LNP321 Verluste durch außergewöhnliche Schadensfälle

Feedback — Emotet Ransomware — Tutanota — Instagram Likes — Datenklau an US-Grenzen — Funklöcher — Kulturhackathon

Ein paar Meldungen aber vor allem ein großer Fokus auf das Thema Ransomware. Linus erläutert einmal ausführlich die Funktionsweise und die Entwicklung von Ransomware in den letzten Jahren und worauf man sich als Privatperson oder Unternehmen einstellen sollte und welche Sicherheitsmaßnahmen man ergreifen sollte (Hint: Backups, Backups, Backups und vor allem Backups).

Dauer: 1:41:14

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Prolog

Feedback

Emotet

Tutanota muss Kundendaten preisgeben

US-Bundesgericht sagt verdachtslose Durchsuchung von Geräten von Reisenden ist verfassungswidrig

Instagram testet verstecken der Likes

Reisewarnungen der Bundesnetzagentur

Coding Da Vinci Kulturhackathon

Jobs

52 Gedanken zu „LNP321 Verluste durch außergewöhnliche Schadensfälle

  1. Hallo Tim,

    mir ist in dieser und in der vorletzten Episode aufgefallen, dass Deine Stimme unverhältnismäßig leiser wird, sobald Du etwas leiser redest (meinem Eindruck nach). Nennt man das “Pumpen”? Bin mir nicht sicher, wie der korrekte Begriff dafür lautet, hoffe aber Du kannst mit der Beschreibung etwas anfangen.
    Der Effekt ist etwas subtil, aber wenn man es einmal gemerkt hat, kann man es nicht mehr überhören. Bei Linus scheint dieser Effekt nicht aufzutreten.
    Ich vermute, dass es etwas mit Deinem Audiosetup zu tun hat. Vielleicht schaust Du mal nach, an was es liegen könnte.

    Ansonsten, toller Podcast!

    Viele Grüße,
    Uli

  2. Ein für Instagram netter Nebeneffekt des Versteckens von Likes ist auch, dass Influencer ihre Werbung nicht mehr so leicht selbst vermarkten können. Wie angesprochen ist ein Screenshot leicht gefälscht und die Werbetreibenden müssten sich für verlässliche Zahlen dann direkt an Instagram wenden.

  3. Kleine Korrektur zum ersten Feedback-Thema: Unter Morbidität wird die Krankheitshäufigkeit verstanden. Wahrscheinlich habt ihr sie verwechselt mit der Mortalität, der Sterblichkeit.
    Der Morbi-RSA soll – sehr kurz geasagt – den Finazausgleich zwischen den verscheidenen GKVen nicht nur anhand der Demographie und Einkommensstruktur ihrer Mitgleider schaffen, sondern zusätzlich die Häufigkeit von schweren und daher teuer zu behandelnden bzw. versorgenden Krankheiten berücksichtigen.

  4. Eine Anmerkung zur Telematikinfrastruktur…
    die auf 5 Jahre beschränkte Laufzeit der im Konnektor vorhandenen Zertifikate:
    Eine Verlängerung der Zertifikate ist nicht vorgesehen. Es muss der komplette Konnektor ausgetauscht werden. Die 5 Jahre Laufzeit gelten ab Produktion des Konnektors, nicht ab Installation. Keine Ahnung, wer den Austausch des Plasterouters zahlen wird, aber ich würde da mal von 1-2 Stunden Arbeitszeit bei einer kleinen Praxis ausgehen…. Dazu kommen natürlich die Hardwarekosten….

  5. Zum Feedback:
    Wenn doch jetzt alle bishher pseudonymisiert übermittelten Daten nicht mehr pseudonymisiert sind könnte man jetzt doch die alten Daten den Personen zuordnen, oder nicht?

  6. Zum Thema Nutzen der Gesundheitsdatensammlung: es nutzen mir nicht nur potentiell meine eigenen Daten. Die Möglichkeit, über die gesamte Bevölkerung Statistiken anfertigen zu können, könnte schon interessante Forschungsergebnisse bringen, die dann langfristig allen zugute kommen. Sowas wie SELECT Verschreibungen.ibuprufen FROM patienten WHERE Diagnose CONTAINS “Nierenversagen”; Da alle Daten zu haben und nicht nur unkontrollierte mit bias versehene Stichproben kann schon wertvoll sein.

  7. Schön, dass ihr das Thema mal ausführlicher erklärt habt. Interressant gewesen wären noch die Begriffe Speer-fishing und Dynamit-fishing. Die hört man in diesem Zusammenhang ja auch häufig.

  8. Zum Thema Backups: Ich hatte früher eine umfangreiche Backupstrategie, umfassend eine Kombination von Backblaze, unregelmäßigen Snapshots auf externen Festplatten und Time Machine auf mein Raspberry Pi NAS.

    Nun habe ich aber Ende letzten Jahres mein MBP verkauft und besitze keinen „richtigen“ Computer mehr, mein Daily Driver ist jetzt ein iPad. Wie würdet ihr hier ein Backup angehen? Gerätebackups, iCloud Drive und Foto Library werden zwar bestimmt von Apple nicht nur auf einer einzigen kalifornischen Festplatte gespeichert, gegen versehentliches Löschen oder gar Ransomware hilft mir das nur eben auch nicht…

    • Das Standard-Backup vom OS auf iCloud Drive sollte man auf jeden Fall nutzen. Damit ist man schon mal in der Situation, immer auf ein aktuelles Backup zugreifen zu können.

      Zusätzlich empfiehlt sich in regelmäßigen Abständen ein Backup unter Zuhilfenahme eines Macs, wenn Du noch einen hast.

      So richtige Backup-Software für iOS gibt es afaik nicht, da sie gar nicht die nötigen Zugriffsrechte bekommen würden.

  9. Super Folge, wie immer! @Linus ich nehme an Du verschlüsselst Deine Eichhörnchen-Backups. Wie merkst Du dir die ganzen Passwörter zu den jeweiligen Backups?

  10. Hallo Linus,
    eine Frage zu Ransomware und ihren Infektionswegen: Können wir uns denn so sicher sein, dass künftige Evolutionsstufen dieser sympathischen Geschäftsidee beim Angriffsvektor E-Mail-Anhang und der Schwachstelle Mensch bleiben werden? Wäre es nicht auch denkbar, dass den Urhebern eines Tages z.B. ein 0-day Exploit für einen weit verbreiteten Browser oder ein OS in die Hände fällt und RCE, in dem Fall also das Verschlüsseln von Dateien, ermöglicht? Verbunden mit etwas Wurm-Funktionalität (weitere vulnerable Systeme suchen und infizieren) male ich mir da gerade ein nicht unerhebliches Schadpotenzial aus.

    • Man kann sich natürlich alle möglichen dystopischen Fantasien erdenken, aber letztlich wird hier immer der Weg des geringsten Widerstands gewählt werden. Die Produktionsketten von Betriebssystemen sind sicherlich nicht unpenetrierbar, aber mit Sicherheit eher ganz oben in der Unwahrscheinlichkeitsskala. Ähnliches gilt für Applikationen, wenn auch in abgemildeter Form. Grundsätzlich sollte man einfach die Trends verfolgen – es lässt sich nicht voraussagen, auf welcher Ebene die nächste Bedrohung lauern wird (auch wenn es ein paar heiße Kandidaten gibt wie z.B. der ganze IoT-Wahnsinn).

    • Ja, bei Wannacry war genau das auch schon der Fall.
      Klar können wir nicht darauf vertrauen, dass es bei der Schwachstelle Mensch bleibt – aber solange es sie gibt, braucht niemand kompliziertere Tricks zu machen.

  11. Eine Frage zu dem Problem, dass ein klassischer Benutzer-PC mit Windows bereits infiziert ist (man aber noch nicht davon weiß, also noch die “auf der Lauer liege Phase”). Und nun ruft der Nutzer, wie in eurem Bsp., den “Tim von der IT”, weil z.B. der Drucker nicht läuft…
    Wie wäre euer Vorschlag, es zu vermeiden, dass der Admin sich mit einem Administrator-Konto aus dem AD einloggt?
    Wäre es sinnvoll (oder zumindest besser), wenn z.B. auf jedem Benutzer-PC noch ein rein lokales Admin-Konto existiert, was aber keine Rechte im AD hat? (und natürlich für jeden PC eine einzigartige Konto/PW Kombination hat). Bei kleineren Firmen mit sagen wir mal max 20 Geräten könnte man das sogar noch mit einer zur Not handschriftlichen geführten Liste mit Konto/PW handhaben.
    Klar macht es auch das für den eh schon betroffenen PC u.U. noch schlimmer, aber zumindest verhindert man dadurch, dass sich die Erpresser durch das ganze System bis zu den Admin Konten auf den (Backup-) Servern “durchfressen” können (mal von Exploits wie EternalBlue o.ä. abgesehen…)
    Klar, alle mit normalen Benutzerrechten löschbaren Dateien rettet auch nur ein Backup.

    • Du brauchst keine lokalen Admin-Konten. Man kann im AD die Rechte feingranuliert vergeben und AD-Administrator von Rechner-Administratoren (ich nens mal so) trennen. Letzteres Konto hat dann auf den Benutzerrechnern und zwar nur da Admin-Rechte.

      Man kann da schon ne Menge machen. Ist halt kompliziert und arbeitsaufwendig. Und man muss wissen was man tut (ich wüsste es nicht).

  12. Ich bin nicht ganz so eichhörnchenmässig unterwegs, wenn es um meine Backups geht, habe aber auch alles auf Festplatten, die nicht immer an den Systemen hängen. Hatte mal ‘ne zeitlang ein FreeNAS am Start dafür, aber tatsächlich hätte mir dieses System während der Testphase ohne zutun ausgerechnet die Dateien gefressen, die ich am allerdringendsten brauche (die Babyfotos und -filme), wenn ich nicht noch mehr Backups gehabt hätte. Also ist FreeNAS und ZFS für mich jetzt gestorben.

    Meine Frage ist jetzt aber vor allem:

    Wie richte ich ein Pull-Backup ein, so dass der pullende Rechner unbeaufsichtigt und automatisch die Daten zieht?

    Rsync? Dafür müsste ich ja ssh keys auf dem Server eingerichtet haben, so dass der sich automatisch mit dem Client verbinden kann und wenn rsync das kann, dann kann das ja auch ein Angreifer mit einem normalen Terminal und kommt damit ganz leicht auf den Client Rechner.

    Ich könnte mir noch vorstellen, dass ich Syncthing benutze und Syncthing sich das Zeug von den Client Rechnern zieht.

    Oder habe ich etwas grundsätzlich falsch verstanden, dann schickt mich doch bitte zu Lese/lernmaterial wie ich ein Pull-Backup “richtig” einrichte.

    Und: wenn Ransomware den Backupserver befällt ist das ja auch wieder ein großes Problem, wobei meine Strategie ist, dass der Backupserver mittels Backblaze off-site gesichert wird.

  13. zu den Backups:

    Hier bietet sich ein Backup zu einem der bekannten großen Cloud-Anbieter (Dropbox, Microsoft, Amazon?) natürlich auf den ersten Blick an. Diese werden wohl nicht so schnell mit dem Wurm aus dem Firmennetz befallen. (Datenschutzfragen mal hinten angestellt.)

    Zwar sind diese Cloud-Speicher dauerthaft eingebunden, aber solche Anbieter versionieren Dateien in der Regel. Sieht also erstmal gut aus.

    Leider kann der User auch alle vorigen Versionen seiner Dateien löschen. Insbesondere ein Wurm, der sein Opfer zunächst ausspioniert, könnte dies also ebenfalls tun.

  14. Der junge Mann, dem die Einreise zwecks Studienantritt an der Harvard University zunächst verweigert wurde, ist ein Palästinenser, der zuletzt im Libanon gelebt hat. Du hast schon Recht, Linus, dass ein angehender Harvardstudent vergleichsweise gute Möglichkeiten hat, sich zur Wehr zu setzen und damit ein denkbar schlechtes Ziel für Schikane ist. “Hochintelligent” wird er sicher sein, wie du sagtest, und die Rückendeckung dieser Institution hilft natürlich enorm. Aber “vollprivilegiert” erscheint mir zweifelhaft, sonst wäre ihm das wohl auch gar nicht erst passiert.

    • Ja, je nach Perspektive kann man diesen Studierenden an der international renommiertesten Universität mit einer Regelstudiengebühr von 52.000 USD pro Jahr auch als unterprivilegiert wahrnehmen. Aber dann verbrennt man sich die Finder – so wie die Grenzbeamten.

      • Ich habe nicht bestritten, dass er wichtige Privilegien genießt. Vor allem deshalb ist es ihm inzwischen doch noch gelungen einzureisen und sein Studium anzutreten.

        Aber hinsichtlich seiner Herkunft und Hautfarbe ist er eben sehr wohl unterprivilegiert und nur deshalb ist ihm die Einreise zunächst verwehrt worden.

        Du kannst dich gern darüber lustig machen, aber weiß zu sein ist und bleibt ein mächtiges und unkäufliches Privileg.

        • Das streitet doch niemand ab.
          Mich würde aber interessieren, wie du Privilegien zusammenrechnest. Kann jemand mit dunkler Hautfarbe grundsätzlich nicht privilegiert sein, auch wenn er auf Harvard studiert?
          Oder ist es benachteiligten Menschen vielleicht möglich, auch in eine privilegierte Position zu gelangen, beispielsweise wenn sie Harvard-Student, Millionärin oder Präsident werden?
          Wie kombinieren sich da die Privilegien und Benachteiligungen des Individuums?

          • Natürlich kann jemand mit dunkler Hautfarbe privilegiert sein, das habe ich nicht bestritten. Ich versuche nochmal ausführlicher zu verdeutlichen, worum es mir geht.

            Es gibt eine Vielzahl von Privilegien, manche kann man durch Glück oder Arbeit erwerben, andere nicht. Zur letzteren Gruppe gehören neben der Hautfarbe z.B. auch die sexuelle Orientierung und Identität. Auch eine glückliche Kindheit ist ein Privileg, das einem weitestgehend durch Zufall zuteil wird.

            Mindestens in der amerikanischen Gesellschaft, in der ich derzeit lebe, wahrscheinlich aber auch in der deutschen, aus der ich stamme, kombinieren sich die Privilegien leider oft so, dass jeder noch so honorige Titel, jeder Wohlstand, jede Lebensleistung im Zweifel durch die Hautfarbe annuliert werden kann. Beispiele dafür gibt es zu viele. Konkret wegen des Bezugs zu Harvard seien die Fälle von Botham Jean und Henry Louis Gates Jr. genannt.

            Ersterer, ein Harvard Alumnus, wurde unschuldig und unbewaffnet in seiner eigenen Wohnung von einer Polizistin erschossen. Sie hatte sich in der Tür geirrt und hielt ihn, bedingt durch seine Hautfarbe, für einen Einbrecher.
            https://en.m.wikipedia.org/wiki/Murder_of_Botham_Jean

            Letzterer, ein prominenter Harvard Professor mit eigener Fernsehsendung, hatte das Glück, nur verhaftet zu werden wegen des Versuchs die klemmende Tür seines eigenen Hauses aufzustemmen.
            https://en.m.wikipedia.org/wiki/Henry_Louis_Gates_arrest_controversy

            Auch ein weiterer Harvard Alumnus, der schwarze Präsident, auf den du anspielst, blieb in den Köpfen vieler trotz der erreichten Amtswürde “nur” ein Schwarzer. Deshalb durfte er sich z.B. von seinem späteren Nachfolger rassistische Verschwörungstheorien über seinen Geburtsort gefallen lassen.

            Das mit der Hautfarbe nach wie vor verbundene Stigma legt man nie ab, welche Privilegien man auch immer ansonsten genießen sollte. (Im Übrigen ist mir sehr bewusst, dass sich hier zwei Weiße über Rassismus unterhalten…)

            Zum konkreten Fall möchte ich nochmal betonen, dass Ismail Ajjawi vor seiner letztlich erfolgreichen Einreise in die USA als palästinensischer Flüchtling im Libanon gelebt hat. Sein Studium wird durch ein karitatives Stipendium ermöglicht, nicht etwa durch reiche Eltern. Wie auch immer sich sein Leben nach dieser glücklichen Fügung weiterentwickeln mag, “vollprivilegiert” hat er es bisher sicher nicht gelebt und ein wichtiges, oft entscheidendes, Privileg wird ihm immer fehlen. Diese Charakterisierung ist es, woran ich Anstoß genommen habe.
            https://www.aljazeera.com/news/2019/08/harvard-university-student-palestine-denied-entry-190828051418070.html

            Deine Assoziation zwischen Privileg/Wohlstand und Harvard ist natürlich nicht unberechtigt und die Formulierung als spontane Äußerung nachvollziebar. Mit dem zusätzlichen Kontext, den ich versucht habe zu bieten, sollte aber doch auch einzusehen sein, dass sie für dieses Individuum unberechtigt ist, oder?

  15. Guten Morgen ihr Lieben,
    der C3 steht ja inzwischen wieder kurz bevor und mir ist heute eine Idee für das Problem eingefallen, dass manche Menschen mit Flaggen haben. Ihr erinnert euch doch bestimmt an den Vorfall, dass beim letzten C3 welche entwendet wurden.
    Es ist aus meiner Sicht sehr legitim zu kennzeichnen, dass ein bestimmter Bereich, eine bestimmte Gruppierung, aus einem Land kommt oder eine bestimmte Sprache spricht.
    Anstelle der Landesflaggen könnte man dazu umsatteln, dass diese Gruppierungen Flaggen mit den Autokennzeichen aufstellen. (https://de.wikipedia.org/wiki/Liste_der_Kfz-Nationalit%C3%A4tszeichen)
    Damit sollten die Probleme beider Seiten eigentlich behoben sein.

    Ich denke, dass ihr das besser in die entsprechenden Kreise streuen könnt als ich ;-)

    Lieben Gruß,
    David

  16. Mich würde ja mal interessieren, ob der Mail Anbieter mal versucht hat, die “Klartext” Daten, so wie sie auf dem Server liegen, einfach aus zu händigen.
    Oder mit Tims worden im Bezug auf Nutzung von Backup Servern bei der Steuererklärung: “Es kommt immer auf die Definition an.” :-)
    Frei nach dem motto: “Gerne übersenden wir Ihnen die Daten von XYZ, wie sie auf unseren Servern liegen…”

    Ich habe gelernt, dass es manchmal doof ist, wenn man für die Leute zu viel vorarbeitet.

  17. Lieber Linus, lieber Tim,
    Danke für die spannende Sendung! :) Zwei Sachen zu Emotet sind mir aufgefallen:
    1) Emotet ist keine Ransomware, es hat selbst keinerlei Verschlüsselungsfähigkeiten, sondern beschränkt sich auf das “Lateral Movement” und das Nachladen anderer Software. Warum diese Wortklauberei? Weil
    2) Die Emotet-Gang selbst begnügt sich in vielen oder sogar allen Fällen damit, die initiale Infektion durchzuführen und verkauft dann die Zugänge auf infizierte Maschinen an andere Gruppen, die dann deren eigene/eingekaufte Malware nachladen können. Das sind dann oft Trickbot, ein Trojaner oder Ryuk, eine Ransomware. Zumindest meiner Meinung nach ist das auch der Grund, warum Emotets Spamkampagnen oft extrem breit sind; erst möglichst viel infizieren und dann verkaufen, was sich lohnt. Sprich: Dort herrscht ganz normale “Arbeitsteilung” und es gibt nicht eine Gruppe, die groß und fähig genug ist, all diese Infektionen auf der ganzen Welt so intensiv zu verwalten, das wär dann noch ein bisschen angsteinflößender als das Zeug eh schon ist ;)

    LG,
    dimir

    Quellen:
    https://www.zdnet.com/article/emotet-todays-most-dangerous-botnet-comes-back-to-life/
    https://www.virusbulletin.com/virusbulletin/2019/10/vb2019-paper-exploring-emotet-elaborate-everyday-enigma/

      • zu 1) Hm, kam für mich nicht so klar raus — also ja, bei den Feature-Erklärungen sagst du natürlich nicht, dass Emotet verschlüsseln kann, aber in der Einleitung heißt’s zweimal, dass Emotet eine Ransomware ist und erst später sagst du dann explizit, dass es keine ist, was mir für Leute, die sich noch nie mit dem Thema auseinandergesetzt haben, etwas verwirrend erscheint ;) Vlt is es mir auch nur deshalb aufgefallen, weil ich in letzter Zeit einige Leute getroffen hab, die Emotet für eine Ransomware hielten, weil sie das so aus Medienberichten herausgelesen haben wollen.
        zu 2) Also dass da unterschiedliche “Firmen” am Werk sind für Infektion vs. Einspielen der Ransomware verantwortlich sind und Zugänge weiterverkauft werden, hätt’ ich so nicht rausgehört, aber vlt war ich einfach nicht aufmerksam genug.

        LG,
        dimir

  18. Oben wurde ja schon ZFS von Linus als Dateisystem der Wahl genannt, auch wenn mir das eher aufwändig erscheint für heterogene Systeme (Win, Mac und Linux in einem Haushalt).

    Gibt es denn eine Empfehlung für ein Cryptotool der Wahl, welches mit allen drei Welten harmoniert? Idealerweise eine echte Empfehlung, die aus eigener, positiver Erfahrung resultiert. Sind ja Wunschwochen 8-)

    • ZFS ist kein Crypto-Tool, sondern ein Filesystem. Und wenn dein Server das versteht, können alle anderen Systeme per AFP, SMB, NFS, FTP, WebDAV oder jedem anderen präferierten Protokoll darauf zugreifen.

      • Da haben wir uns wohl ein wenig missverstanden ^^

        ZFS als Dateisystem, da sind wir uns ja einig. Jetzt haben wir also eine schöne, neue Platte (Eichhörnchen würde sagen: eine neue Eichel), die aber komplett offen ist, da nicht verschlüsselt.

        Die Frage ist nun: welches Verschlüsselungstool nutze ich für diese Eichel, damit Mac, Windows und Linux dort lesen und schreiben können bei lokaler Anbindung per USB?

        Früher hätte ich Truecrypt gesagt, leider ist das raus. Veracrypt scheint zumindest bei Mac ja noch einen Zusatz zu benötigen…was also nimmt die heterogene Familie von Heute als gemeinsame Basis?

  19. Das Verstecken von Likes ist alles andere neu.

    Hacker News (news.ycombinator.com) hat das schon vor vielen Jahren eingeführt, und es galt sofort als großer Erfolg, in einer relativ großen Community.

    Zu der Zeit nannte man das übrigens nicht Likes, sondern Upvotes, und die sammelte man nicht auf Facebook oder Instagram, sondern auf Reddit.

    Wenn man unterstellt, dass die Programmierer hinter Instagram auch ba und zu Hacker News lesen, verwundert es schon, warum sie das als großes Experiment verkaufen und nicht Anwendung eines bekannten Prinzips.

    Eigentlich ist es die Implementierung eines lange bekannten, längst überfälligen Features.

    • Ein überfälliges Feature wäre es nur dann, wenn das Ziel der Plattform ein gesundes Miteinander der Benutzer wäre.

      Das “Experiment” bei Instagram besteht doch nicht darin, ob die Community besser funktioniert oder nicht, sondern ob die Werbeeinnahmen dadurch steigen oder sinken. Jenachdem war dieses “Experiment” erfolgreich oder nicht.

  20. Was genau würdet ihr jemanden empfehlen, der sich jetzt erst mit Backups eines Win10-Systems beschäftigt.
    Für meinen Mac nutze ich Timemachine. Reicht das Windows 10-Bordmittel auch? Oder nutzt ihr andere Software? Welche Festplatten wäre zu empfehlen? Ich würde gern auf ein USB-Laufwerk sichern.
    Danke!

  21. Eine Anmerkung zur Breitbandmessung… Ich bin regelmäßig im Zug in Deutschland unterwegs und habe genauso regelmäßig Probleme mit dem Breitband. Übrigens genau so wie das WLAN der DB, was ja auch über Breitband angebunden ist. Nun braucht die Breitband App für die Feststellung des wo einer Messung GPS. Kann ich verstehen. Allerdings habe ich bisher noch keinen oder kaum GPS Empfang im Zug. Damit kann die Messung dort auch nicht statt finden. In einem Moment wo ich viel Zeit für Breitband Nutzung habe und fürs arbeiten im Zug auch gerne nutzen möchte, funktioniert es nicht und ich habe keine Chance es zu melden. :(

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.