Die Chronologie des Schadens – 10 Schlüsselmomente, die alles veränderten
Die Rekonstruktion eines digitalen Zusammenbruchs
Was zunächst wie gewöhnliche IT-Dienstleistungen erschien, entwickelte sich über Monate zu einer Kette aus digitalen Angriffen, Fehlkonfigurationen und schwerwiegenden Sicherheitsversäumnissen. Diese Chronologie dokumentiert den schrittweisen Verlauf eines massiven Schadens, der letztlich meine digitale Identität, Infrastruktur und wirtschaftliche Handlungsfähigkeit zerstörte.
Hinweis: Jeder Abschnitt dieser Chronologie verweist auf die entsprechenden Extraberichte, damit Sie die vollständigen Informationen im Detail nachvollziehen können.
01
PBJ GmbH – Beginn des technischen Fehlers durch fehlerhafte Serverinstallation und Übergabe (06/2022–02/2023)**
KOSTENFAKTOR: 34.873,80 EUR
Auf Empfehlung von Klick-Tipp und Cobra CRM, wurde die Firma PBJ GmbH im Juni 2022 mit der Erstellung nachfolgender Dienstleistungen beauftragt. Die Einrichtung erfolgte über Server, die vorinstalliert über PBJ GmbH gekauft und ausgeliefert wurden.
Zwei Geräte, die offiziell von PBJ GmbH als vorkonfigurierte Server verkauft wurden
✅ PBJ GmbH lieferte zwei Geräte, die mit meinen PCs verbunden wurden, aber alleine nicht funktionsfähig waren.
✅ Die Geräte zeigten nichts an, da sie ohne den angeschlossenen PC keine Daten anzeigten oder Verbindungen herstellen konnten.
✅ PBJ GmbH übergab diese nicht funktionalen Geräte, die mit meinem PC verbunden werden mussten, aber keine eigenständige Funktion boten.
Technische & strukturelle Faktoren dieser Serverkontellation
✅ Server und CRM-Systeme ohne Sicherheitskonzept installiert
✅ Fehlende Transparenz bei Vorinstallationen (Windows, RAID*, Cobra)
✅ Schnittstellen eingerichtet, aber nicht ausgeliefert
✅ Individuelle Software programmiert – aber ohne klare Übergabe
✅ Firewall, Scanner und Workstation installiert – später kein Zugriff mehr möglich
✅ Zusammenarbeit mit WPRetter – Vertrauensbruch, Kündigung
Unberechtigter Zugriff auf Firmendaten
✅ Unbefugter Zugriff auf die Systeme durch PBJ GmbH (Screenshots aus Erklärvideo der PBJ GmbH von Dezember 2022, aus den die unberechtigten Zugriffe erstmals für uns sichtbar wurden)
✅ Fehlende Sicherheitsvorkehrungen und keine Zugriffsprotokolle
✅ Manipulation und unbefugte Änderungen an den Firmendaten
Was ist *RAID?
RAID steht für Redundant Array of Independent Disks und ist eine Technologie, bei der mehrere Festplatten zu einem virtuellen Laufwerk zusammengefasst werden, um Daten zu sichern und die Performance zu steigern. Es gibt verschiedene RAID-Level, die entweder die Datenperformance oder die Datenredundanz erhöhen.
Warum war das gefährlich?
Bei einer fehlerhaften RAID-Installation könnte es sein, dass die Daten nicht korrekt gespiegelt oder nicht ausreichend abgesichert wurden. Das bedeutet, dass bei Festplattenausfällen oder Fehlern die Daten unwiederbringlich verloren gehen könnten. Fehlende Redundanz und Backup stellen ein großes Risiko dar, wenn keine Sicherungsmaßnahmen getroffen wurden. Leider wurde uns die Technische Implementierung des RAID-Systems nicht vollständig dokumentiert, sodass der genaue Zustand des Systems nicht überprüfbar war.
Was heißt das für meinen Fall?
Es besteht die Möglichkeit, dass durch die Konfiguration des RAID-Systems alle Daten von meinem PC auf Server von PBJ GmbH übertragen wurden, ohne dass ich darüber informiert wurde. Meine Daten, die ursprünglich auf meinem PC gespeichert waren, könnten über das RAID-System auf externe Server von PBJ GmbH übertragen worden sein.
Warum ich das damals als IT-Laie nicht wusste:
Als IT-Laie hatte ich keine Möglichkeit, diese Fehlkonfiguration des RAID-Systems oder den Zugriff auf meine Daten zu erkennen. Es war mir nicht ersichtlich, ob meine Daten ungesichert übertragen oder auf Servern von PBJ GmbH gespeichert wurden. Eine Aufklärung hierzu erfolgte zu keinem Zeitpunkt von PBJ, vermutlich weil ich dem NIE zugestimmt hätte.
Konsequenz:
Meine Kündigung 02/2023 gegenüber PBJ wegen schwerem Vertrauensbruch: Die technische Grundlage wurde fehlerhaft gelegt. Strukturen waren instabil, unsauber eingerichtet und öffneten den Weg für spätere Manipulationen.
02
WPRetter + BroadcastX – Übergang zur tiefen Systemmanipulation (10/2022–08/2023)**
KOSTENFAKTOR: 55.904,08 EUR
✅ PBJ-Projekt wird zur Fertigstellung an WPRetter/BroadcastX übergeben
✅ BroadcastX übernimmt die 2 Server von PBJ zur Fertigstellung
✅ BroadcastX liefert nach vollständiger Zahlung aller Rechnungen 2 Dateien (Backend/Frontend) statt funktionierender Software
✅ GitHub-Leak: Komplettierter Firmen-Code ohne Erlaubnis durch Geschäftsführer von BroadcastX hochgeladen
✅ Sicherheitskritische Zugänge im Code der Backend/Frontend-Dateien gefunden (NetAlive-Beweis)
✅ Microsoft Konto: Meine Domain wurde von BroadcastX in fremde Tenant-Struktur gezogen
Konsequenz:
Positiver Schaden entsteht: Identität, Code und technische Basis sind kompromittiert. Tenant-Manipulation beginnt hier.
03
NetAlive / Bouck-Standen – DNS-Manipulation, Apple-Sperre, Identitätsangriff (09/2023–11/2023)**
KOSTENFAKTOR: 21.847,98 EUR
✅ DNS-Einstellungen unzulässig geändert
✅ E-Mail-Adressen missbraucht
✅ Zugriff auf Firmenrechner blockiert
✅ Apple-Gerät mit Aktivierungssperre versehen
✅ Bitlogger installiert (Zugriff auf Tastatureingaben möglich)
Konsequenz:
Digitale Identität wird aktiv von NetAlive übernommen.
04
NetFactory Systemhaus – Entdeckung des Einfallstors (04/2024)**
KOSTENFAKTOR: 25.000 EUR
✅ NetFactory entdeckt ungesch�ützten Vodafone-Hotspot im Haus
✅ Erst durch NetFactory wird klar: Hotspot war jahrelang offen
✅ NetFactory legt zweiten Tenant an → macht Situation katastrophal
✅ Technische Infrastruktur wird erstmals vollständig analysiert
Konsequenz:
Der zentrale Ursprungsschaden wird sichtbar:
Ein unverschlüsselter Hotspot + fehlende Trennung = Eintritt für alle späteren Angriffe.
05
Microsoft – Tenant-Manipulation & globale Kontrolle (2023–2025)**
KOSTENFAKTOR: Systemischer Identitäts- & Infrastrukturverlust
✅ Microsoft-Tenant wurde in fremde Firmenstruktur gezogen
✅ Kein globaler Administrator → keine Wiederherstellung möglich
✅ Dienstleister hatten mehr Rechte als ich selbst
✅ Microsoft verweigert Löschung → „kein Global Admin vorhanden“
✅ Microsoft-Sicherheitslücken (Master-Key, Entra-ID) weltweit bestätigt
✅ Tenant existiert bis heute → Risiko dauerhaft aktiv
Konsequenz:
Dies ist der Hauptschaden. Ohne Tenant-Kontrolle sind:
E-Mail, Geräte, Cloud, Authentifizierung, Domain, Identität → nicht dein Eigentum.
Alle Reparaturversuche scheiterten zwangsläufig.
06
Apple – Aktivierungssperre & digitale Identitätsblockade (2023–2025)**
✅ Apple setzt Sperre trotz Eigentumsnachweis
✅ 1-Euro-Verifikation ignoriert
✅ Gerät zwei Jahre unbrauchbar
✅ Psychische Belastung extrem verstärkt
✅ Niemand bei Apple konnte oder wollte helfen
Konsequenz:
Zwei-Faktor-Authentifizierung, Apple-ID, Gerätezugriff – alles blockiert.
Die digitale Identität wurde weiter eingeschränkt.
07
Vodafone – Technisches Einfallstor / Infrastrukturversagen (2015–2024)**
✅ Ungeschützter Hotspot → jahrelang offen
✅ Port zur Wohnung nicht durchgängig verbunden
✅ Falsche Installation des ganzen Hauses
✅ Vodafone reagiert nicht
✅ Datenfluss über fremde Leitung möglich
Konsequenz:
Ohne diesen Hotspot wäre der Schaden nicht möglich gewesen.
Dies war das physisch-technische Fundament des Angriffs.
08
Vermieterin – Nichtreaktion auf Sicherheitslücken (2015–2024)**
KOSTENFAKTOR: 1.320 EUR monatlich
✅ Schriftliche Hinweise ignoriert
✅ Hausanschlüsse falsch getrennt
✅ Vodafone-Port blockiert
✅ Sicherheitslücken wurden trotz Warnungen nie adressiert
Konsequenz:
Organisatorisches Versagen verstärkte den Schaden.
Ohne die bauliche Fehlinstallation wäre der Missbrauch im Haus nicht möglich gewesen.
09
Versicherung – ERGO verweigert Leistung trotz Deckung (2024–2025)**
✅ Schaden anerkannt – dann abgelehnt
✅ Kündigung trotz laufendem Schaden
✅ Forderungsausfall nicht angewendet
✅ Rechtsschutz nicht unterstützt
✅ Digitalisierungsschäden nicht ernst genommen
Konsequenz:
Der wirtschaftliche Schaden wurde vergrößert.
Versicherungen ließen dich im kritischsten Moment allein.
10
Strafanzeigen gegen die Verantwortlichen wegen digitaler Sabotage und Missbrauch (2023–2025)**
✅ Strafanzeigen gegen die IT-Dienstleister
✅ Fehlverhalten und Manipulationen bei der Installation von Servern und Software
✅ Falsche Handhabung des Microsoft-Tenants, der mein gesamte System verwundbar machte
✅ Verzögerung durch Behörden trotz vollständiger Beweislage
✅ Unzureichende Reaktion seitens der Strafverfolgungsbehörden
Konsequenz:
Der Schaden wuchs weiter, während die Verantwortlichen nicht zur Rechenschaft gezogen wurden.
Die Behörden verzögerten die Ermittlungen und ließen die Täter ungestraft.
Fazit
Diese Timeline belegt eindeutig: Der Schaden ist nicht zufällig, sondern Ergebnis einer fortlaufenden Kette von Fehlverhalten und Manipulationen mehrerer Dienstleister, die auf eine ungesicherte Hausinstallation und fehlende Kontrolle der digitalen Infrastruktur traf. Der Identitätsmissbrauch war die Folge – nicht die Ursache
Warum ich diese Timeline veröffentliche
Damit jeder sehen kann:
Es kann jeden treffen.
- Nicht nur Unternehmer. Nicht nur IT-Unkundige. Jeden Mieter in Deutschland.
- Denn wenn technische Strukturen ungesichert sind, haben Sie keine Chance.
- Sie haben in Ihrer eigenen Wohnung keine Handlungsmöglichkeiten,
- keine Zugriffsrechte,
- keine Kontrolle,
- keine Verteidigungslinie.
- Sie sind – wie ich es war – komplett ausgeliefert.
Diese Timeline soll nicht überreden – sie soll zeigen.
Das, was passiert ist, ist eine Horrorvorstellung – aber es ist vor allem eines:
Eine real dokumentierte Abfolge von Ursache und Wirkung.
„Alle Aussagen in dieser Chronologie sind durch rechtlich belastbare Beweise untermauert. Diese Beweise können auf Anfrage eingesehen werden. Wenn Sie detaillierte Einblicke oder weitere Nachweise wünschen, zögern Sie nicht, uns zu kontaktieren.**
Quellcode-Analyse NetALive
Alle relevanten technischen Details und Bewertungen zu den verwendeten Technologien von PBJ GmbH, wpretter und BroadcastX - wie WooCommerce API, Sentry, SendinBlue und viele weitere - werden in dieser Analyse mit Risikohinweisen erläutert.
Projektbeschreibung und Implementierung
Beschreibung:
Dieser Abschnitt des Berichts beschreibt das Prüfobjekt, das als Visual Studio Lösung entwickelt wurde. Es handelt sich um ein serverseitig ausführbares Programm, das in der Programmiersprache C# implementiert wurde. Der Bericht stellt fest, dass das Projekt gut strukturiert ist, jedoch eine unzureichende Quellcode-Kommentierung und keine Dokumentation aufweist. Zudem folgt die Implementierung nicht den empfohlenen Microsoft-Richtlinien.
Auszug aus dem Bericht:
„Das Prüfobjekt liegt in Form einer Visual Studio Lösung (Entwicklungsumgebung) und den dort enthaltenen Programmteilen, sogenannten „Klassen“ vor, die in der Programmiersprache C# implementiert wurden und nach dem Schema einer objektorientierten Programmierung erstellt wurden. Die Lösung enthält außerdem eine Bibliothek-Beschreibungsdatei, mit deren Hilfe eine Liste externer Bibliotheken durch die Entwicklungsumgebung aus öffentlich zugänglichen Quellen geladen wird. Der vollständige Quellcode liegt in der Anlage dieses Berichts vor.
Projektsichtung
Das Prüfobjekt strukturiert sich in ein (serverseitig) ausführbares Programm, das komponentenweise entwickelt wurde. Es ist festzustellen:
- Die Implementierung ist klar konzipiert und strukturiert.
- Die Implementierung verfügt über eine rein dürftige Quellcode-Kommentierung und folgt damit nicht den Empfehlungen des Framework-Herstellers Microsoft, die in der Industrie allseits anerkannt werden.
- Zum vorliegenden Programm ist keine Dokumentation verfügbar oder als Anlage an das Software-Projekt gereicht.
- Einer durch die Entwicklungsumgebung automatisiert erstellten Dokumentation mangelt es an wesentlichen Informationen, da die implementierten Klassen und Methoden, wie auch der übrige Quellcode, größtenteils abweichend der Empfehlungen des Herstellers (s.o.) nicht mit entsprechenden Klassen- und Methodenkomentaren versehen wurden, die Auskunft über eine Parametrisierung, Invarianten, Sinn, Zweck oder Funktionsweise geben. Daraus folgt, dass auch eine automatisiert erstellte Quellcode-Dokumentation größtenteils ohne deskriptiven Inhalt resultieren würde. Auch diese quellcodebasierten Dokumentation müsste noch erstellt bzw. mit Hilfe der Entwicklungsumgebung generiert werden, und wird nicht als Anlage an das Projekt übermittelt.“
Festellung verwendete Bibliothek: ClosedXML
ClosedXML ist eine Open-Source .NET-Bibliothek, die speziell für das Lesen und Schreiben von Excel-Dateien entwickelt wurde. Sie bietet eine einfachere Handhabung von Excel-Dateien im Vergleich zum OpenXML SDK und ermöglicht eine schnelle und einfache Bearbeitung von .xlsx und .xlsm-Dateien.
Auszug aus dem Bericht:
„ClosedXML ist eine Open-Source .NET-Bibliothek, die das Lesen, Manipulieren und Schreiben von Excel-Dateien im Format 2007+ (.xlsx, .xlsm) ermöglicht. Sie wurde entwickelt, um eine höhere Abstraktionsebene über dem OpenXML SDK zu bieten, um das Arbeiten mit Excel-Dateien zu vereinfachen.“
Hauptfunktionen:
- Einfachheit: Kein tiefgehendes Wissen über OpenXML erforderlich.
- Reichhaltige Funktionen: Ermöglicht Aufgaben wie das Hinzufügen und Löschen von Arbeitsblättern, Manipulieren von Zellen und Formeln.
Festellung verwendete Bibliothek: coverlet.collector
Beschreibung:
coverlet.collector ist ein Teil des Coverlet-Projekts und bietet eine Lösung zur Code-Abdeckungsanalyse für .NET. Es hilft Entwicklern dabei, zu verstehen, welcher Teil des Codes durch Tests abgedeckt wird und welche Teile noch ungetestet bleiben.
Auszug aus dem Bericht:
„coverlet.collector ist ein Teil des Coverlet-Projekts, das für .NET eine Code-Coverage-Lösung bietet. Code-Coverage-Tools messen, welcher Teil des Codes während der Ausführung von Tests tatsächlich ausgeführt wird, was den Entwicklern hilft, die ungetesteten Bereiche zu identifizieren.“
Hauptfunktionen:
- Plattformübergreifend: Unterstützt sowohl .NET Framework als auch .NET Core.
- Integration in Test-Frameworks: Funktioniert mit xUnit, NUnit und MSTest.
- Verschiedene Ausgabefunktionen: Ergebnisse können in verschiedenen Formaten wie Cobertura, LCOV und OpenCover exportiert werden.
Festellung verwendete Bibliothek: Sentry.AspNetCore
Beschreibung:
Sentry.AspNetCore ist die offizielle Integration von Sentry für ASP.NET Core-Anwendungen. Sie hilft Entwicklern, Fehler und Performance-Probleme in Echtzeit zu überwachen und zu beheben, indem sie detaillierte Fehlerberichte liefert und eine umfassende Fehlerdiagnose ermöglicht.
Auszug aus dem Bericht:
„Sentry.AspNetCore ist die offizielle Integration von Sentry für ASP.NET Core-Anwendungen. Sentry selbst ist eine Open-Source- und gehostete Fehlerverfolgungsplattform, die Entwicklern hilft, Fehler, Abstürze, Fehler und Performance-Probleme in ihren Anwendungen in Echtzeit zu überwachen.“
Hauptfunktionen:
- Echtzeit-Fehlerberichte: Fehler werden sofort analysiert und dem Entwickler zur Überprüfung präsentiert.
- Performance-Monitoring: Überwacht die Anwendungsleistung, um Flaschenhälse und Performance-Probleme zu identifizieren.
- Benutzerdefinierte Daten senden: Entwicklern ermöglicht es, zusätzliche Daten an Sentry zu senden, um die Fehlerdiagnose zu verbessern.
Festellung verwendete Bibliothek: sib_api_v3_sdk
Das sib_api_v3_sdk ist das offizielle SDK für die SendinBlue RESTful API Version 3. Es ermöglicht Entwicklern, E-Mail-Marketing und SMS-Kampagnen direkt aus ihren C#-Anwendungen heraus zu automatisieren und zu integrieren.
Auszug aus dem Bericht:
„sib_api_v3_sdk ist die offizielle SDK für SendinBlue's RESTful API Version 3, speziell für die C#-Sprache. SendinBlue ist eine Online-Marketingplattform, die Tools für E-Mail-Marketing, SMS-Kampagnen und andere ähnliche Dienstleistungen anbietet.“
Hauptfunktionen:
- Automatisierung: Ermöglicht das Automatisieren von E-Mails, Kampagnen und Kontaktverwaltung.
- Integration: Lässt sich problemlos in bestehende Systeme oder Webseiten integrieren.
- Zugriff auf alle API-Funktionen: Bietet vollen Zugriff auf die Funktionen der SendinBlue API, einschließlich des Versendens von Transaktions-E-Mails und Verwaltung von Kontakten.
Festellung verwendete Bibliothek: Swashbuckle.AspNetCore
Beschreibung:
Swashbuckle.AspNetCore ist eine Bibliothek für .NET Core-Anwendungen, die Swagger- und OpenAPI-Dokumentationen für ASP.NET Core-Web-APIs erstellt. Sie hilft Entwicklern, ihre APIs automatisch zu dokumentieren und interaktive Benutzeroberflächen zur Verfügung zu stellen.
Auszug aus dem Bericht:
„Swashbuckle.AspNetCore ist eine Bibliothek für .NET Core-Anwendungen, die Werkzeuge zur Erstellung von Swagger- und OpenAPI-Dokumentationen für ASP.NET Core-Web-APIs bietet.“
Hauptfunktionen:
- Automatische API-Dokumentation: Erstellt Swagger/OpenAPI-Spezifikationen automatisch.
- Swagger UI bereitstellen: Bietet eine interaktive Benutzeroberfläche zur API-Dokumentation.
- API-Versionierung: Unterstützt die Versionierung von APIs, um verschiedene Versionen effektiv zu dokumentieren.
Festellung verwendete Bibliothek: Swashbuckle.AspNetCore
Beschreibung:
Swashbuckle.AspNetCore ist eine Bibliothek für .NET Core-Anwendungen, die Swagger- und OpenAPI-Dokumentationen für ASP.NET Core-Web-APIs erstellt. Sie hilft Entwicklern, ihre APIs automatisch zu dokumentieren und interaktive Benutzeroberflächen zur Verfügung zu stellen.
Auszug aus dem Bericht:
„Swashbuckle.AspNetCore ist eine Bibliothek für .NET Core-Anwendungen, die Werkzeuge zur Erstellung von Swagger- und OpenAPI-Dokumentationen für ASP.NET Core-Web-APIs bietet.“
Hauptfunktionen:
- Automatische API-Dokumentation: Erstellt Swagger/OpenAPI-Spezifikationen automatisch.
- Swagger UI bereitstellen: Bietet eine interaktive Benutzeroberfläche zur API-Dokumentation.
- API-Versionierung: Unterstützt die Versionierung von APIs, um verschiedene Versionen effektiv zu dokumentieren.
Nutzung der WooCommerce API
Beschreibung:
Im Bericht wird die WooCommerce API als externer Dienst verwendet, der in Verbindung mit dem WordPress-System des Auftraggebers eingesetzt wird. WooCommerce ermöglicht es, physischen und digitalen Produkte zu verkaufen, verschiedene Versand- und Zahlungsoptionen zu konfigurieren und den Betrieb eines Online-Shops zu verwalten.
Auszug aus dem Bericht:
„Im Prüfobjekt kommt außerdem die Nutzung der API des Online-Shop-Systems WooCommerce zum Einsatz. Rein hypothetisch darf hier angenommen werden, dass dieses in Zusammenhang mit der vom Auftraggeber betriebenen Webseite im System WordPress steht, die frei im Internet verfügbar ist. Mit WooCommerce können Anbieter, wie etwa hier der Auftraggeber, physische und digitale Produkte verkaufen, verschiedene Versand- und Zahlungsoptionen konfigurieren, Steuersätze verwalten und viele weitere Funktionen nutzen, die für den Betrieb eines Online-Geschäfts erforderlich sind.“
Hauptfunktionen:
- Verkauf von Produkten: WooCommerce ermöglicht den Verkauf von physischen und digitalen Produkten.
- Versand- und Zahlungsoptionen: Konfiguration von Versandmethoden und Zahlungen.
- Flexibilität: Besonders geeignet für kleine bis mittelgroße Unternehmen, die eine kostengünstige E-Commerce-Lösung suchen.
Methodik der Berichtserstellung
Beschreibung:
In diesem Abschnitt wird die Methodik beschrieben, die bei der Erstellung des Berichts verwendet wurde. Es wird erläutert, wie der Programmiercode des Prüfobjekts Zeile für Zeile durchgesehen und auf mögliche Weitergabe von Daten an Dritte hin untersucht wurde. Außerdem wird der Einsatz von Microsoft Visual Studio 2022 zur Analyse des Codes erläutert, einschließlich der Prüfung von Variablen und Objektbeziehungen.
Auszug aus dem Bericht:
„Zur Erstellung dieses Berichts werden zunächst die externen Bibliotheken des Programms untersucht und hinsichtlich einer möglichen Weitergabe von Daten an Dritte hin evaluiert. Im Anschluss wird der vorliegende Programmcode des Prüfobjekts Zeile für Zeile durchgesehen und die Funktionsweise nachverfolgt, um die Eingang definierten Fragen unter dem diesem Bericht zugrunde liegenden Einschränkungen zu beantworten.“
Hauptfunktionen der Methodik:
- Zeilenweise Prüfung des Programmcodes: Der Code wurde detailliert überprüft, um mögliche Sicherheitsrisiken zu identifizieren.
- Evaluierung der externen Bibliotheken: Bibliotheken werden hinsichtlich ihrer Funktionalität und Datenweitergabe an Dritte überprüft.
- Einsatz von Microsoft Visual Studio 2022: Der Code wurde in einer modernen Entwicklungsumgebung analysiert, um mögliche programmiertechnische Zusammenhänge nachzuvollziehen.
Prüfung der ClosedXML-Bibliothek
Beschreibung:
In diesem Abschnitt wird die ClosedXML-Bibliothek auf ihre Nutzung und potenzielle Sicherheitsrisiken untersucht. Sie wird im Prüfobjekt verwendet, um Excel-Dateien zu erstellen und zu bearbeiten, jedoch werden dabei auch Risiken im Hinblick auf Datenintegrität und Sicherheit aufgezeigt, besonders wenn sie in Verbindung mit unsicheren Serverkonfigurationen verwendet wird.
Auszug aus dem Bericht:
„ClosedXML wird im Zusammenhang mit der durch das Prüfobjekt durchgeführten Datenaufbereitung genutzt und dazu verwendet, um Excel-Dateien zu erstellen bzw. auszulesen. […] Erfahrungsgemäß stellt die ordnungsgemäße Verwendung dieser Bibliothek kein Risiko für die Anwendung im Zusammenhang mit der Prüffrage dar. Auch aus der vorliegenden Implementierung folgt kein ablenkbares Risiko in der beabsichtigten oder tatsächlichen Verwendung.“
Risiken und Bedenken:
- Unmittelbares Risiko für die Datensicherheit: Wenn ClosedXML nicht korrekt verwendet wird, können unsichere Serverkonfigurationen einen unbefugten Zugriff auf das Verzeichnis ermöglichen, in dem die Excel-Daten gespeichert werden.
- Zugriff über SSH oder unsichere Verzeichniskonfigurationen: Wenn der Zugriff auf das Verzeichnis über eine unsichere Konfiguration (z.B. fehlende Schreibschutzrechte oder ungesicherte SSH-Verbindungen) ermöglicht wird, könnten Dritte unbefugten Zugriff auf die Daten erlangen.
Prüfung der Sentry.AspNetCore
Beschreibung:
Die Sentry.AspNetCore-Bibliothek wird verwendet, um Fehler- und Leistungsdaten an den Sentry-Dienst zu senden. Sentry hilft Entwicklern, Fehler und Performance-Probleme in Echtzeit zu überwachen, zu analysieren und zu beheben. In diesem Abschnitt wird erläutert, wie die Bibliothek im ASP.NET Core-Projekt eingesetzt wird und wie sie potenziell personenbezogene Daten auf unsichere Weise überträgt.
Auszug aus dem Bericht:
„Die Bibliothek Sentry.AspNetCore wurde speziell entwickelt, um Fehler- und Leistungsdaten an den Sentry-Dienst zu senden. Dies ist der primäre Zweck von Sentry: Es sammelt, analysiert und präsentiert Fehler, Abstürze und Leistungsinformationen von Ihren Anwendungen, damit Sie diese Probleme beheben können.“
„Sentry wird im vorliegenden Programmcode offenbar zum Loggen von Nachrichten verwendet. Geloggt wird hierbei aber zu einer externen Internetadresse, die mangels einer Auftragsverarbeitungsvereinbarung des öffentlich einsehbaren Betreibers der unter der Domain „sentry.broadcastx.io“ als außerhalb des Einflussbereichs des Auftraggebers zu bewerten ist.“
„In den Applikationseinstellungen, die jeweils bei Start des Programms geladen werden und in der Datei appsettings.json verzeichnet sind, ist hier der Datenempfänger spezifiziert unter „https://7209d1fa5cb24fa2a58a2f528b5571ac@sentry.broadcastx.io/34“
(Zeilen-Trennzeichen zur besseren Lesbarkeit durch den Autor eingefügt)“
Risiken und Bedenken:
- Übertragung von personenbezogenen Daten: Es wird klar, dass Sentry möglicherweise personenbezogene Daten überträgt, die nicht gemäß den Datenschutzrichtlinien des Auftraggebers verarbeitet werden.
- Fehlende Auftragsverarbeitungsvereinbarung: Die Datenübertragung erfolgt ohne vertragliche Absicherung, was rechtliche Bedenken aufwirft.
- Sicherheitsrisiko bei externen Servern: Da Sentry-Daten an externe Server übertragen werden, die außerhalb des Einflussbereichs des Auftraggebers liegen, stellt dies ein potenzielles Sicherheitsrisiko dar.
Prüfung der SendinBlue API (sib_api_v3_sdk)
Beschreibung:
Die sib_api_v3_sdk ist das offizielle SDK für die Integration der SendinBlue RESTful API Version 3 in C#. Sie wird verwendet, um E-Mail- und SMS-Kampagnen zu automatisieren und Benutzerdaten an SendinBlue zu übertragen. Dabei werden personenbezogene Daten wie Aktivierungs-, Registrierungs- und Zugangsdaten sowie E-Mail-Nachrichten gesendet, was mit Sicherheitsrisiken verbunden ist.
Auszug aus dem Bericht:
„Die sib_api_v3_sdk ist das offizielle SDK für SendinBlue's RESTful API Version 3 für C#. […] Im Prüfobjekt werden Daten über SendinBlue-Dienste versendet:
1. Aktivierungs-, Registrierungs- und Zugangsdaten von Benutzern und solche E-Mail-Nachrichten, die sich auf diese Daten beziehen.
2. Personenbezogene Daten von Benutzern.“
„Der Versand von Nachrichten zu (2) stellt ein erhebliches Risiko dar. Der E-Mail-Versand erfolgt unverschlüsselt, insofern ist es Dritten möglich, ohne Systemzugriff auf das Prüfobjekt (oder die Systeme des Benutzers) auf dem Kommunikationsweg Zugriff auf die Daten des Benutzers zu nehmen.“
Risiken und Bedenken:
- Unverschlüsselter Versand: Der Versand von Nachrichten über SendinBlue erfolgt unverschlüsselt, was das Risiko birgt, dass Dritte Zugriff auf personenbezogene Daten erhalten könnten.
- Sicherheitslücken bei E-Mail-Daten: Die Verwendung von E-Mail zur Übertragung von Daten stellt ein Sicherheitsrisiko dar, da die Daten im Kommunikationsweg abgefangen werden könnten.
- Empfehlung: Es wird empfohlen, Daten nur nach Login zu übertragen und sicherzustellen, dass die Verbindung zwischen dem Prüfobjekt und dem Webbrowser des Benutzers ausreichend gesichert ist.
Prüfung der Swashbuckle.AspNetCore
Beschreibung:
Swashbuckle.AspNetCore wird verwendet, um API-Dokumentationen für ASP.NET Core-Webanwendungen zu erstellen und bereitzustellen. Diese Dokumentation wird in Swagger/OpenAPI-Spezifikation umgewandelt, sodass Entwickler und Drittanbieter darauf zugreifen können. Im Bericht wird jedoch darauf hingewiesen, dass dabei Vertraulichkeitsprobleme entstehen können, wenn sensible Informationen öffentlich zugänglich gemacht werden.
Auszug aus dem Bericht:
„Die Bibliothek Swashbuckle.AspNetCore bietet in erster Linie ein Werkzeug zur Erstellung und Bereitstellung von API-Dokumentationen für ASP.NET Core-Webanwendungen mittels der Swagger/OpenAPI-Spezifikation. […] Wird diese Bibliothek in einer Anwendung verwendet, wird eine Swagger UI-Oberfläche und eine zugehörige OpenAPI-Spezifikationsdatei generiert.“
Risiken und Bedenken:
- Zugriffskontrolle: Wenn die Dokumentation öffentlich zugänglich ist, können sensible Informationen, wie z.B. API-Endpunkte oder Systemdetails, ungewollt preisgegeben werden.
- Dokumentationsinhalte: Es ist wichtig, dass keine internen Systeminformationen oder vertrauliche Datenstrukturen in der API-Dokumentation veröffentlicht werden.
- Erweiterungen und Plugins: Bei Verwendung von Erweiterungen oder Plugins mit Swashbuckle muss auch die Datenschutzrichtlinie überprüft werden, um sicherzustellen, dass keine ungewollte Datenübertragung stattfindet.
Zusammenfassung:
„Auf der Grundlage des vorliegenden Quellcodes ist nicht zu erkennen, dass Softwareumgebung oder auf einem Server ausgeführte Software mittels der Bibliothek Swashbuckle.AspNetCore während eines Einsatzes auf einem Serversystem Dokumentationsinformationen generiert und über diesen öffentlich bereitstellt.“
Prüfung der xUnit.net
Beschreibung:
xUnit.net ist ein Test-Framework für .NET-Anwendungen, das hauptsächlich verwendet wird, um Unit-Tests lokal zu definieren und auszuführen. Das Framework sendet keine Daten an Dritte, kann jedoch bei der Verwendung von zusätzlichen Plugins oder Integrationen Daten weitergeben, was zu Datenschutzrisiken führen kann, insbesondere wenn Testprojekte öffentlich gemacht werden.
Auszug aus dem Bericht:
„xUnit.net führt Tests lokal aus, und es gibt keinen eingebauten Mechanismus, der Daten zu externen Servern sendet. […] Während xUnit.net selbst keine Daten sendet, könnten bestimmte Integrationen oder Plugins, die in Verbindung mit xUnit verwendet werden, dies tun. Es ist immer ratsam, die Dokumentation und Datenschutzrichtlinien von zusätzlichen Tools oder Plugins zu überprüfen, die in Ihrer Testumgebung verwendet werden.“
Risiken und Bedenken:
- Lokale Ausführung: xUnit.net führt Tests lokal aus und sendet keine Daten an Dritte.
- Integration von Plugins: Bestimmte Plugins oder Integrationen könnten Daten senden, die möglicherweise ungewollt an externe Server weitergegeben werden.
- Datensensibilität: Es wird darauf hingewiesen, dass sensible oder vertrauliche Daten geschützt und nicht versehentlich preisgegeben werden sollten, besonders wenn Testprojekte in öffentlichen Repositories gespeichert werden.
Prüfung von FileWatcher und Schnittstellen zu externen Programmen
Beschreibung:
FileWatcher wird im Prüfobjekt eingesetzt, um Dateien aus einem überwachten Systemverzeichnis zu überwachen und an ein externes Programm namens ALF weiterzugeben. Der Bericht beschreibt die potenziellen Risiken dieser Schnittstelle, insbesondere in Bezug auf Fehlkonfigurationen von Lese- und Schreibrechten, die zu unbefugtem Zugriff auf personenbezogene Daten führen könnten.
Auszug aus dem Bericht:
„Im Prüfobjekt kommt ein Hintergrunddienst zum Einsatz, mit dem eine Datei-basierte Schnittstelle zu einem externen Programm ALF realisiert wird. Sobald Dateien aus ALF im vom Prüfobjekt überwachten Systemverzeichnis gespeichert werden, beginnt die Verarbeitung im Prüfobjekt.“
„Bei einer hypothetisch angenommenen Fehlkonfiguration von Lese- und Schreibrechten auf dem Produktivsystem wäre es daher potenziell möglich, personenbezogene Daten von Benutzern abzurufen oder zu manipulieren.“
Risiken und Bedenken:
- Unzureichende Rechteverwaltung: Wenn Lese- und Schreibrechte nicht korrekt konfiguriert sind, könnte dies zu unbefugtem Zugriff auf sensible Daten führen.
- Datenmanipulation: Fehlerhafte Berechtigungen könnten es Dritten ermöglichen, Daten zu ändern oder zu stehlen, insbesondere wenn es sich um personenbezogene Daten handelt.
Prüfung WooCommerce API und Sicherheitsaspekte
Beschreibung:
In diesem Abschnitt wird die WooCommerce API beschrieben, die im Prüfobjekt zur Integration von E-Commerce-Funktionen verwendet wird. Es wird auch auf die Sicherheitsaspekte eingegangen, die beachtet werden müssen, um personenbezogene Daten zu schützen. Dazu gehören die Authentifizierung, Berechtigungen, Transport Layer Security (TLS) und die Verwendung von Drittanbieter-Plugins.
Auszug aus dem Bericht:
„Das vorliegende Prüfobjekt nutzt die Schnittstelle von WooCommerce zum Einsatz. Der Auftraggeber betreibt über seine mit dem Programm WordPress gehostete Webseite einen Online-Shop, aus dem per WooCommerce API beispielweise Bestellinformationen durch den Quellcode des Prüfobjekts abgefragt werden.“
„Sicherheitsaspekte in WooCommerce sind:
- Authentifizierung: Die WooCommerce REST API verwendet ein Authentifizierungssystem auf Basis von Consumer Keys und Secrets.
- Berechtigungen: API-Schlüssel können so konfiguriert werden, dass sie nur Lesezugriff oder Lese-/Schreibzugriff haben.
- Transport Layer Security (TLS): Bei Nutzung der WooCommerce API ist es dringend empfohlen, ausschließlich TLS-gesicherte Verbindungen zu nutzen.“
Risiken und Bedenken:
- Externe Plugins und Erweiterungen: Bei der Installation von Plugins (z.B. Zahlungs-Gateways) sollten Datenschutzrichtlinien überprüft werden, da diese Daten an Dritte senden können.
- Fehlerberichterstattung und Unterstützung: Bei Problemen könnten Daten an externe Dienstleister gesendet werden, was zu einem Sicherheitsrisiko führen kann.
Zusammenfassung:
„Zusammenfassend lässt sich feststellen, dass die WooCommerce API sicher ist, wenn sie richtig konfiguriert und verwaltet wird. Sicherheit erfordert jedoch einen mehrschichtigen Ansatz, der die gesamte Umgebung berücksichtigt.“
Prüfung Applikationseinstellungen in appsettings.json und Sicherheitsrisiken
Beschreibung:
Dieser Abschnitt bezieht sich auf die Konfigurationseinstellungen der Applikation, die in der Datei appsettings.json gespeichert werden. Der Bericht zeigt auf, dass diese Datei Zugangsdaten und API-Schlüssel enthält, die möglicherweise auch auf GitHub gespeichert und somit von Dritten eingesehen und kompromittiert werden könnten.
Auszug aus dem Bericht:
„Die Konfigurationsdaten der Applikation werden, wie allgemein üblich, in der Datei appsettings.json gespeichert. […] Als Teil des Prüfobjekts wurde dem Autor durch den Auftraggeber eine appsettings.json-Datei gereicht, in der tatsächliche und funktionierende Zugangsdaten und API-Schlüssel verzeichnet sind.“
„Es ist anzunehmen, dass diese auch anderweitig, und möglicherweise auch für Dritte zugänglich in GitHub gespeichert und folglich kompromittiert sind.“
Risiken und Bedenken:
- Speicherung von Zugangsdaten und API-Schlüsseln: Diese Informationen könnten ohne ausreichend Schutz in öffentlichen Repositories landen und so potenziellen Dritten zugänglich werden.
- Komprimierte Sicherheitslücken: Wenn Zugangsdaten in öffentlich zugänglichen Bereichen wie GitHub gespeichert werden, kann dies zu schwerwiegenden Sicherheitsrisiken führen, da nicht autorisierte Entwickler auf diese Daten zugreifen könnten.
Zusammenfassung:
„Der Bericht warnt vor den Risiken der Speicherung von sensiblen Daten, wie Zugangsdaten und API-Schlüsseln, in appsettings.json, insbesondere wenn diese Informationen in öffentlichen GitHub-Repositories gespeichert werden
Prüfung Nutzung von externen Paketquellen (nuget.config) und Sicherheitsaspekte
Beschreibung:
Dieser Abschnitt beschreibt die Verwendung von externen Paketquellen über nuget.config, um Bibliotheken in das Prüfobjekt zu integrieren. Es wird erklärt, wie Microsoft NuGet als sichere Quelle dient, während die Nutzung von unsicheren Quellen potenzielle Sicherheitsrisiken birgt, insbesondere wenn Pakete von Dritten über unsichere Repositories bezogen werden.
Auszug aus dem Bericht:
„Mithilfe der Entwicklungsumgebung Microsoft Visual Studio lassen sich externe Programm-Bibliotheken aus öffentlich zugänglichen Quellen laden. Hierzu betreibt Microsoft das Portal NuGet, welches einen Zugang zu öffentlichen Programm-Bibliotheken, zu über 90% aus Open-Source-Projekten bereitstellt.“
„Die Paketkonfigurationsdatei des Projekts enthält (neben dem sicheren NuGet) externe Quellen, die dem Auftraggeber potenziell nicht länger zur Verfügung stehen könnten. Hierbei handelt es sich mit der Quelle „BCX“ (vgl. nuget.config, Zeile 4) offenbar um eine vom Auftraggeber beschäftigte Entwickler betriebene Quelle.“
Risiken und Bedenken:
- Unbekannte Quellen: Die Nutzung von externen Quellen wie „BCX“ birgt das Risiko, dass Bibliotheken von unsicheren Quellen bezogen werden, die nicht mehr zugänglich oder von Dritten kompromittiert werden könnten.
- Veränderte Zugriffsrechte: Wenn der Zugriff auf die Paketquelle durch eine Änderung der Zugangsdaten eingeschränkt wird, könnte der Zugriff auf wichtige Funktionen und Pakete verloren gehen.
Sicherheitslücken: Durch die Verwendung von unsicheren Paketquellen können Sicherheitslücken eingeführt werden, die Angreifern den Zugang zum Quellcode oder zu Daten ermöglichen.
Empfohlene Maßnahmen:
- Vertrauenswürdige Quellen nutzen: Bekannte und vertrauenswürdige Quellen wie NuGet verwenden, um Sicherheitslücken zu vermeiden.
- Lizenzen überprüfen: Sicherstellen, dass jede verwendete Bibliothek über eine klare Lizenz verfügt.
- Regelmäßige Updates: Bibliotheken regelmäßig aktualisieren, um bekannte Sicherheitslücken zu schließen.
- Überprüfung von Quellcode: Wenn möglich, den Quellcode von Bibliotheken überprüfen, um sicherzustellen, dass keine Sicherheitslücken vorhanden sind.
Bewertung und Interpretation der Sicherheitsaspekte
Beschreibung:
In diesem Abschnitt werden die wichtigsten Sicherheitsaspekte des Prüfobjekts bewertet. Es wird auf Schwachstellen hingewiesen, die sowohl die Datensicherheit als auch die Einhaltung datenschutzrechtlicher Vorschriften betreffen. Besondere Bedenken gibt es bei der Konfiguration des Produktivsystems, der Verwendung von APIs, der Integration externer Bibliotheken und dem Umgang mit Zugangsdaten.
Auszug aus dem Bericht:
„Der Befund zeigt deutliche Schwachstellen im Prüfobjekt, die die Datensicherheit und die Einhaltung datenschutzrechtlicher Vorschriften generell oder unter spezifischen Umständen gefährden. Die Eintrittswahrscheinlichkeit der spezifischen Umstände wird dadurch begünstigt, dass keine geeignete Dokumentation vorliegt, die einem Administrator ohne Kenntnisse des Quellcodes eine ordnungsgemäße Installation der Software für einen Produktivbetrieb auf einem Server ermöglicht.“
„Die Nutzung von GitHub als Repository-System eines Nicht-Open-Source-Projekts stellt ein potenzielles Risiko dar, da der Quellcode vollständig durch Dritte – auch vom Auftraggeber – möglicherweise unbemerkt eingesehen oder abgegriffen werden kann.“
Kritische Punkte:
- Produktivsystem-Konfiguration: Eine mangelhafte Konfiguration des Systems, insbesondere bei der Zugriffssteuerung und der Zugriffsberechtigung, wurde als hochgradig bedenklich eingestuft.
- Sicherheitsrisiken bei der API-Nutzung: Die Nutzung von SendinBlue und die ungesicherte Übertragung von Zugangsdaten stellt ein Datensicherheitsrisiko dar.
- API-Schlüssel in GitHub: Zugangsdaten und API-Schlüssel sollten nicht in öffentlichen Repositories gespeichert werden, um unbefugten Zugriff zu verhindern.
- Drittanbieter-Plugins: Die Verwendung von Drittanbieter-Plugins birgt das Risiko, dass externe Dienstleister auf Daten zugreifen könnten, die über unsichere Kanäle übertragen werden.
Empfohlene Maßnahmen:
- Zugangsdaten müssen regelmäßig geändert und neue API-Schlüssel generiert werden, um unbefugten Zugriff zu verhindern.
- Regelmäßige Sicherheitsüberprüfungen durchführen, um bekannte Schwachstellen zu beheben.
- Überprüfung von Bibliotheken und externen Quellen auf ihre Sicherheitspraktiken.
Kurzanalyste zum unzulässigen Download auf Github
Beschreibung:
Der Kurzbericht zu GitHub untersucht die Verwendung von GitHub als Repository-System für nicht-Open-Source-Projekte. Es wird darauf hingewiesen, dass Daten über GitHub potenziell an Dritte weitergegeben werden, insbesondere bei nicht korrekt konfigurierten Repositories. Zudem wird der Zugriff auf den Quellcode kritisch bewertet.
Auszug aus dem Bericht:
„Die Nutzung von GitHub für Projekt, das nicht als Quelloffenes Open-Source-Projekt bereitgestellt werden soll, sondern speziell als Individualsoftware für einen spezifischen Auftraggeber entwickelt wurde, ist kritisch. Das u.a. den USA gehostete GitHub (Sitz des Betreibers) unterliegt nicht nur den dortigen Nutzungsbedingungen, sondern diese ebenfalls einem anderen Rechtsraum entspringenden Gesetzen und Verordnungen, die für den Auftraggeber weder verständlich noch greifbar sein könnten.
Die Wahl von GitHub als ein Repository-System für ein dem Geschäftsgeheimnis unterliegendes Softwareprojekt wird der Autor als kritisch und verantwortungslos gegenüber dem Auftraggeber bewerten. Stattdessen hätte beispielsweise das System „GitTea“ eingesetzt werden können, das über einen internen Server betrieben wird, auf den der Auftraggeber jederzeit uneingeschränkten Zugriff auf den Quellcode hat.“
„Der Quellcode des Auftraggebers befindet sich nun potenziell auf einer nicht näher spezifizierten Anzahl an Systemen Dritter, die außerhalb des Kenntnis-, und Verantwortungsbereichs sowie Zugriffs des Auftraggebers liegen. Sofern hier beispielsweise ein unberechtigter Zugriff eines Dritten (sei es intern bei GitHub, einem von GitHub eingesetzten Subunternehmer, oder eines „Hackers“, der sich unbefugt Zugriff auf den Code bei GitHub oder Subunternehmern von GitHub nimmt, oder möglicherweise durch einen Zugriff des Entwicklers auf des Codes bemächtigt), wäre ein unbefugter Zugriff des Entwicklers über das Repository des Auftraggebers möglich.“
„Der Zugriff auf das GitHub Repository des Auftraggebers wird durch API-Schlüssel und Zugangsdaten gesteuert, jedoch bleibt die Frage, wer auf die Repositorys des Auftraggebers zugreifen kann und wie diese Daten innerhalb von GitHub gespeichert sind, höchst bedenklich. Der Auftraggeber hatte zu diesem Zeitpunkt keine Kenntnis darüber, dass seine Repositorys und API-Daten öffentlich zugänglich sind.“
Risiken und Bedenken:
- Unbefugter Zugriff auf GitHub: Das Hochladen von nicht-Open-Source-Projekten auf GitHub kann zu Zugriffsrisiken durch Dritte führen, da diese unbefugten Zugriff auf den Quellcode erhalten könnten.
- Sicherheitslücken durch unzureichende Konfiguration: Wenn das Repository öffentlich oder unsachgemäß konfiguriert ist, kann es zu einem Zugang von Unbefugten und Datenmissbrauch kommen.
Empfohlene Maßnahmen:
- Verwendung von sicheren Repository-Systemen: GitHub sollte nur für Open-Source-Projekte verwendet werden. Für nicht-öffentliche Projekte ist es ratsam, ein internes Repository-System zu nutzen.
- Zugangskontrollen und Verschlüsselung: Alle Zugangsdaten und API-Schlüssel sollten gesichert und nicht öffentlich zugänglich gemacht werden.
- Verwendung von privaten Repositories: Repositories, die vertrauliche Daten enthalten, sollten immer privat und mit entsprechenden Zugriffskontrollen versehen werden.
Zusammenfassung:
„Der Zugang zu GitHub-Repositories sollte streng kontrolliert werden. Eine private Repository-Verwendung oder der Einsatz eines internen Servers wäre sicherer, um die Vertraulichkeit des Quellcodes zu gewährleisten.“
Teilen Sie Ihre Erfahrungen - helfen Sie, Systemlücken zu schließen.
Wir möchten von Ihnen hören.
Haben Sie ähnliche digitale Angriffe, Sabotagen oder Probleme mit Dienstleistern, Behörde, Auftragsverarbeitern wie Microsoft, Vodafone, Apple oder anderen BIG-Playern erlebt? Erzählen Sie uns von Ihrer Geschichte. Wir sammeln Erfahrungen, um Transparenz zu schaffen, Systemfehler besser zu verstehen und künftige Schäden einzuordnen.
Teilen Sie Ihre Geschichte mit uns:
Expertise
Rechtliches
Diese Website dient der Dokumentation realer Fälle und persönlicher Erfahrungen.
Alle Inhalte wurden nach bestem Wissen erstellt. Die Darstellung dient der Einordnung wiederkehrender Sachverhalte anhand dokumentierter Vorgänge. Eine rechtliche Beratung findet nicht statt.
Namen und personenbezogene Daten werden, soweit erforderlich, anonymisiert.
© GSt – Gutachter-Staffel
Alle Inhalte dieser Website sind urheberrechtlich geschützt.