Simulierte Cyberattacken: Übungen als Schutz vor Cyberrisiken?

Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und simulieren Cyberattacken, um ihre Mitarbeiter zu sensibilisieren. Grund dafür ist der explosionsartige Anstieg von Cyberbedrohungen. Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Angestellten prüfen möchte: Die Simulation von Cyberattacken trägt zu einer erhöhten Wahrnehmung von Cyberrisiken bei.

Kennen Sie Jeremy aus dem Marketing-Team? Den Neuen im Team aus dem ersten Stock? Sie halten ihn für harmlos? In Wahrheit ist Jeremy ein sehr erfahrener Hacker, der vom Unternehmensleiter eingestellt wurde, um vor Ort einen Penetrationstest durchzuführen. Ihm wurde freie Hand gelassen, und seine Kollegen werden dies bald entdecken. Diese Geschichte könnte geradezu aus einem Thriller stammen, findet sich jedoch in der 36. Folge des Cybersicherheits-Podcasts Darknet Diaries, die »Jeremy from Marketing« getauft wurde. Hierbei geht es um einen internen Angriff, der möglichst viele Schwachstellen aufdecken und somit das Sicherheitsniveau der Infrastrukturen und Netzwerke einstufen soll.

 

Das Simulationsgeschäft boomt

Anzeige

Heute bieten immer mehr Unternehmen Penetrationstests sowie praktische Übungen für Mitarbeiter an. Rollenspiele, simulierte Cyberattacken – die Entwicklung der Cybersicherheitskultur in Unternehmen wird immer immersiver. Ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Mitarbeiter prüfen möchte, solche Aktivitäten können tatsächlich zur erhöhten Wahrnehmung potenzieller Bedrohungen beitragen.

Pentesting oder Bug-Bounty-Programme, mit denen man ein Produkt oder eine Netzwerkinfrastruktur angreift, um ihre Stabilität oder Sicherheit zu beweisen, sind in der Cyberwelt mittlerweile gängig. Häufig greifen Unternehmen sogar auf externe Anbieter zurück, um ihre Sicherheitsvorkehrungen prüfen zu lassen. »Beim Black-Box-Pentesting hat die beauftragte Person Zugriff auf realen Daten und wird versuchen, das Netzwerk von außen anzugreifen«, erklärt Uwe Gries, Country Manager DACH bei Stormshield. »Andererseits kann man besagter Person auch Zugriff auf Code und Ablaufregeln gewähren, damit sie durch Korrekturlesen des Codes versucht, die Schutzmechanismen zu umgehen. Dies nennt man dann White-Box-Pentesting.«

Einer Berücksichtigung würdig sind ebenfalls Wettkämpfe zwischen Red und Blue Teams. Dabei testet das Red Team die Sicherheit eines Betriebs, eines IT-Netzwerks oder einer Anlage durch Hacking-Techniken, während das Blue Team versucht, die Attacke abzuwehren. Im Juni 2019 hatte das französische Verteidigungsministerium beispielsweise eine solche Simulation mit dem Ziel vorgenommen, »den Handlungen des Gegners vorzugreifen«. Solch eine Simulation einer Cyberattacke soll also die Schwachpunkte eines Unternehmens kenntlich machen. Weitere Teams, wie in der sogenannten BAD-Pyramide (Build, Attack, Defend«) erwähnt, können zusätzlich hinzugezogen werden, wenn man die Übung noch effizienter gestalten möchte.

 

Anzeige

Fallen können zur Sensibilisierung beitragen

Eine vor Kurzem durchgeführte IBM-Studie, die im Blog usecure genannt wird, unterstreicht, dass menschliches Versagen 95 % der Sicherheitslücken eines Unternehmens ausmacht. Anders ausgedrückt: Die korrekte Handhabung des menschlichen Faktors könnte die meisten Lücken ausmerzen, da die reine Absicherung des Perimeters unzureichend sein und jede Person ein Angriffsvektor werden kann. 30.000 Mitarbeiter des französischen Wirtschaftsministeriums gerieten in die Falle, die von ihrer eigenen Sicherheitsabteilung mit dem Ziel gestellt wurde, die den Phishing-Risiken ausgesetzten Mitarbeiter zu sensibilisieren und ihnen beizubringen, wie sie mit potenziellen Angriffen und den daraus resultierenden Schäden umgehen können. Und das mit Erfolg!

Aufgrund des Kostenfaktors solcher Vorgänge kann sich jedoch nicht jedes kleine oder mittlere Unternehmen leisten, solche Cyberübungen umzusetzen. Aus diesem Grund entscheiden sich die CISOs dann eher dafür, sich vom Prinzip des Red- und Blue-Team-Rollenspiels in kleinerem Umfang inspirieren zu lassen. Um realitätsnahe Bedingungen zu schaffen, sollten die zu attackierenden Mitarbeiter möglichst nichts von der Übung wissen. So könnte beispielsweise einem Mitarbeiter der Personalabteilung unwissentlich eine Falle gestellt werden, um die ordnungsgemäße Umsetzung der notwendigen Schutzmaßnahmen für eine Datei mit personenbezogenen Daten zu prüfen. Andere müssten dabei versuchen, mittels verschiedener technischer oder sozialer Methoden auf diese Datei zuzugreifen. Damit kann der CISO Parallelen zwischen der simulierten Cyberattacke und den wesentlichen Grundsätzen der IT-Sicherheit (etwa Schutz der Passwörter oder grundlegende Regeln für den Schutz vor verdächtigen E-Mails) ziehen.

»Eine gute praktische Übung ist sicherlich tausendmal so wirksam wie eine Powerpoint-Schulung«, betont Gries. Die Herausforderung besteht darin, die Übungen der Penetrationstests oder Rollenspiele mit effizienter Sensibilisierung zu verbinden. »Man muss sich also die Zeit nehmen, um die Übung in einen allgemeineren Kontext einzuordnen und die Cyberattacke schrittweise zu analysieren, um so alle Lehren hieraus ziehen zu können«, führt er fort. »Manchmal ist es sogar von Vorteil, einige Monate später die praktische Übung zu wiederholen, um zu sehen, ob sich das Verhalten der Mitarbeiter geändert hat und die Sicherheitsvorkehrungen für solche Angriffe auch verstanden wurden«, fügt Gries hinzu.

 

Wir sprachen bereits mehrmals über verschiedene Möglichkeiten zur Erreichung einer effizienten und resilienten Cybersicherheitskultur in den Unternehmen: vom Lehren der Cybersicherheit in Schulen bis hin zur Haftung der Mitarbeiter. Im Jahr 2020 sind die meisten IT-Abteilungen zwar noch auf der Suche nach der richtigen Sensibilisierungsmethode, doch kann man damit rechnen, dass die praktischen Übungen und sonstige simulierte Cyberattacken schon bald in ihren Katalog aufgenommen werden könnten.

 

Zu langsam, um Hackern das Handwerk zu legen

Unternehmen weltweit benötigen über sechs Tage, um Hacker aus ihren Systemen zu verbannen.

Illustration: Absmeier, 2234701

CrowdStrike gab die Veröffentlichung des CrowdStrike Global Security Attitude Survey 2019 bekannt, die vom unabhängigen Forschungsunternehmen Vanson Bourne erstellt wurde. Im Rahmen der Studie wurden 1.900 hochrangige IT-Entscheidungsträger und IT-Sicherheitsexperten in den USA, Kanada, Großbritannien, Mexiko, dem Nahen Osten, Australien, Deutschland, Japan, Frankreich, Indien und Singapur aus allen wichtigen Industriesektoren befragt. Der Bericht befasst sich mit den Einstellungen und Überzeugungen der Cybersicherheitsverantwortlichen und ermittelt, wie sie sich gegen gut ausgestattete nationalstaatliche Angreifer behaupten.

Die Umfrage ergab, dass Unternehmen weltweit im Durchschnitt über sechs ganze Tage (insgesamt 162 Stunden) benötigen, um Cyberangriffe zu entdecken, auszuwerten und zu beheben. Durchschnittlich brauchen sie 31 Stunden, um einen Cyberangriff einzudämmen, nachdem sie ihn erkannt und untersucht haben. Infolgedessen gibt die Mehrheit der Befragten (80 %) an, dass sie in den letzten zwölf Monaten nicht in der Lage waren, Eindringlingen in ihrem Netzwerk den Zugriff auf ihre Zieldaten zu verwehren. Die Ursache hierfür sehen 44 Prozent in einer langsamen Erkennung.

Unternehmen aus den wichtigsten Branchen weltweit sind folglich nicht ausreichend darauf vorbereitet, innerhalb der Breakout-Zeit auf Angriffe der größten Cybergegner zu reagieren. (Breakout-Zeit = die kritische Zeitspanne, die ein Eindringling benötigt, um in weitere Systeme eines Netzwerks vorzudringen, nachdem er den ersten Endpunkt kompromittiert hat). Zukunftsorientierte Unternehmen sollten versuchen, so gut wie möglich die 1-10-60-Regel zu beherzigen: Bedrohungen in einer Minute erkennen, in zehn Minuten untersuchen und in 60 Minuten beheben.

Einige der wichtigsten Ergebnisse des Berichts sind:

  • Derzeit kommen 95 Prozent der Befragten nicht annähernd an diese Best-Practice-Empfehlung heran.
  • Nur 11 Prozent der befragten Unternehmen können einen Eindringling in weniger als einer Minute erkennen, nur neun Prozent können einen Vorfall in zehn Minuten untersuchen, nur 33 Prozent können einen Vorfall in 60 Minuten eindämmen, und nur fünf Prozent können alle drei Maßnahmen in der empfohlenen Zeit durchführen.
  • Obwohl 86 Prozent die einminütige Erkennung als »Game-Changer« der Cybersicherheit für ihr Unternehmen ansehen, ist die Erkennung von Eindringlingen für nur 19 Prozent der Befragten der primäre Schwerpunkt in der IT-Sicherheit.

Der Global Threat Report 2019 von CrowdStrike (http://ots.de/pBTEpr) bietet Unternehmen wertvolle Einblicke in die verschiedenen Breakout-Zeiten von Cyberkriminellen. Der Bericht zeigt, dass russische Angreifer die schnellsten aller Cyberakteure sind und in weniger als 19 Minuten von ihrem ursprünglichen Startpunkt aus agieren können. Die langsamsten Gegner (eCrime-Akteure) benötigen knapp zehn Stunden. Somit zeigt die Global-Security-Attitude-Umfrage, dass die Unternehmen nicht in der Lage sind, die aktuell operierenden großen Cybergruppierungen zeitnah zu erkennen, zu verstehen oder zu unterbinden, um Bedrohungen für die eigenen Organisationsnetzwerke zu verhindern.

Die Bedenken der Unternehmen bezüglich der Art der Angriffe waren im Bericht auch unterschiedlicher Natur. Zu den wichtigsten Erkenntnissen gehören:

  • 2019 gaben 34 Prozent der Befragten an, bereits mehrfach Opfer eines Angriffs auf die Software-Lieferkette geworden zu sein (im letzten Jahr oder davor). Diese Zahl hat sich im Vergleich zu 2018 (16 Prozent) somit mehr als verdoppelt. Konträr dazu ist jedoch die Angst vor Angriffen auf die eigene Lieferkette von 33 Prozent (in 2018) auf 28 Prozent gesunken.
  • In gleicher Weise hat sich auch die Zahl der Unternehmen, die Lösegelder zahlen, um die bei einem Angriff auf die Software-Lieferkette verschlüsselte Daten wiederherzustellen, von 14 Prozent auf 40 Prozent fast verdreifacht. Die Analyse zeigt, dass über 50 Prozent der Lebensmittel- und Getränkeindustrie, des Gastgewerbes sowie der Unterhaltungs- und Medienindustrie in den letzten zwölf Monaten Lösegelder gezahlt haben.
  • Durchschnittlich 83 Prozent der Befragten glauben, dass nationalstaatlich initiierte Angriffe eine klare Gefahr für Unternehmen in ihrem Land darstellen, wobei Indien (97 %), Singapur (92 %) und die USA (84 %) sich am stärksten durch nationalstaatliche Angriffe bedroht sehen.

 

»Egal woran es liegt – am Willen, zu handeln oder an der Fähigkeit, angemessen zu handeln – es gelingt den Unternehmen nicht, die Reaktionsgeschwindigkeit zu erreichen, die erforderlich ist, um anspruchsvolle nationalstaatliche Gegner, die auf alle Arten von Organisationen abzielen, zu erkennen«, sagt Thomas Etheridge, Vice President von CrowdStrike Services. »Es besteht nach wie vor ein großes Vertrauen in die bestehende Legacy-Infrastruktur. Diese wird allerdings den heutigen Sicherheitsanforderungen, die einen ganzheitlichen Ansatz erfordern, um Bedrohungen zu stoppen, nicht gerecht. Zukunftsorientierte Unternehmen sollten deshalb einen plattform-basierten Ansatz verfolgen, der den Teams umfassende Transparenz und Schutz bietet, um ein breites Spektrum an Sicherheits- und Betriebsanforderungen zu erfüllen.«

 

[1] Für weitere Informationen laden Sie das Whitepaper »2019 CrowdStrike Global Security Attitude Survey« herunter (http://ots.de/iYBp8B). Hier (http://ots.de/E3hePA) finden Sie auch einen Blogbeitrag von Thomas Etheridge von CrowdStrike.

 

 

116 Artikel zu „Penetrationstest“

Darauf sollte bei Penetrationstests geachtet werden

Penetrationstests mit gezielten Angriffsszenarien zeigen den Unternehmen auf, ob in den untersuchten Systemen Sicherheitsschwächen bestehen. Diese Erkenntnisse versetzen Unternehmen in die Lage, gezielte Maßnahmen zum Schutz vor echten Angriffen und potenziellen Verlusten zu ergreifen. Security Analyst André Zingsheim von der TÜV TRUST IT beschreibt einige wichtige Aspekte, auf die bei der Planung und Durchführung von…

Penetrationstests decken IT-Sicherheitslücken rechtzeitig auf

  Schwachstellen in der Unternehmens-IT selbst erkennen, bevor sie ein Angreifer finden und ausnutzen kann – das ist die Idee eines Penetrationstests. Sorgfältig geplant und von einem professionellen Dienstleister auf Netzwerk- und Systemebene oder auf Applikationsebene vorgenommen, erweist sich solch ein Test als effiziente Maßnahme gegen die wachsende Bedrohung durch Cyberkriminalität. Cybersecurity und IT-Sicherheit gehören…

Penetrationstests: 3 Argumente für den Security-Beauftragten

Es gibt einige gesetzliche Vorschriften die zur Durchführung von Penetrationstests zur Bestimmung von Lücken in der IT-Sicherheit motivieren. Dennoch stufen viele Unternehmen das Thema noch als wenig bedeutsam ein. Entsprechend stiefmütterlich werden Penetrationstests in vielen Unternehmen behandelt. Mit Hilfe von drei Argumenten können gewissenhafte Security-Beauftragte ihre Chefs aber von umfassenden, individuell angepassten Penetrationstests überzeugen. Wie…

Bei zwei Prozent der Online-Transaktionen im Banken- und E-Commerce-Sektor waren 2019 Betrüger am Werk

Der Fraud Prevention Report analysiert betrügerische Aktivitäten gegen Finanzdienstleister und Online-Handel. Im vergangenen Jahr wurde eine von 50 Online-Transaktionen im E-Banking und Online-Handel von Betrügern durchgeführt – trotz des vermeintlich niedrigen Prozentsatzes ein besorgniserregender Wert, wenn man bedenkt, dass hierbei finanziell relevante Prozesse von Kriminellen getätigt wurden. Zudem waren laut der Experten von Kaspersky 16…

Cybersicherheit in Unternehmen: Maßnahmen auf allen Ebenen

  Daten, Daten, Daten … Kein modernes Unternehmen kommt ohne sie aus. Der Aktenordner ist zwar noch nicht völlig abgeschafft, aber längst sind die meisten Informationen digital gespeichert und werden auch entsprechend virtuell transferiert. Das meiste Material ist dabei nicht für Außenstehende bestimmt, sondern es handelt sich um firmeninterne Daten, teilweise sogar mit hohem Geheimhaltungsbedarf.…

Menschlichen Fehlern vorbeugen: Wie IT-Infrastrukturen Human Nature Proof werden

Cyberangriffe nehmen weltweit zu. Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik waren zuletzt 114 Millionen neue Schadprogramm-Varianten im Umlauf [1]. Unternehmen bleiben von diesen nicht unverschont und die Schäden erfolgreicher Attacken gehen schnell in die Millionen. Um diesen vorzubeugen, sind Schutzmaßnahmen zwingend erforderlich. Da Fehler menschlich sind, sind moderne und effektive IT-Schutzmechanismen unerlässlich, um das notwendige Maß an Sicherheit gewährleisten zu können. Wie IT-Infrastrukturen Human Nature Proof bleiben, zeigen Best Practices.

Jahrelange Spionage in Linux-Servern durch chinesische APTs

BlackBerry, Anbieter von Sicherheitssoftware und -dienstleistungen für das IoT, präsentiert neue Studienergebnisse und deckt die Spionageaktivität fünf zusammenhängender APT-Gruppen (Advanced Persistent Threat) auf, die im Interesse der chinesischen Regierung arbeiten. Diese greifen seit fast einem Jahrzehnt systematisch Linux-Server, Windows-Systeme und mobile Geräte an und sind dabei bislang unentdeckt geblieben. Der Bericht »Decade of the RATs:…

Spam-E-Mails und keine Ende

Derzeit kursieren Spam-E-Mails, die vermeintlich vom Bundesministerium für Gesundheit stammen. Sie enthalten ein geändertes Antragsformular für »Familien- und Krankenurlaub«, das der Mail als Word-Dokument beigefügt ist. Die Anlage ist mit dem Trojaner Trickbot infiziert. Phishing-Ratgeber zur Identifizierung gefälschter E-Mails gibt es viele. Vor allem an die Verantwortung des einzelnen Mitarbeiters wird appelliert. Aber ohne die…

Fünf unterschätzte Punkte beim Kampf gegen immer raffiniertere Cyberattacken

IT-Sicherheitssysteme sind immer nur so stark wie ihr schwächstes Glied. Die Schulung der eigenen Mitarbeiter und die Schaffung eines entsprechenden Bewusstseins für die Gefahren durch Cyberkriminelle stehen deshalb bei vielen Unternehmen ganz oben auf der Liste der Abwehrmaßnahmen. Dieser Ansatz ist allerdings zu kurz gegriffen, erklärt der Sicherheitsspezialist Bromium. Nicht immer sind es komplexe Algorithmen…

Cybergefahren im Home Office: Wie Hacker die Corona-Krise für sich nutzen

Home Office statt Büroarbeit: Immer mehr Mitarbeitende ziehen angesichts der Corona-Pandemie aktuell ins Home Office – und das zunächst auf unbestimmte Zeit. Doch gerade die vermehrte Tätigkeit vom heimischen Arbeitsplatz aus birgt viele Sicherheitsrisiken. So öffnet eine mangelhafte Absicherung potenziellen Hackern Tür und Tor für einen erfolgreichen Angriff. Aber auch Phishing-Mails, die speziell auf die…

Tipps: Wie Krankenhäuser sich vor digitalen Viren schützen können

Krankenhäuser sind für Ransomware nicht unbedingt anfälliger als andere Institutionen, doch für sie kann ein Angriff weitreichende Folgen haben, wie etwa den Verlust von Patientenakten und die Verzögerung oder Absage von Behandlungen. Da Krankenhäuser lebensrettende Operationen durchführen und über sensible Patienteninformationen verfügen, neigen sie stärker dazu, das geforderte Lösegeld zu zahlen, als andere Organisationen. Das…

Unternehmen zu zögerlich im Umgang mit professionellen Hackern

CISOs: Softwareprojekte aus Angst vor Sicherheitsproblemen nicht umgesetzt. Bei einer Umfrage [1] zur Zusammenarbeit zwischen Unternehmen und Hackern wurde deutlich, dass die Sicherheitsverantwortlichen (CISO, Chief Information Security Officer) im Unternehmen zwar einerseits beklagen, dass Softwareprojekte aus Angst vor Sicherheitslücken gar nicht erst umgesetzt werden. Andererseits nutzen diese CISOs jedoch noch zu selten die Möglichkeit, ihre…

5 Trends, die die Sourcing-Strategie bestimmen

Der Einsatz von Cloud Computing ist im Jahr 2020 gelebte Praxis. Aufgrund der Einfachheit und Skalierbarkeit solcher Angebote stellen sich immer mehr Mittelständler und Konzerne die Frage, ob sie weiter inhouse das Rechenzentrum betreiben oder Dienste in die Cloud auslagern wollen. Wichtige Aspekte bei solchen Prozessen sind die Berücksichtigung von IT-Sicherheit und die Wahrung der…

Supply-Chain-Angriffe häufen sich, werden aber noch unterschätzt

Schadcode macht aus legitimen Apps gefährliche Verteiler von Malware. Ein neuer Trend ist für Unternehmen äußerst gefährlich: Hacker infizieren schädlichen Code in Software, um eigentlich legitime Apps zur Verteilung von Malware zu nutzen. Einmal ins System eingedrungen, lässt sich das Ausmaß des entstandenen Schadens oft erst im Nachhinein bewerten. »Diese neue Art der Bedrohung heißt…

»Change Your Password«: Tipps für starke Passwörter

Anlässlich des »Change Your Password Days« am Samstag, dem 1. Februar, erinnerte das Hasso-Plattner-Institut (HPI) an die wichtigsten Regeln zur Erstellung starker Passwörter. »Schwache Zahlenreihen wie etwa »123456« werden weltweit weiterhin viel zu häufig genutzt«, kritisiert HPI-Direktor, Professor Christoph Meinel. »Viele Internetnutzer verwalten bereits mehr als hundert Online-Konten – da fällt die Wahl viel zu…

Tipps für sichere Passwörter: Jeder dritte Onliner nutzt dasselbe Passwort für mehrere Dienste

Wenn es um Passwörter geht, setzen viele Internetnutzer eher auf Bequemlichkeit als auf Sicherheit. Mehr als jeder dritte Onliner (36 Prozent) in Deutschland nutzt für mehrere Online-Dienste das gleiche Passwort. Das ist das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom unter mehr als 1.000 Internetnutzern in Deutschland. »Ein einziges Passwort für mehrere Online-Dienste…

Keine Mails sind auch keine Lösung

In Behörden und Verwaltungen finden sich in hohem Umfang vertrauliche Daten von Bürgerinnen und Bürgern. Zudem können sie eigentlich weder den Empfang von E-Mail-Anhängen noch den Zugriff auf Webseiten strikt reglementieren, da sie berechtigte Anliegen enthalten können. Jedenfalls war das der bisherige Ansatz: Niedersachsens Finanzbehörden blockieren nun Mails mit Linkadressen oder Office-Anhängen und gehen damit…

Cybersecurity im Kontext von Industrie 4.0: Herausforderungen und Lösungen der Cloud- und IoT-Sicherheit

In der vernetzten Industrie 4.0 wird Cloud-Sicherheit zum Rückgrat des Internets der Dinge. Cloud Computing und das Internet der Dinge sind zwei Technologien, die zu Industrie 4.0 gehören. Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, erörtert die Herausforderungen bei der Sicherung von Cloud und IoT, wenn es darum geht, die Umstellung auf…

Prognose 2020: Angriffe mit verheerenden Auswirkungen auf Industrie-Unternehmen und ICS 

Rich Armour, einer der Fortune 50 CISOs ist in Sachen Cyberbedrohungen gegen industrielle Kontrollsysteme wenig optimistisch. Er glaubt, dass die Fertigungsbranche im kommenden Jahr vermutlich mit einer hoch destruktiven Attacke gegen industrielle Steuerungs- und Kontrollsysteme zu rechnen hat. Ein Angriff mit dem Potenzial, Industrieanlagen im ganzen Land schwer in Mitleidenschaft zu ziehen. Rich Armour, ehemaliger…

Teamarbeit – Welche Typen braucht ein erfolgreiches Team?

Ein gut funktionierendes Team ist ein Schlüsselfaktor, um Vorhaben zum Erfolg zu führen – das gilt im Sport genauso wie in der Wissenschaft oder Wirtschaft. Millionen brillanter Entwicklungen haben nie den Weg in die Produktion oder den Verkauf gefunden, weil dem genialen Techniker jemand fehlte, der Geldgeber finden, das Management überzeugen oder das Marktpotenzial aufschlüsseln…