Tallinn hat das EU-Council diese Top-Themen lanciert:

  • den Digitalen Binnenmarkt = Grenzabbau + ein sicherer Transaktionsraum in Internet
  • die Cybersecurity
  • und mindestens nebenbei auch das permanente Lernen anstelle des bislang gepriesenen lebenslangen Lernens.

Cybersecurity dient aus Sicht des Diskurses in der EU nicht nur dem Schutz, sondern wird als wesentlicher Baustein für das Schaffen von Vertrauen im Internet angesehen. In der Community hört man dazu meist die Einschätzung, dass in der EU Austausch und Zusammenarbeit auf strategischer und auf technischer Ebene gut funktionieren, es aber Verbesserungspotential in der operativen Zusammenarbeit und in der Vereinheitlichung der Gesetzeslage gibt.

Aus Schweizer Sicht wird die Cybersecurity-Zusammenarbeit zwischen Verwaltung und Wirtschaft durch MELANI sichergestellt, durchaus mit Einbezug von Forschenden. Zudem gibt es einerseits an den ETHs und Universitäten hervorragende Grundlagenforschung und anderseits an den Fachhochschulen exzellente angewandte Forschung zum Thema. In der Praxis lautet die politische Maxime «Jeder muss sich selber schützen». Das kann man durchaus hinterfragen: Das Einfordern von Eigenverantwortung ist zwar sehr vernünftig, die Reduktion auf Eigenverantwortung ist dagegen fragwürdig. Denn jeder, der sich nicht selber schützt, schafft auch ohne böse Absicht zusätzliche Gefahren für andere. Und nicht jeder ist fähig, sich selber zuverlässig zu schützen. Beispielsweise stellt sich im Kontext von E-Government die Frage, ob man nicht insbesondere kleine bis mittelgrosse Gemeinden bei ihrer Cyber-Verteidigung unterstützen sollte.

Eine oft nur sehr unbefriedigend beantwortete Frage ist zudem, was denn gesichert werden soll. Die Wirklichkeit ist, dass heute der Feind in unserer Küche sitzt, in der Gartenkamera und sonst wo. Wir können uns deshalb nicht abgrenzen und müssen die Bedrohung unserer Souveränität akzeptieren. Letztlich können wir nur Rechte von natürlichen und juristischen Personen verteidigen.

 

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.