Ankündigung

Einklappen
Keine Ankündigung bisher.

Sammelthread: Sicherheit im Internet

Einklappen
Das ist ein wichtiges Thema.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sammelthread: Sicherheit im Internet

    Angeregt durch die Debatte über die fast unglaublichen Ausmaße des NSA-Abhörskandals starte ich hier einen Thread, in dem Tipps und Anregungen zur Wahrung persönlicher Grundrechte im Internet gesammelt werden sollen.

    Ich liste hier zunächst Schwerpunkte auf und verlinke diese, soweit es dazu bereits eigene Threads gibt:

    Sicherheit allgemein

    Welche Gefahren bestehen überhaupt?
    Wovor und warum muss man sich überhaupt schützen?
    Übersicht der Gesellschaft für Informatik

    aktuelle Nachrichten zum Thema:
    http://www.heise.de/security/
    http://blog.fefe.de/

    Initiativen für ein freies Internet:
    https://netzpolitik.org/


    Der sichere PC


    Betriebssysteme

    TT-Thread zu eMail-Kommunikation

    Schritt-für-Schritt-Anleitung zur Mail-Verschlüsselung

    Browser-Verschlüsselung

    Anwendungen
    anonyme google-Suche über proxy

    Datenverschlüsselung
    Ende von TrueCrypt - Was nun?


    Handy-Kommunikation
    TT-Thread 'PrePaid ohne Registrierung'

    Messaging
    What'sApp und Alternativen im Vergleich

    Smartphone-Betriebssysteme
    'Android ohne google' c't 13/2014

    Apps

    Sicherheit im Multimedia-Umfeld

    Spielkonsolen, Unterhaltungselektronik

    Smart-TV & Co

    WebDienste (iTunes, spotify etc)


    Datenverbindungen zur Offline-Welt

    Banken und Zahlungssysteme

    Behörden


    Über Eure ergänzenden Vorschläge oder Beiträge würde ich mich freuen

    Das derzeitige Inhaltsverzeichnis ist quasi als Vorschlag gemeint und wird weiterhin von mir editiert. Mein erster Entwurf zum Inhaltsverzeichnis basierte darauf, dass Nutzer meist Geräte-orientiert arbeiten; also bspw 'Neues Handy - was nun?'
    Auch Frankies Vorschlag aus dem nachfolgenden Post ist genauso machbar. Ich würde die Entscheidung darüber von der Art und Struktur der eintrudelnden Beiträge abhängig machen.
    Ich verspreche keine 24/7-Bearbeitung aber werde mich bemühen, Eure Posts regelmäßig auf Wunsch zu verlinken.
    Um die Lesbarkeit des gesamten Threads zu erhalten, schickt Hinweise zur Struktur und Aufteilung oder direkte Links einfach per PN an mich.
    Umfangreichere Vorschläge zur 'Geschäftsordnung' einfach
    hier posten
    Zuletzt geändert von Gallium; 01.06.2014, 10:41.

  • #2
    Zwar hatte ich mich an anderer Stelle schon für die Eröffnung eines Threads wie diesem hier ausgesprochen - allerdings hielte ich eine gewisse Diversifizierung völlig unabhängig voneinander zu betrachtender Themenkomplexe für wünschenswert.

    Als da wären (in Sachen Internet):

    1. Sicherheit auf dem PC/Endgerät,

    2. Sicherheit der Kommunikation (Verschlüsselung), möglicherweise noch gesplittet nach Wort/Bild einerseits und Schrift/Daten (Email, Messenger, Sync) andererseits, sowie

    3. sicheres surfen.

    Diese drei Komplexe bedingen in meinen Augen unabhängig voneinander zu ergreifende Maßnahmen, deren gesonderte Diskussion der Übersichtlichkeit dienlich wäre.

    Die verschlüsselte Kommunikation über Handy/Telefon (excl. VOIP) ist in meinen Augen eine komplett andere Baustelle.

    Frankie
    WIEDERERÖFFNUNG: Frankies SAFTLÄDEN!
    - Saftladen 2015: Fa. SEAGATE (Speichermedien zur Datenvernichtung)
    - Saftladen des Jahres 2016: Apotal.de (Versandapotheke für Medis, die man erst Wochen später benötigt)
    - Saftladen des Jahres 2017: THERMy (EUROtronic) Heizkörperregler (für alle, die es saukalt mögen)
    "Wenn es heißt 'Alle müssen den Gürtel enger schnallen' fummelt jeder immer nur am Gürtel des Nachbarn herum" (N.Blüm)

    Kommentar


    • #3
      Süddeutsche Zeitung
      The Guardian

      5 Punkte Individuelle PC-Sicherheit - Tipps und Empfehlungen, nach Bruce Schneier
      "Work in Progress", Übersetzung: Dank an harlekyn

      1) Hide in the network. Implement hidden services.
      Use Tor to anonymize yourself.
      Yes, the NSA targets Tor users, but it's work for them. The less obvious you are, the safer you are.

      2) [u.a. fortschrittlichere SSL-Einstellungen vornehmen] Verschlüssele deine Kommunikation.
      • Nutze TLS.
      • Nutze IPSec.

      Obwohl es wahr ist, dass die NSA verschlüsselte Verbindungen angreift - und sie möglicherweise über gezielte Exploits gegen diese Protokolle verfügen - bist du damit doch viel besser geschützt, als wenn du im Klartext komminizierst.

      3) [Arbeit mit 2 PC's von denen nur einer mit dem Internet fest verbunden ist] Zwar kann dein Computer kompromittiert werden, aber gehe davon aus, daß dies Arbeit und Risiko für die NSA bedeuten würde - also wahrscheinlich ist er nicht kompromittiert.

      Wenn du etwas wirklich wichtiges hast, nutze einen "Luftspalt". ("Luft-Brücke").

      Seit ich mit der Arbeit an den Snowden-Dokumenten begonnen habe, habe ich einen neuen Computer gekauft, der niemals mit dem Internet verbunden war.
      • Wenn ich eine Datei uebertragen moechte, so verschluessele ich sie auf dem sicheren Computer, und transportiere sie dann mittels eines USB-Sticks zu meinem Internet-Computer.
      • Zur Entschluesselung kehre ich den Prozess um.

      Das ist nicht 100% wasserdicht, aber ziemlich gut.

      Kommentar geschrieben von istephan:
      Ich seh erst jetzt, das ist dasselbe wie mein Vorschlag unten!
      Eine Luft-Lücke statt einer (WLAN-)Luftbrücke zwischen eigenen Dateien und dem Internet!
      Kein lokales Netzwerk zwischen dem "persönlichen" PC und dem "öffentlichen"!


      4) Sei kommerzieller Verschlüsselungssoftware gegenüber mißtrauisch, insbesondere der großer Hersteller. Ich vermute, dass die meisten Verschlüsselungsprodukte von großen US-Herstellern NSA-freundliche Hintertueren enthalten, und viele [von USA aus gesehen] ausländische wahrscheinlich auch.

      Umsichtigerweise sollte man davon ausgehen, dass [Anm.: von USA aus gesehen, also z.b. bundesdeutsche!] ausländische Software auch ausländische Hintertüren enthaelt.
      • Closed-Source-Software ist für die NSA einfacher zu infiltrieren als Open-Source-Software.
      • Systeme, die auf einem zentralen Hauptschlüssel beruhen, sind anfällig für die NSA, entweder auf rechtlichen oder verborgenen Wegen.


      5) Versuche, frei verfügbare Verschlüsselung zu nutzen, die mit anderen Implementierungen vergleichbar ist.

      Es ist fuer die NSA beispielsweise schwieriger, TLS mit einer Hintertuer zu versehen als BitLocker, da die TLS-Implementierungen der unterschiedlichen Hersteller miteinander kompatibel sein muessen, waehrend BitLocker nur zu sich selbst kompatibel sein muss, was der NSA mehr Freiheiten bei der Modifikation einraeumt.

      Und da BitLocker proprietär ist, ist es viel unwahrscheinlicher, dass diese Aenderungen entdeckt werden. Bevorzuge symmetrische Kryptographie vor Public-Key-Kryptographie. Bevorzuge konventionelle Systeme auf Basis des diskreten Logarithmus vor solchen, die auf elliptischen Kurven basieren; letztere nutzen bestimmte Konstanten, die die NSA - wenn moeglich - beeinflusst.
      ___________

      Ergänzungen und meine weiteren Ideen zum Thema:
      zu Punkt 1: - aufgrund Diskussionsbeitrag harlekyn -
      • Benutze TOR nur eventuell und nur dann, wenn du in absehbarer Zeit nicht beruflich in die USA, England, oder sonstwie in das 'Reich des Guten' reisen musst, oder wenn du lebenslang Deutschland gebucht hast (Zitat Friedrich Merz!)
      • Benutze TOR nicht, wenn du beruflich oder zu Urlaubszwecken häufig in den genannten Ländern unterwegs bist und unfreiwillig längere Aufenthalte bei Aus- und Einreise vermeiden möchtest.


      zu Punkt 2:

      Da heute fast jeder mehr als 1 PC hat, wäre zu überlegen, einen PC nur für offline-Arbeiten zu verwenden und erst wenn e-Mails abgeschickt werden müssen, die Datei per Medium (USB-Stick) auf einen online-verbundenen PC (möglichst Linux -Rechner) zu verfrachten. Auf dem offline-Rechner hat man alle Dateien die man selber so braucht und hat, sowie ein office-Software-Paket das open source ist. auf dem online - Rechner hat man ausser einem restriktiv konfigurierten Firefox (open source) und dem Betriebssystem sonst nix.

      Auf meinem Windows - PC ist die Ordnerstruktur so eingestellt, dass auch "unsichtbare" Dateien standardmässig angezeigt werden und speziell unter Windows, dass neu angestöpselte Datenträger / USB Sticks / externe Festplatten nicht automatisch "ausgeführt" werden (= Virenschutz).

      Aktuell gibt es ein c't - Sonderheft "Gegen den Abhör-Wahn" mit ct Bankix und ct Surfix. Das sind speziell gehärtete Systeme zum Booten von (unveränderbarer) DVD-ROM, auf Basis von Linux-Ubuntu. ich habe mir zumindest schon mal das Begleitheft durchgelesen
      Zuletzt geändert von iStephan; 08.09.2013, 15:52.

      Kommentar


      • #4
        Nur kurz zu Tor: Ohne Tor lebt man mit einer gewissen Unsicherheit, ob die eigenen Verbindungen ueberwacht werden; als Tor-Nutzer kann man sich dessen sicher sein.

        Kommentar


        • #5
          @harlekyn:

          ich denke da wie du. Auch aus wissenschaftlicher Hinsicht scheint dein Argument stichhaltig, da es kritisiert werden kann, Probleme die erst durch die Anwendung von Wissenschaft entstehen, durch immer noch mehr "Wissenschaft" lösen zu wollen. Manchmal verschlimmert das die Situation nur noch. Die Idee, jedes Software-Problem durch immer noch mehr immer grössere Software lösen zu wollen, führt zu Unüberschaubarkeit, und damit zu neuen Angriffsflächen.

          Habe das Argument oben rein editiert !

          Kommentar


          • #6
            Andererseits ist das Argument von Schneier ja, der NSA die Ueberwachung so teuer wie moeglich zu machen. Wenn die Zahl der Tor-Nutzer um zwei bis drei Groessenordnungen zunehmen wuerde, saehe das u.U. wieder anders aus. Aber dazu braucht es v.a. mehr Exit Nodes, nicht bloss mehr Nutzer der eh schon ueberlasteten Infrastruktur. Als Betreiber eines Exit Nodes bin ich allerdings nicht mehr anonym, sondern ruecke ins Zentrum des Interesses.

            Kommentar


            • #7
              okay, hat keinen Sinn bei Tor zu einer endgültigen Empfehlung zu gelangen.

              Bruce Schneier hat aber ausser diesem Tipp noch 4 weitere gegeben, die es wert sind diskutiert und übersetzt zu werden. Wer hilft mit? ggf. editiere ich das oben rein!

              - - -

              Eine wichtige Empfehlung scheint mir auch, diesen Thread bekannter zu machen.

              Habe der TT-Moderation inzwischen die Bitte übermittelt, den Thread "oben" festzupinnen und eventuell auch über das Geplauder-Forum zu verlinken.

              Kommentar


              • #8
                Original geschrieben von iStephan
                Bruce Schneier hat aber ausser diesem Tipp noch 4 weitere gegeben, die es wert sind diskutiert und übersetzt zu werden.
                Hier mal meine Uebersetzung:

                2) Verschluessele deine Kommunikation. Nutze TLS. Nutze IPSec. Obwohl es wahr ist, dass die NSA verschluesselte Verbindungen angreift - und sie moeglicherweise ueber gezielte Exploits gegen diese Protokolle verfuegen - bist du viel besser geschuetzt, als du es bei einer unverschluesselten Kommunikation waerst.

                3) Obwohl dein Computer kompromittiert werden kann, gehe davon aus, dass dem nicht so ist; dies wuerde Arbeit und Risiko fuer die NSA bedeuten. Wenn du etwas wirklich wichtiges hast, nutze einen "Luftspalt". Seit ich mit der Arbeit an den Snowden-Dokumenten begonnen habe, habe ich einen neuen Computer gekauft, der niemals mit dem Internet verbunden war. Wenn ich eine Datei uebertragen moechte, so verschluessele ich sie auf dem sicheren Computer, und transportiere sie dann mittels eines USB-Sticks zu meinem Internet-Computer. Zur Entschluesselung kehre ich den Prozess um. Das ist nicht 100% wasserdicht, aber ziemlich gut.

                4) Sei kommerzieller Verschluesselungssoftware gegenueber misstrauisch, insbesondere der grosser Hersteller. Ich vermute, dass die meissten Verschluesselungsprodukte von grossen US-Herstellern NSA-freundliche Hintertueren enthalten, und viele auslaendische wahrscheinlich auch. Umsichtigerweise sollte man davon ausgehen, dass auslaendische Software auch auslaendische Hintertueren enthaelt. Closed-Source-Software ist fuer die NSA einfacher zu infiltrieren als Open-Source-Software. Systeme, die auf einem zentralen Hauptschluessel beruhen, sind anfaellig fuer die NSA, entweder auf rechtlichen oder verborgenen Wegen.

                5) Versuche, frei verfuegbare Verschluesselung zu nutzen, die mit anderen Implementierungen vergleichbar ist. Es ist fuer die NSA beispielsweise schwieriger, TLS mit einer Hintertuer zu versehen als BitLocker, da die TLS-Implementierungen der unterschiedlichen Hersteller miteinander kompatibel sein muessen, waehrend BitLocker nur zu sich selbst kompatibel sein muss, was der NSA mehr Freiheiten bei der Modifikation einraeumt. Und da BitLocker proprietaer ist, ist es viel unwahrscheinlicher, dass diese Aenderungen entdeckt werden. Bevorzuge symmetrische Kryptographie vor Public-Key-Kryptographie. Bevorzuge konventionelle Systeme auf Basis des diskreten Logarithmus vor solchen, die auf elliptischen Kurven basieren; letztere nutzen bestimmte Konstanten, die die NSA - wenn moeglich - beeinflusst.

                Kommentar


                • #9
                  Danke für die Übersetzung...

                  Fangen wir mal bei TLS, der erste Rat in Bruce Schneiers Liste Pkt 2. , an:

                  Mein Opera-Browser bietet mir
                  unter Extras --> Einstellungen --> Erweitert --> Sicherheit ---> Sicherheitsprotokolle

                  standardmässig
                  * SSL 3
                  und
                  * TLS 1
                  an.
                  TLS 1.1 und TLS 1.2 sind nicht angekreuzt.

                  Der Wikipedia-Artikel TLS erwähnt, dass TLS 1.1 bei Google Chrome verfügbar ist (google - das will ich nicht auf meinem PC haben!) und dass TLS 1.2 bei Apple iOS standardmässig verfügbar ist sowie im Internet Explorer und Opera aktiviert werden kann.

                  Frage: Schadet es, die "potentiell "weniger sicheren Protokolle SSL 3 und TLS 1 dann komplett zu deaktivieren und erstmal zu sehen wie weit man nur mit TLS 1.2 im Internet kommt?

                  Habe bisher mich nie mit diesen Einstellungen befasst

                  Jetzt denke ich, TLS 1.2 und gut ist.
                  Wenn wir also auf TLS 1.2 umstellen, stimmen wir sozusagen mit den Füßen für mehr Sicherheit ab, weil SSL-Server wenn wir sie virtuell besuchen ab sofort nur noch TLS 1.2 zu Beginn des Datenverkehrs aushandeln können.

                  Was denkt ihr?

                  Und wie geht es weiter?

                  EDIT @Gallium: (siehe nächstes Posting)
                  ja okay, das bezieht sich jetzt auf Brot-Und-Butter-Anwendungen zu "gewerblichen Accounts" wie z.b. Bank-Accounts, solange man nicht (wie ich) den für bürgerrechtstaktisch sinnvoll erachteten Sprung zurück zum Analog-Banking (wie von Frankie geschildert) gewagt hat! Für E-Mail ist PGP dann richtiger, dazu schreib ich ggf. später noch Erfahrungsbericht ..

                  @harlekyn: Habe jetzt 10 Protokolle /Verschlüsselungsmethoden deaktiviert, die DHE enthalten. Sind denn die DH_xxx haltigen Methoden von DHE unabhängig ? (hoffentlich)
                  Zuletzt geändert von iStephan; 08.09.2013, 14:52.

                  Kommentar


                  • #10
                    Allgemeiner Hinweis:
                    TLS oder SSL sichern nur eine Übertragungsstrecke. Bspw für Shop- oder Bank-Systeme ist das sicher ein geeigneter Bestandteil der Sicherheits-Infrastruktur.
                    Grundsätzlich muss man aber davon ausgehen, dass jeder kommerzielle Anbieter gezwungen werden kann, die Schlüssel dafür herauszugeben. Zudem liegt der Inhalt auf dem Zielsystem auch wieder unverschlüsselt vor und kann dort abgegriffen werden.
                    Für eine sichere Kommunikation hilft ausschließlich eine Ende-zu-Ende-Verschlüsselung. D.h. nur der Dir bekannte und als vertrauenswürdig eingestufte Empfänger kann die Nachricht entschlüsseln. Damit ist es dann wurscht, ob Du auf Sicherheitsebene (TLS) überträgst oder einfach unverschlüsselt. Mit dem Kauderwelsch kann niemand außer dem Empfänger etwas anfangen. Das ist, als würdest Du eine Ansichtskarte mit einer eigenen Geheimsprache beschreiben, die nur der Empfänger versteht

                    Sinn und Zweckmäßigkeit ergeben sich also aus der jeweiligen Zweckbestimmung:
                    TLS (SSL) für sichere Verbindungen mit (gewerblichen) Servern / kommerziellen Anbietern
                    PGP für direkte Kommunikation unter 4 Augen - quasi der elektronische Briefumschlag
                    Zuletzt geändert von Gallium; 08.09.2013, 16:22.

                    Kommentar


                    • #11
                      Original geschrieben von iStephan
                      Schadet es, die "potentiell "weniger sicheren Protokolle SSL 3 und TLS 1 dann komplett zu deaktivieren und erstmal zu sehen wie weit man nur mit TLS 1.2 im Internet kommt?
                      Schaden kann's nicht, im Zweifelsfall wirst du nicht auf Seiten zugreifen koennen, die nur die von dir nicht zugelassenen Protokolle/Standards unterstuetzen.

                      Normalerweise wird versucht, einen moeglichst hohen Sicherheitsstandard zu bevorzugen; man einigt sich dann auf die erste Kombination, die Client und Server unterstuetzen. Aber natuerlich kann jeder Server/Dienst so konfiguriert werden wie es der Betreiber fuer sinnvoll haelt.

                      Was du bei der Gelegenheit auch noch nachjustieren solltest, falls du Schneiers Empfehlungen folgen moechtest: Die Verschluesselungsalgorithmen mit DHE im Namen ausschalten, um die Elliptic Curve Cryptography zu vermeinden. Geht im gleichen Opera-Dialog unter "Details".

                      Kommentar


                      • #12
                        ich tat wie geheißen

                        Aber nun:
                        Es ist nicht möglich die sichere Transaktion abzuschließen Details zeigen

                        Sichere Verbindung: Schwerer Fehler (40)
                        https://banking.example.example/???banking.jsp?blz=yyy
                        Die Verbindung zum Server konnte nicht hergestellt werden. Ein Grund könnte sein, dass die vom Server unterstützten Verschlüsselungsmethoden nicht in den Sicherheitseinstellungen aktiviert sind.

                        Bitte beachten Sie, dass einige Verschlüsselungsmethoden nicht mehr länger unterstützt werden, und dass solange kein Zugriff auf die Website möglich ist, bis die Website auf eine stärkere Verschlüsselung umgestellt wurde.
                        Überprüfen Sie, ob die Adresse richtig geschrieben ist, oder suchen Sie nach der Website.
                        Hier scheint es eher umgekehrt zu sein, dass die Bank Sicherheitseinstellungen voraussetzt, die gemäss Harlekyns Tipps antiquiert sind....

                        EDIT:
                        es ist unklar, ob es daran lag
                        256 bit AES (DHE_DSS/SHA-256)
                        256 bit AES (DHE_RSA/SHA-256)
                        habe die beiden "Probehalber" wieder aktiviert, und dann wieder entfernt und nun ging es im 2. Anlauf mit einloggen...

                        vielleicht hat opera aber auch einen Bug und nun sind beide DHE-Protokolle in Wahrheit wieder aktiv
                        Zuletzt geändert von iStephan; 08.09.2013, 16:20.

                        Kommentar


                        • #13
                          Ich wurde gerade gefragt, ob man sich mit dem TT-Server auch verschlüsselt verbinden könnte. Ohne TLS/SSL sind PNs schließlich alles andere als persönlich/privat

                          Kommentar


                          • #14
                            Original geschrieben von iStephan
                            Hier scheint es eher umgekehrt zu sein, dass die Bank Sicherheitseinstellungen voraussetzt, die gemäss Harlekyns Tipps antiquiert sind....
                            Das sind genau die Probleme, auf die man dann in der Praxis stoesst.

                            Poste mal den kompletten Hostnamen (also den Teil zwischen https:// und dem naechsten /), dann kann man sich anschauen, welche Protokolle der so unterstuetzt.

                            Original geschrieben von Gallium
                            Ich wurde gerade gefragt, ob man sich mit dem TT-Server auch verschlüsselt verbinden könnte. Ohne TLS/SSL sind PNs schließlich alles andere als persönlich/privat
                            Um die PNs wuerde ich mir da viel weniger Sorgen machen als um den Session-Cookie.

                            Kommentar


                            • #15
                              Was ist eigentlich Sicherheit?

                              Sicherheit ist (vllt wider Erwarten) kein Zustand sondern ein Versprechen in die Zukunft.
                              Dem kann man glauben oder nicht - also ein individuell zu bestimmendes Vertrauensniveau (math.: Konfidenzniveau)
                              Sicherheit ist daher eine relative Beschreibung der allgemeinen Gefahrenlage, d.h. kein Attribut
                              eines (freien) Menschen.

                              Menschen entscheiden/reagieren unter emotionalem Einfluss (Angst) anders als bei verstandesgemäßer (rationaler) Abwägung. Viele Bereiche unseres Lebens, wie das menschliche Zusammenleben oder einfach nur die Konsum-Werbung basieren auf emotionalen Entscheidungen, die (von außen betrachtet) eigentlich unvernünftig sind.
                              Um also eine Entscheidung herbeizuführen, die die Menschen unter rationalen Erwägungen als absurd einstufen würden, muss man die gewünschte Entscheidung statt dessen emotional herbeiführen.
                              Angst ist dazu eine geignete Emotion, da sie ohne Umwege unsere Instinkte anspricht und den Verstand ausschaltet.

                              Ein Beispiel dazu:
                              Obwohl durch Verkehrsunfälle täglich mehr Menschen sterben als durch Terroranschläge, haben die meisten Menschen keine Angst, sich jeden Tag erneut ins Auto zu setzen. Unsere Wahrnehmung wird also durch Emotionen beeinflusst...
                              Angst wird daher gezielt eingesetzt, um eigentlich unvernünftige Entscheidungen durchzusetzen.

                              Die vorgetragenen Argumenten der Politiker zur 'Stärkung der Sicherheit' sind rational betrachtet nur Abwehrmechanismen sich verselbstständigender Institution (NSA & Co) gegen die Bevölkerung, und damit eine direkte Einschränkung individueller Freiheitsrechte.

                              Oder einfacher formuliert:
                              Angst ist das Werbekonzept der NSA, um uns das nötige Geld abzuknöpfen, mit dem sie ihre Allmacht-Phantasien realisieren wollen.

                              Kommentar

                              Skyscraper

                              Einklappen
                              Lädt...
                              X