Cyber-Kriminalität, Corona und Home-Office, Datenschutz

1.  Cyber-Kriminalität und Microsoft Exchange Server

Sicherlich haben auch Sie es mitbekommen: zehntausende Exchange-Server sind allein in Deutschland attackiert worden, weltweit sind es über hunderttausend kompromittierte Server. Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) äußert sich dazu und sagt: “Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden”. Was ist passiert: Bei einer erfolgreichen Attacke ist laut Microsoft die Ausführung von Schadcode möglich. So könnten Angreifer ganze Server mit der Groupware-Software kompromittieren und beispielsweise Ihre internen E-Mails und Termine einsehen. Da nicht alle offenen Netzwerke sofort gleichzeitig ausgenutzt könnten, muss mit eingebauten Hintertüren der Hacker für spätere Attacken gerechnet werden. Es kann also gut sein, dass in den nächsten Monaten noch viele Datenleaks und Erpressungen aufgrund dieser Exchange-Lücke bekannt werden. Im internationalen Vergleich dürfte Deutschland vermehrt von dieser Microsoft-Exchange-Lücke betroffen sein, da viele Unternehmen Dienste wie Exchange lokal nutzen und den Umzug die Cloud fürchten. Die Angreifer verschaffen sich Zutritt auf die lokalen Microsoft Exchange Server der Versionen 2013, 2016 und 2019.  Die rettenden Sicherheitsupdates für die Schwachstelle in Microsofts Software Exchange Server gibt es seit dem 10.03.2021, jedoch muss das passende Update vom Unternehmen selbst installiert werden.

2.  Wechsel der Microsoft-Server

Microsoft betreibt gemeinsam mit der Deutschen Telekom 2 Rechenzentren in Deutschland, und zwar in Frankfurt und Berlin. Die Daten deutscher Neukunden von Office 365 – das ja jetzt Microsoft 365 heißt – und Dynamics 365 werden bereits seit Februar 2020 in diesem Rechenzentren verarbeitet und gespeichert.  Seit kurzem können jetzt auch Bestandskunden zu den deutschen Rechenzentren wechseln. Dafür ist allerdings ein Antrag notwendig, den sie per Klick bis zum 01.05.2021 eingereicht haben müssen. Der Umzug wird dann innerhalb der folgenden 2 Jahre durchgeführt. Um den Umzug in ein deutsches Rechenzentrum zu beantragen, melden Sie sich bitte im Internet bei Office an und wechseln dann in den Adminbereich. Dort klicken Sie dann auf „Einstellungen“, dann auf „Einstellungen der Organisation“. Wechseln Sie dann zum Reiter „Organisationsprofil“ und klicken Sie dann auf „Data Residency“. Im sich dann öffnenden Bereich können Sie ganz unten durch Anklicken der Checkboxen beantragen, „die ruhenden Kundenkerndaten Ihrer Organisation bis zum 01.05.2023 nach Deutschland“ zu migrieren. Dass es aus Datenschutzsicht empfehlenswert ist, den Wechsel zu beantragen, versteht sich von selbst.

3.  Sicherheitsrisiken in Web-Anwendungen

Hacker greifen tagtäglich Webanwendungen an, verschlüsseln oder stehlen Daten, um Unternehmen danach zu erpressen. Diese Schäden können schnell existenzbedrohend werden. Nicht sachgerechte Administration führen immer wieder zu Schwachstellen in Webanwendungen. Solche Schwachstellen werden dann von Hackern für schwerwiegende Angriffe ausgenutzt. Deshalb sollten die nachfolgenden Top-10-Schwachstellen des Open Web Application Security Project (OWASP) stets im Blick gehalten werden:

1.       Injection: SQL, NoSQL-, OS- und LDAP-Injection treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden. So ist ein unautorisierter Zugriff auf Daten möglich.

2.       „Gebrochene“ Authentifizierung: Authentifizierung und Sitzungsverwaltung sind in Anwendungen oft falsch implementiert. So können Angreifer Passwörter, Schlüssel oder Sitzungstoken erlangen und damit die Identitäten anderer Benutzer dauerhaft annehmen und missbrauchen.

3.       Exposition sensibler Daten: Viele Webanwendungen und APIs schützen sensible Daten nicht ordnungsgemäß. Angreifer können solche schwach geschützten Daten stehlen oder ändern. Sensible Daten müssen daher im Ruhezustand oder bei der Übertragung verschlüsselt werden.

4.       Externe XML-Entitäten (XXE) oder Speichereinheiten: Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsreferenzen in XML-Dokumenten aus. Das kann zur Offenlegung interner Daten oder Denial-of-Service-Angriffen führen.

5.       Mangelhafte Zugriffskontrolle: Die Einschränkung von Rechten authentifizierter Benutzer wird oft nicht ordnungsgemäß durchgesetzt. Angreifer können diese Fehler ausnutzen, um auf nicht autorisierte Funktionen und/oder Daten zuzugreifen.

6.       Fehlerhafte Sicherheitskonfiguration: Das ist die häufigste Ursache von Datenpannen. Sie resultieren aus unsicheren Standardkonfigurationen und fehlender Härtung der Systeme. Solche „Adhoc-Konfigurationen“ führen z. B. zu offenen Cloud-Speichern. Alle Betriebssysteme, Frameworks, Bibliotheken und Anwendungen müssen sicher konfiguriert und gehärtet sein. Ebenso müssen alle Komponenten rechtzeitig gepatcht und aktualisiert werden.

7.       Cross-Site-Scripting (XSS): XSS-Fehler treten auf, wenn eine Anwendung nicht vertrauenswürdige Daten in eine Webseite einfügen kann. Solche Daten können z. B. JavaScript enthalten, die dann ohne Prüfung von der Anwendung ausgeführt werden. XSS ermöglicht es Angreifern, Daten abzuziehen oder den Benutzer auf bösartige Websites umzuleiten.

8.       Unsichere Deserialisierung: Eine unsichere Deserialisierung führt oft zu einer Remote-Code-Ausführung. Ebenso sind Code-Injection-Angriffe und Angriffe mit Erweiterung von Privilegien durchführbar.

9.       Nutzung von Komponenten mit bekannten Schwachstellen: Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule werden mit den gleichen Berechtigungen wie die Anwendung ausgeführt. Ein solcher Angriff kann schwerwiegende Datenverluste oder gar eine Serverübernahme nach sich ziehen,

10.   Unzureichende Protokollierung und Überwachung in Verbindung mit einem fehlenden oder ineffektiven Incident-Management ermöglicht es den Angreifern, ihre Angriffe auf weitere Systeme auszuweiten, Daten zu manipulieren, zu extrahieren oder zu zerstören. Die meisten Studien zeigen, dass die Zeit bis zur Erkennung eines Angriffs über 200 Tage beträgt, wobei der Angriff in der Regel von externen Parteien erkannt wird und nicht von internen Stellen.

4.  Und nochmals: Cyber-Kriminalität in Zeiten von Corona und Home-Office

Vor den Gefahren, der Internetkriminellen kann gar nicht genug gewarnt werden. Dabei gab es vor gar nicht allzu langer Zeit hauptsächlich ein wesentliches Problem zum Thema E-Mail im Unternehmen:  SPAM. Unverlangt zugesandte E-Mails, waren ein großes Datenschutzthema. Schließlich müssen auch solche E-Mails analysiert und bewertet werden. Doch nunmehr haben Unternehmen auch andere Probleme und wären froh, wenn es immer noch nur um Spam ginge, siehe dazu auch der erste Beitrag.

    Immer häufiger geht es dabei um digitale Straftaten, also der virtuelle Bankraub, bei denen immer häufiger Unternehmen bzw. deren Mitarbeiter zu Opfern werden. Die Cyberkriminellen setzen dabei im Wesentlichen auf drei erfolgversprechende Aktivitäten. Auf die unterschätzten Gefahren derartiger Angriffe weisen wir in unseren Schulungen und Gesprächen regelmäßig hin. Wichtig ist, dass Sie die Maschen kennen und sich richtig verhalten.

I. Phishing

a) Was ist Phishing?

Mit falschen und täuschend echt aussehenden E-Mails von Behörden, Banken, Online-Shops, sozialen Netzwerken oder Zahlungsdienstleistern wird Handlungsdruck beim Empfänger aufgebaut. Um Schaden oder Ärger zu vermeiden, soll das potenzielle Opfer eine Datei öffnen oder sich auf einer gefälschten Webseite mit seinen Benutzerdaten anmelden. Jeden Tag gibt es mehr als 18 Millionen Phishing Mails, die Privatpersonen aber auch Unternehmens treffen. Manche sind leicht zu erkennen, andere täuschend echt. Cyberkriminelle nutzen die Corona-Krise und vor allem die Gefahren des Home-Office für neue Phishing- Methoden.

b) Wie erkenne ich Phishing und was kann ich tun?

typischerweise weisen Phishing-Mails meist mehrere der folgenden Merkmale auf:

– Handlungsdruck wird erzeugt: Wird nicht sofort gehandelt, passiert angeblich etwas Schlimmes, oder es kommt zu einem finanziellen Schaden.

– Anmeldeinformationen oder Passwörter sollen geändert, aktualisiert oder bestätigt werden. Dazu sollen Sie sie auf einer echt aussehenden Webseite eingeben.

– Unpersönliche Ansprache und unpersönliche Grußformel am Schluss der E-Mail: Sie werden als Kunde angesprochen, oder die E-Mail ist nur vom „Kundenmanagement“ unterschrieben. Fehlerhafte Sprache: Achten Sie auf Schreibfehler oder Fehler im Satzbau. Auch die Absenderadresse unterscheidet sich in manchen Fällen nur durch einen Strich oder einen Punkt von der ihnen bekannter Absenderadresse.

– Ungewöhnliches Verhalten des angeblichen Absenders: Passt die Mail nicht zum bisherigen Verhalten des Absenders, sollte Sie das stutzig machen.

Machen sie auf keinen Fall das was in der E-Mail gefordert wird. Auch sollte die Mail nicht an Kollegen weitergeleitet werden. Entscheidend ist: Es dürfen keine Anmeldeinformationen oder Passwörter auf der gefälschten Webseite eingegeben werden. Im Zweifel unbedingt Kollegen oder den Vorgesetzten fragen, was diese von der E-Mail halten. Auch die IT-Abteilung oder das Datenschutzteam kann bei der Bewertung helfen. Ist es dann doch passiert, sollten Sie unverzüglich den Vorgesetzten und das Datenschutzteam informieren.

II. Erpressung mittels Krypto-Trojanern

a) Was sind Krypto-Trojaner?

Ausgangspunkt ist auch hier in der Regel eine E-Mail, mit der Druck aufgebaut wird. Will das potenzielle Opfer etwa einen finanziellen Schaden vermeiden, soll es den Anhang öffnen. Dabei passiert meist Folgendes:

Mit dem Öffnen installiert das Opfer ein Programm, das Schadsoftware (Malware) aus dem Internet nachlädt. Meist ist das nicht mehr einfach nur ein Trojaner, der etwa Anmeldeinformationen und Passwörter ausspäht. Vielmehr kommt ein Krypto-Trojaner zum Einsatz, der alle erreichbaren Daten verschlüsselt. Nur gegen Zahlung eines „Lösegelds“ soll der Erpresste die Informationen zur Entschlüsselung seiner Daten erhalten. Egal, ob man seine Daten wiederbekommt oder nicht: Der Schaden ist meist immens.

b) Woran erkenne ich Krypto-Trojaner und was kann ich tun?

Anhänge in Phishing-Mails dürfen Sie auf keinen Fall öffnen. Aktivieren Sie keine in Dateien enthaltenen Makros bzw. installieren Sie keine Programme. Ist das dennoch passiert, merken Sie, dass ein Krypto-Trojaner aktiv ist, etwa an einer Verlangsamung Ihres Computers. Eventuell stellen Sie auch fest, dass Dateien auf Ihrem Computer eine andere Endung erhalten haben.

Informieren Sie sofort die IT-Verantwortlichen und versuchen Sie schnellstmöglich, alle Netzwerkverbindungen zu trennen. Krypto-Trojaner verschlüsseln nämlich alle Dateien, die sie irgendwie erreichen können. Fahren Sie den Rechner herunter. Geht das nicht, ziehen Sie den Stecker oder entfernen Sie den Akku. Ggf. können Sie den Rechner auch durch langes Drücken des Ein-/Aus-Knopfs ausschalten. Warten Sie nicht, denn jede Minute zählt.

III. Social Engineering per CEO-Fraud

a)       Was ist Social Engineering und CEO-Fraud

Was der Chef sagt, wird gemacht – auf dieses Prinzip setzen Kriminelle beim sogenannten CEO-Fraud (Chef-Trick). Mit angeblichen Anweisungen des Chefs werden Mitarbeiter mit Zuständigkeit für Finanzen, Zahlungen und Konten dazu verleitet, oft sehr hohe Geldbeträge an „Geschäftspartner“ zu zahlen, etwa für einen angeblichen Unternehmenszukauf. Genauso wenig wie die Anweisung des echten Chefs gibt es deren Geschäftspartner. Das Geld ist weg.

b)      Wie erkenne ich Social Engineering per CEO-Fraud und was kann ich tun?

Dem Chef, Prokuristen oder leitenden Angestellten geht es um eine eilige und streng vertrauliche Transaktion. Nur Sie dürfen davon wissen. Und Sie müssen machen, was er sagt. Ansonsten entgeht dem Unternehmen beispielsweise ein wichtiges Geschäft, oder es entsteht ein erheblicher Schaden.

Haben Sie keine Scheu und kontaktieren Sie die betreffende Person über die Kontaktdaten aus dem Firmenadressbuch. Rufen Sie nicht die im Telefon angezeigte Nummer zurück. Fragen Sie ausdrücklich nach einer Bestätigung auf einem anderen Weg, etwa per Fax. Sprechen Sie mit einem Vorgesetzten oder der Geschäftsleitung, bevor Sie irgendeine, verdächtig vorkommende Transaktion veranlassen.

5.  Umsetzung der E-privacy Richtlinie – neues TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) geplant

Mit jahrelanger Verspätung schickt sich die Bundesregierung gerade an, die E-Privacy-Richtlinie der EU – auch Cookie-Richtlinie genannt – umzusetzen. Dies soll über das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) gehen, zu dem nunmehr ein Entwurf vorliegt. An der aktuellen Rechtslage ändert sich dadurch eigentlich nicht viel. Wie bereits von BGH und EuGH gefordert, ist das Speichern von Cookies danach nur erlaubt, wenn der Nutzer darüber nach der DSGVO informiert wurde und in das Speichern eingewilligt hat. Allerdings wurde in dem Entwurf die vorgesehene Regelung, die Einwilligung auch über „eine dafür vorgesehene Einstellung seines Browsers“ oder eine andere Anwendung erklären zu können, gestrichen. Schade, denn das wäre ein sehr benutzerfreundlicher Schritt gewesen. Der Nutzer hätte nämlich dann die Möglichkeit, im Browser standardmäßig einzustellen, welche Art von Cookies er zulassen möchte und welche nicht. Dagegen hat sich offensichtlich die Werbewirtschaft erfolgreich gewährt.

Das Gesetz muss jedoch noch vom Bundestag angenommen, ob dies noch in dieser Legislaturperiode geschehen wird, bleibt abzuwarten.

6.  Videomeetingtools und Datenschutz

Die Berliner Landesbeauftragte für den Datenschutz Maja Smoltczyk hat kürzlich Videokonferenz-Tools auf ihre Vereinbarkeit mit dem Datenschutz hin überprüft. Die einzelnen Videokommunikationsdienste wurden dabei mit einem Ampelsystem bewertet. Neben Zoom, Google Meet und Microsoft Teams wurden auch Cisco, Teamviewer, Skype und einige weitere nicht so bekannte Dienste getestet. Als problematisch erweisen sich dabei vor allem die Tatsache, dass die Kommunikationsdaten häufig über die USA laufen, wo u. a. der Geheimdienst Zugriff auf die gespeicherten Daten privater Unternehmen hat. Aber auch die Datenschutzbestimmungen der Anbieter werden teils sehr kritisch gesehen. Vor allem die Tools der bekannten Anbieter konnten die Landesdatenschutzbeauftragte nicht überzeugen. Egal ob es um Google Meet, Microsoft Teams, Skype, TeamViewer, GoToMeeting oder Zoom geht: Alle wurden mit einer roten Ampel als nicht datenschutzkonform beurteilt. Ebenso Cisco Webex Meetings und Cloud 1X meet.

  •     Auf Grün steht die Ampel der Berliner Datenschutzbeauftragten hauptsächlich bei relativ unbekannteren Angeboten wie A-Confi, mailbox.org, meetzi, BigBlueButton, sichere-videokonferenzen.de aber auch bei TixeoCloud sowie Jitsi und alfaview.
  •     Die Einschätzung der Berliner Landesdatenschutzbeauftragten hat natürlich keine direkten Folgen für Ihr Unternehmen. Es ist erst einmal „nur“ eine Rechtsmeinung. Ob andere Aufsichtsbehörden dies ähnlich sehen, bleibt abzuwarten.
  •     Wir als IT-Dienstleister nutzen als Vieomeetingplattform unsere eigene 3CX-Anwendung, die ebenfalls datenschutzkonform ist.

7.  Willkommensbildschirm am Empfang

Bei einigen unserer Kunden gibt es im Eingangsbereich Bildschirme, auf denen die angemeldeten Besucher bzw. Patienten mit Namen und Vornamen angezeigt und begrüßt werden sollen. Häufig wird auch das Unternehmen des Besuchers sowie die besuchte Person genannt. Was sicherlich als Geste der Freundlichkeit gemeint ist, ist aus Datenschutzsicht jedoch bedenklich.
Bei der Darstellung der Informationen auf dem Bildschirm handelt es sich um eine Verarbeitung personenbezogener Daten. Dafür bedarf es einer Rechtsgrundlage. Bei Beschäftigten müssen Sie § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz und bei anderen Personen Art. 6 Abs. 1 Satz 1 Buchst. f Datenschutz-Grundverordnung in Betracht ziehen. Auch wenn man vielleicht noch einen nachvollziehbaren Zweck oder ein berechtigtes Interesse annehmen mag, etwa Besucher willkommen zu heißen. Jedoch: Es fehlt in beiden Fällen an der Erforderlichkeit, bzw. die Interessen der Betroffenen dürften überwiegen. Schließlich muss nicht jeder wissen, wer von welchem Unternehmen wann wen in Ihrem Unternehmen besucht bzw. welcher Patient zu welcher Zeit behandelt wird. Möglich wäre das mit einer Einwilligung. Allerdings müsste dann genau geprüft werden, ob diese Einwilligung auf beiden Seiten tatsächlich völlig freiwillig erfolgt. Darüber hinaus ist Einholung einer solchen auch ziemlich unpraktikabel, denn wir will schon vor dem Besuch eine solche zugesandte Einwilligung unterschreiben.

8.  Bußgelder in Zeiten von CORONA

Die Datenschutzbehörden in der EU haben im vergangenen Jahr trotz Corona-Krise Bußgelder in Höhe von 158,5 Millionen € wegen Verstößen gegen die DSGVO verhängt. Das ist ein Anstieg von 39% Prozent gegenüber den vorherigen 20 Monaten (!) seit Inkrafttreten der DSGVO im Mai 2018 bedeutet. Europameister der Verstöße ist übrigens Deutschland mit 77.747 Fällen seit Mai 2018. Auf Platz 2 liegen die Niederlande mit 66.527. Dahinter folgt Großbritannien mit 30.536. In Relation zur Bevölkerung nimmt hingegen Dänemark mit 155,6 gemeldeten Verstößen pro 100.000 Einwohner Platz 1 ein, knapp gefolgt von den Niederlanden mit 150. Das bedeutet allerdings nicht, dass es in Dänemark oder in Deutschland im Vergleich zu anderen Ländern ausgesprochen viele Datenschutzverstöße gibt. Es ist vielmehr vor allem auch ein Ausdruck dessen, wie unterschiedlich – und vor allem wie unterschiedlich konsequent – die Datenschutzbehörden die DSGVO anwenden. Das zeigen auch die Beispiele Frankreich und Italien. In Frankreich gab es insgesamt 5389 geahndete Verstöße und in Italien sogar nur 3460. Dafür summieren sich die Bußgeldern Italien auf die insgesamt höchste Summe, nämlich 69 Millionen €.

Auch dieses Jahr hat für ein Unternehmen bereits teuer begonnen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat gegenüber dem Unternehmen notebooksbilliger.de AG eine Geldbuße über 10,4 Millionen € ausgesprochen. Der Grund: Das Unternehmen habe seine Mitarbeiter über mindestens 2 Jahre rechtswidrig per Video überwacht. Die Kameras hätten dabei Aufenthaltsbereiche, Lager, Verkaufsräume und Arbeitsplätze erfasst. Notebooksbilliger.de sieht die Datenschutzaufsicht im Unrecht und beruft sich auf das in ihren Augen legitime Ziel, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nach zu verfolgen. Die Landesdatenschutzbeauftragte sieht das allerdings anders. Eine Videoüberwachung zur Aufdeckung von Straftaten sei nur zulässig, wenn es einen begründeten Verdacht gegen konkrete Personen gibt. Wenn das nicht der Fall ist, dürfe man nur zeitlich begrenzt per Kamera überwachen. Bei Notebooksbilliger.de sei die Videoüberwachung aber überhaupt nicht zeitlich beschränkt gewesen. Zudem seien die Aufzeichnungen häufig 60 Tage gespeichert worden, was deutlich länger als erforderlich sei. Auch zur Verhinderung von Diebstählen hätte man zunächst mildere Mittel prüfen und einsetzen müssen, zum Beispiel stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte. Im Übrigen seien auch Kundinnen und Kunden von der unzulässigen Videoüberwachung betroffen worden, da die Sitzgelegenheiten im Verkaufsraum ebenfalls im Visier einiger Kameras gewesen sein. Das sei nicht verhältnismäßig. Die Aufsichtsbehörde sieht hier einen schwerwiegenden Fall der Videoüberwachung im Betrieb mit einem massiven Verstoß gegen die Rechte der Mitarbeiter. Nach Auffassung der Landesbeauftragten rechtfertigt auch die immer wieder vorgebrachte, angeblich abschreckende Wirkung der Videoüberwachung keinen dauerhaften und anlasslosen Eingriff in die Persönlichkeitsrechte der Beschäftigten. „Wenn das so wäre, könnten Unternehmen die Überwachung grenzenlos ausdehnen. Die Beschäftigten müssen aber ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt“, so die Landesbeauftragte. Notbooksbilliger.de wird sich gegen Bußgeldbescheid gerichtlich wehren. Der Fall zeigt, dass gerade das Thema Videoüberwachung sehr ernst genommen und zum Anlass genommen, die Verhältnismäßigkeit der Videoüberwachung zu überprüfen.

9.  Eintragung in das „Datenschutz-Verzeichnis“

Bei einem unserer Kunden ist kürzlich ein  Schreiben eingegangen, das sehr offiziell  aussieht. Darin soll unser Unternehmen Angaben zum Datenschutz machen, die in einem öffentlichen Datenschutz-Verzeichnis zugänglich gemacht werden sollen. Damit käme man den Anforderungen der DSGVO nach. Ein solches Verzeichnis oder eine solche Anforderung der DSGVO gibt es tatsächlich nicht. Vielmehr ist dies der erneute Versuch von seltsamen Zeitgenossen, Geld mit dem Unwissen bzw. der Verunsicherung von Unternehmen, Handwerkern und Freiberuflern zu machen. Mit solchen Maschen soll eine „Eintragung“ verkauft werden, sprich, Ihr Unternehmen wird in einem gedruckten oder im Internet veröffentlichten Verzeichnis gelistet, und zwar meist zu happigen Preisen. Schauen Sie also beim Schreiben nach dem Kleingedruckten und was man eigentlich „verkaufen“ will. Sie werden bestimmt fündig. Im Übrigen kann die Aufforderung bedenkenlos entsorgt werden.

Dieses Post teilen

Letzte Beiträge:

Gemeinsam ein Projekt starten ?

schreib uns doch einfach an!

KONTAKT

Anfrage

RUFT UNS AN