Get best of the week

Wie arbeitet Cisco seit 20 Jahren im Fernzugriffsmodus und ohne Perimeter?

Cisco lebt seit etwa 20 Jahren ohne den üblichen Umkreis, und seine Mitarbeiter genießen alle Vorteile der Remote-Arbeit. Ich erinnere mich, als ich 2004 zu Cisco kam, bekam ich einen Unternehmens-Laptop mit installiertem Cisco VPN-Client in die Hände und bekam das Recht, von ... aber von überall aus zu arbeiten. Während dieser Zeit arbeitete ich von zu Hause und vom Hotel aus, vom Zug und Taxi, vom Flugzeug in 10.000 Metern Höhe und in der U-Bahn. Tatsächlich haben wir das Prinzip "Arbeit wo ich bin" und nicht "Ich wo Arbeit ist" umgesetzt. Wie haben wir das geschafft? Wie haben wir das Konzept eines „vertrauenswürdigen Unternehmens“ umgesetzt, das uns seit vielen Jahren dabei hilft, unangenehme Ereignisse nicht zu bemerken, die viele von uns obdachlos machen (natürlich gibt es eine Reihe von Prozessen, die physische Präsenz erfordern, zum Beispiel die Herstellung von Geräten)?

Bild

Ich beginne mit der Tatsache, dass die Mehrheit der Cisco-Mitarbeiter nach dem Prinzip lebt, „die Beine des Wolfes zu füttern“, das heißt, es ist ständig in Bewegung. Jemand geht zu Kunden, jemand zu Partnern, jemand zu Auftragnehmern und Lieferanten, jemand spricht auf verschiedenen Konferenzen. Natürlich gibt es diejenigen, die hauptsächlich im Büro arbeiten, aber diese Mitarbeiter haben die Möglichkeit, außerhalb des Büros zu arbeiten. Dieser vor vielen Jahren verfolgte Ansatz zwang uns, die traditionelle IT-Architektur zu überdenken, die das Vorhandensein eines Umkreises impliziert, der das Unternehmen und seine wertvollen IT-Ressourcen umgibt, sowie ein oder zwei kontrollierte Grenzübergänge. Heute können Sie in Cisco-Daten zwischen beliebigen Benutzern, Geräten und Anwendungen navigieren, die sich überall befinden. Natürlich sprechen wir von kontrollierter Bewegung.Auf jeden Fall sind wir nicht länger an das Konzept des „Perimeters“ gebunden und geben es auch dann auf, wenn der Begriff „Deperimetrisierung“ (Sie werden ihn nicht zum ersten Mal aussprechen, oder?) Noch nicht verwendet wurde und das Konzept des Zero Trust noch nicht einmal geboren wurde .

Bild

Dann überlegte unser IT-Service zusammen mit dem Cybersicherheits-Service, wie sichergestellt werden kann, dass einerseits die Mitarbeiter des Unternehmens arbeiten können. Ich werde nicht durch die Anforderung eingeschränkt, dass sich die meiste Zeit innerhalb des Unternehmensbereichs befindet, und andererseits durch die Daten und Anwendungen des Unternehmens wurden zuverlässig vor einer Vielzahl von Bedrohungen geschützt. Wir haben viele verschiedene Optionen ausprobiert, aber alle hatten bestimmte Mängel, da das schwächste Glied in ihnen der Laptop eines remote arbeitenden Mitarbeiters war, der sich nicht im Schatten von Unternehmenssicherheitstools befand und ein Einstiegspunkt für Angreifer in unser Netzwerk werden konnte. Und Versuche, Benutzer zu zwingen, immer in einem VPN zu arbeiten, um den gesamten Datenverkehr auf dem Perimeter zu "verpacken", wo er überprüft werden soll, hatten keine Auswirkung, da bei einer aktiven Umrundung der Welt und einem Cloud-basierten ArbeitsmodellDas „Fahren“ des gesamten Datenverkehrs selbst über in verschiedenen Regionen installierte VPN-Gateways war sehr unpraktisch, da es zu Verzögerungen bei der Arbeit der Benutzer und ihrer Anwendungen kam. Als Ergebnis kamen wir zum Konzept des „vertrauenswürdigen Geräts“, das sich später in ein sogenanntes „vertrauenswürdiges Unternehmen“ verwandelte. Nach diesem Konzept leben wir jetzt.

Die Idee eines vertrauenswürdigen Unternehmens ist recht einfach und basiert auf vier Säulen:

  • Vertrauenswürdige Identität (leider ist die englischsprachige Vertrauensidentität nicht einfach kurz ins Russische zu übersetzen), was bedeutet, dass wir vor jedem Zugriffsversuch alle Benutzer und Geräte (und späteren Anwendungen) identifizieren und authentifizieren, die auf im Unternehmen gehostete Unternehmensressourcen zugreifen möchten oder in externen Cloud-Anbietern.
  • Vertrauenswürdige Infrastruktur, einschließlich Komponenten wie einem vertrauenswürdigen Gerät, einem vertrauenswürdigen Server und einem vertrauenswürdigen Netzwerk. Mit dieser Säule können wir sicher sein, dass alles, was eine Verbindung herstellt (einschließlich Internet-Dinge) und alles, was eine Verbindung herstellt, nicht von Eindringlingen beeinträchtigt wurde.
  • , , , . ( ) Amazon AWS , .
  • , , , , , , .

Die erste Tabelle, die vertrauenswürdige Identität, wird von uns erstellt und basiert auf drei Schlüsseltechnologien:

  • Microsoft Active Directory, ein Unternehmensverzeichnis, das als Einstiegspunkt für die Identifizierung und Authentifizierung von Benutzern dient, auf denen Windows, MacOS, Linux und sogar mobile Plattformen ausgeführt werden.
  • 802.1x, , , . , , , « » (, ..), .. Cisco ISE, , Cisco, , , Cisco, .

Bild
  • (MFA), , «-» , , , . 81% . , Cisco Duo, , — YubiKey, -, TouchID .. , SAML, , Cisco ( , 700 ). , Duo , , MFA ( , , Facebook, Dropbox, Google ).


Bild

Eine vertrauenswürdige Infrastruktur bedeutet, dass alle Komponenten, Workstations, Server, Mobilgeräte und sogar die Netzwerkgeräte selbst die Anforderungen der Sicherheitsrichtlinien erfüllen - sie haben die neueste Software installiert, die Software ist korrekt gepatcht und konfiguriert, die Authentifizierung ist aktiviert usw.

Wenn wir aus offensichtlichen Gründen nicht auf Details eingehen, haben wir den sogenannten Standard für vertrauenswürdige Benutzergeräte, der für alle Laptops, Smartphones oder Tablets gilt, die eine Verbindung zu unserer Infrastruktur herstellen. Unabhängig davon, ob es sich bei diesem Gerät um ein Unternehmen handelt oder um ein Gerät. Wenn dieser Standard fehlschlägt oder nicht möglich ist, stellt das Gerät einfach keine Verbindung zum Unternehmensnetzwerk her, unabhängig davon, ob der Benutzer eine Verbindung von außen herstellt oder dies im Büro versucht, indem er eine kostenlose Ethernet-Steckdose anschließt. Die Einhaltung unserer Anforderungen kann von Cisco ISE (dem Haupttool), Cisco ASA (mit Remotezugriff), Cisco Firepower (aufgrund der Bestandsaufnahme des Netzwerkverkehrs) und Cisco Duo (für mobile Plattformen) überwacht werden.

Bild

Für Server, physische oder virtuelle Container, in unseren Rechenzentren oder in den Clouds wird ein eigener Standard angewendet. Etwa 80% der darin enthaltenen Anforderungen stimmen mit dem überein, was im Standard für Benutzergeräte enthalten ist, aber es gibt natürlich Unterschiede. Beispielsweise verwenden wir für Server, virtuelle Maschinen und Container, die sehr spezifische Aufgaben ausführen, deren Liste begrenzt ist, eine geschlossene Softwareumgebung, die den Start von externen Anwendungen und Diensten verhindert. Eine weitere zwingende Anforderung ist das obligatorische Schwachstellenmanagement von Anwendungs- und Systemsoftware, dessen Reihenfolge sich von der auf Arbeitsstationen und Mobilgeräten unterscheidet.

Bild

Es ist klar, dass sich die Anforderungen für dieselben Windows- oder Linux-Server sowie die Anforderungen für die Informationssicherheit virtueller Maschinen in Amazon AWS oder Microsoft Azure unterscheiden. Die Unterschiede hängen jedoch eher mit den Konfigurationsfunktionen als mit den Anforderungen selbst zusammen. Gleichzeitig haben wir den vorgefertigten Hardeining Guide aus der GUS als Grundlage genommen und ihn mit einer Reihe von inhärenten Nuancen ergänzt. In Erwartung der Frage „Woher bekomme ich Ihre Standards für vertrauenswürdige Geräte?“ Kann ich Sie daher einfach zur CIS-Website weiterleiten , auf der Sie relevante Handbücher nicht nur zu Betriebssystemen, sondern auch zu verschiedenen Anwendungen finden. es sei denn, in inländischer Software gibt es keine solchen Standards.

Schließlich haben wir auch unseren eigenen Standard für Netzwerkgeräte - Switches, Router (einschließlich virtueller), drahtlose Zugangspunkte und Firewalls. Natürlich macht die überwiegende Mehrheit dieser Liste unserer Produktion, aber bei von uns erworbenen Unternehmen gibt es einige Ausnahmen (wie wir die absorbierten Vermögenswerte kontrollieren, kann auf Habré nachgelesen werden ). Dieser Standard eines vertrauenswürdigen Netzwerkgeräts basiert auf unseren eigenen Empfehlungen zum Schutz von Geräten, die auf IOS, NX-OS, IOS XR usw. basieren. Sie finden sie nicht nur auf der CIS-Website, sondern auch auf unserer Website (Links zu ihnen finden Sie am Ende dieses Materials).

Bild

Die dritte Säule eines vertrauenswürdigen Unternehmens ist der vertrauenswürdige Zugriff, dessen Implementierung stark von der Zugriffsmethode und dem Ort abhängt, an dem wir sie bereitstellen. Ein Gerät im internen Netzwerk versucht möglicherweise, auch im internen Netzwerk auf das Gerät zuzugreifen. Ein Benutzer von einem Gerät in einem externen Netzwerk versucht möglicherweise, eine Verbindung zur Cloud herzustellen, ohne ein VPN zu verwenden. Eine Anwendung kann versuchen, auf Daten zuzugreifen, die sich an einem bestimmten geografischen Ort befinden und die sie nicht verlassen können (z. B. personenbezogene Daten von Russen). Und es kann viele solcher Beispiele geben.

Bild

Daher ist die Grundlage für einen vertrauenswürdigen Zugriff die Segmentierung, die nicht autorisierte Versuche einschränkt. Selbst wenn ein Angreifer oder bösartiger Code dennoch eines der Segmente gefährdet, bleibt der Rest sicher. Gleichzeitig meine ich mit Segmentierung nicht nur und nicht so sehr die Netzwerksegmentierung (nach IP- oder MAC-Adressen). Es kann eine Segmentierung von Anwendungen oder Containern sein, es kann eine Segmentierung von Daten sein, es kann eine Segmentierung von Benutzern sein.

Bild

Alle diese Optionen werden mithilfe der SD-Access- Technologie in unserer Infrastruktur implementiert.Dies vereinheitlicht sowohl den kabelgebundenen als auch den kabellosen Zugriff, auch unter Sicherheitsgesichtspunkten. Bei der Kombination verschiedener Büros verwenden wir SD-WAN. In Rechenzentren und Clouds wird eine Hybridversion verwendet, je nachdem, welchen Zugriff und welche Steuerung wir steuern möchten.

Bild

Ein wichtiger Punkt, der bei der Implementierung von Segmentierung und Zugriffskontrolle häufig vergessen wird. Wir wenden keine statistischen, sondern dynamische Zugriffsregeln an, die nicht nur davon abhängen, wer und wo eine Verbindung herstellt, sondern auch vom Kontext dieses Zugriffs - wie die Verbindung hergestellt wird, wie sich Benutzer, Knoten oder Anwendung verhalten, was sie im Rahmen des gewährten Zugriffs austauschen. Gibt es Schwachstellen bei der Kommunikation von Subjekten und Objekten usw.? Dies ermöglicht es uns, diskrete IS-Richtlinienregeln zu umgehen, aufgrund derer häufig viele Vorfälle auftreten. Das Schutzsystem weiß einfach nicht, wie es steuern soll, was zwischen den Überprüfungen passiert. In unserem Land wird tatsächlich eine kontinuierliche Überprüfung des Zugriffs für jeden Versuch, jedes Gerät, jeden Benutzer oder jede Anwendung durchgeführt.Als Hauptlösungen für eine solche kontinuierliche Überprüfung werden die zuvor erwähnten Cisco ISE (für das interne Netzwerk des Unternehmens), Cisco Tetration (für Rechenzentren und Clouds) und Cisco APIC (für Rechenzentren) verwendet, die untereinander integriert sind und End-to-End-Sicherheitsrichtlinien austauschen können.

Bild

Es reicht jedoch nicht aus, Zugriffsregeln festzulegen. Sie müssen deren Einhaltung kontrollieren, für die wir unsere eigenen Lösungen anwenden - die oben genannten Cisco Tetration (für Rechenzentren und Clouds) sowie Cisco Stealthwatchh Enterprise (für das interne Netzwerk) und Cisco Stealthwatch Cloud (für Clouds). Darüber , wie wir unsere Infrastruktur überwachen, habe ich bereits schrieb auf Habré.

Bild

Was ist mit den Wolken? Wenn Cisco die Dienste von 700 Cloud-Anbietern nutzt, wie kann dann eine sichere Arbeit mit ihnen gewährleistet werden? Insbesondere in einer Umgebung, in der ein Mitarbeiter unter Umgehung des Unternehmensumfangs und sogar von seinem persönlichen Gerät aus eine Verbindung zur Cloud herstellen kann. Tatsächlich ist die Realisierung dieser Aufgabe nicht kompliziert, wenn Sie zunächst die entsprechende Architektur und die entsprechenden Anforderungen richtig durchdenken. Zu diesem Zweck haben wir vor langer Zeit ein geeignetes Framework namens CASPR (Cloud Assessment and Service Provider Remediation) entwickelt. Es legt über 100 verschiedene Sicherheitsanforderungen fest, die in Blöcke unterteilt sind, die jedem Cloud-Anbieter präsentiert werden, der mit uns zusammenarbeiten möchte. Natürlich sind die CASPR-Anforderungen nicht für alle Clouds gleich, sondern hängen davon ab, welche Informationen, welches Datenschutzniveau,wir wollen dort verarbeiten. Wir haben sowohl rechtliche Anforderungen, zum Beispiel in Bezug auf GDPR oder FZ-152, als auch technische Anforderungen, zum Beispiel die Möglichkeit, uns Sicherheitsereignisprotokolle im automatischen Modus zu senden (darüber habe ich bereits bei Habré geschrieben).

Bild

Abhängig von der Art der Cloud-Umgebung (IaaS, PaaS oder SaaS) „hängen“ wir unsere eigenen Tools an die vom Anbieter bereitgestellten Schutzmechanismen an (z. B. Cisco Tetration, Cisco ASAv, Cisco ISE usw.) und überwachen deren Verwendung mithilfe der bereits erwähnten Cisco Duo, Cisco Tetration. Cisco Stealthwatch Cloud sowie Cisco CloudLock, eine CASB-Lösung (Cloud Access Security Broker). Über die wichtigsten Momente mit der Überwachung der Sicherheit von Wolken verbunden sind , habe ich schon geschrieben (und der zweite Teil ) auf Habré.

Die vierte Tabelle des Cisco-Konzepts „Trusted Enterprise“ sind „Trusted Applications“, für die wir auch einen eigenen Standard haben, oder vielmehr eine Reihe von Standards, die sich stark unterscheiden, je nachdem, ob die Anwendung von uns gekauft oder entwickelt wird, ob sie in der Cloud oder in unserer gehostet wird Infrastruktur, es verarbeitet personenbezogene Daten oder nicht usw. Ich hatte nicht vor, diese Säule in diesem Hinweis detailliert zu bemalen, aber die wichtigsten Anforderungsblöcke sind in der folgenden Abbildung dargestellt.

Bild

Es ist klar, dass wir nicht sofort und nicht sofort zu diesem Konzept gekommen sind. Es war ein iterativer Prozess, der die Aufgaben widerspiegelte, die die IT- und IS-Services für das Unternehmen stellten, die Vorfälle, die wir mit dem Feedback der Mitarbeiter erlebten. Ich denke, dass ich mich nicht irren werde, wenn ich sage, dass wir wie wir alle mit Sicherheitsrichtlinien begonnen haben, die auf IP / MAC-Adressen und dem Benutzerstandort basieren (der Remotezugriff wurde zu diesem Zeitpunkt implementiert). Anschließend haben wir sie erweitert, indem wir Kontextinformationen von Cisco ISE hinzugefügt und einzelne Abteilungen und Projekte des Unternehmens mit den Geschäftszielen verknüpft haben. Als sich die Grenzen unserer Infrastruktur für Gäste öffneten, entstanden Auftragnehmer, Auftragnehmer, Partner, neue Aufgaben und deren Lösungen in Bezug auf die Zugangskontrolle. Aktiver Aufbruch in die Wolken führte zuWir mussten ein einheitliches Konzept zur Erkennung von Bedrohungen im internen Netzwerk, in den Clouds und auf Benutzergeräten entwickeln und implementieren. Hier stellte sich übrigens heraus, dass wir Lancope und Umbrella gekauft haben, wodurch wir beginnen konnten, die interne Infrastruktur und die externen Benutzer effektiver zu überwachen. Schließlich ermöglichte der Kauf von Duo den reibungslosen Beginn des Übergangs zur letzten Stufe des Modells der bedingten Reife, wodurch wir auf verschiedenen Ebenen kontinuierlich überprüft werden können.Durch den Kauf von Duo konnten wir reibungslos mit dem Übergang zur letzten Stufe des Modells der bedingten Reife beginnen, wodurch wir eine kontinuierliche Überprüfung auf verschiedenen Stufen erhalten.Durch den Kauf von Duo konnten wir reibungslos mit dem Übergang zur letzten Stufe des Modells der bedingten Reife beginnen, wodurch wir eine kontinuierliche Überprüfung auf verschiedenen Stufen erhalten.

Bild

Es ist klar, dass, wenn Sie unseren Weg wiederholen möchten, der Elefant in Teilen gefressen werden muss. Nicht alle unsere Kunden sind uns in Umfang und Aufgaben gleich. Viele unserer Schritte und Ideen sind jedoch auf jedes Unternehmen anwendbar. Daher können wir allmählich beginnen, die oben beschriebene Idee eines „vertrauenswürdigen Unternehmens“ zu verwirklichen. Das Konzept der kleinen Schritte kann Ihnen dabei helfen. Identifizieren Sie zunächst Benutzer und Geräte, die intern und extern eine Verbindung zu Ihnen herstellen. Fügen Sie dann die Zugriffssteuerung basierend auf dem Status der Geräte und ihrem Kontext hinzu. Ich habe zunächst nicht erwähnt, dass Cisco keinen solchen Umfang hat und dass jedes Gerät durch einen Schutz geschützt ist, der es im Wesentlichen unabhängig von unserer Infrastruktur macht. Bereitstellung der Steuerung verbundener Geräte, auch im Rahmen des Fernzugriffs,Sie können problemlos zur Segmentierung des internen Netzwerks und des Rechenzentrums wechseln. Dies ist keine leichte Aufgabe, aber ziemlich hebend. Der Schlüssel zu seiner Implementierung ist die Automatisierung der Verwaltung von Zugriffsrichtlinien. Die Quarantäne ist und wird für einige zu einem Anstoß für die Rückkehr zum BYOD-Thema, der Möglichkeit, dass Mitarbeiter persönliche Geräte verwenden, um auf Unternehmens- oder Abteilungsressourcen zuzugreifen. Nachdem Sie die ersten beiden Aufgaben gelöst haben, können Sie sie problemlos auf persönliche Laptops, Smartphones und Tablets Ihrer Mitarbeiter übertragen. Nachdem Sie Probleme mit dem Netzwerkzugriff gelöst haben, müssen Sie beginnen, höher zu steigen - auf Anwendungsebene, indem Sie Segmentierung, Abgrenzung und Zugriffskontrolle für sie realisieren und diese in Netzwerkzugriffsrichtlinien integrieren. Der letzte Akkord kann eine Richtlinie zur Datenzugriffskontrolle sein. Zu diesem Zeitpunkt wissen Sie bereits, von wem und wo Sie eine Verbindung herstellen.Welche Anwendungen und welche Daten benötigen Zugriff? Sie müssen dieses Wissen nur auf Ihre Infrastruktur anwenden und die Arbeit mit Daten automatisieren. Hier können Sie übrigens schon an DLP denken. Dann können Sie in die 20% der DLP-Implementierungsprojekte einsteigen, die Gartner für erfolgreich hält. Alles andere ist ein Fehlschlag, da Unternehmen oft nicht einmal die Grenzen ihrer Infrastruktur und die Einstiegspunkte kennen, so dass Sie über ihre Kontrolle sprechen können, ganz zu schweigen von der Datenkontrolle.damit Sie über ihre Kontrolle sprechen können, ganz zu schweigen von der Datenkontrolle.damit Sie über ihre Kontrolle sprechen können, ganz zu schweigen von der Datenkontrolle.

Bild

Und nachdem Sie all dies erkannt haben, werden Sie feststellen, dass das schöne Zero Trust-Konzept (Zero Trust), über das viele Hersteller und Analysten heute sprechen, in Ihrem Fall zu einem wirklich funktionierenden System geworden ist. Zumindest für uns war es genau das. Wie ich gleich zu Beginn schrieb, haben wir Anfang der 2000er Jahre damit begonnen, das Konzept eines vertrauenswürdigen Unternehmens in Cisco umzusetzen, als niemand einen Begriff wie „Zero Trust“ gehört hatte (der erst 2010 von Forrester vorgeschlagen wurde). Aufgrund unserer eigenen Erfahrung konnten wir diese Idee nun in unser Portfolio umsetzen (wir verwenden sie zu unserer eigenen Sicherheit) und alles als schöne Marketingphrase „Cisco Trusted Access“ bezeichnen.

Bild

Abschließend möchte ich darauf hinweisen, dass wir durch die Implementierung des Remotezugriffs anders sehen, wie das Sicherheitssystem aufgebaut werden sollte. Jemand sagt, dass der Fernzugriff zum Verlust des Perimeters führt. Nein das ist nicht so. Es ist nur so, dass der Umfang unscharf wird und seine Ränder durch jedes Gerät verlaufen, von dem aus Sie auf Ihre Daten und Anwendungen zugreifen können, die sich innerhalb und außerhalb der Infrastruktur befinden. Auf diese Weise können Sie eine Architektur implementieren, die sehr flexibel und effizient auf alle Änderungen reagiert, die das Unternehmen in Bezug auf IT und Informationssicherheit erfordert. Cisco war vor langer Zeit damit konfrontiert, als es noch kein Problem mit Coronavirus gab und wir die Möglichkeit hatten, das Konzept eines vertrauenswürdigen Unternehmens schrittweise und ohne Eile umzusetzen. Dies bedeutet jedoch nicht, dass unsere Erfahrung in der gegenwärtigen Realität nicht anwendbar ist. Andererseits. Sie können sich auf ihn verlassen,Füllen Sie weniger Zapfen und machen Sie weniger Fehler.

Um den berühmten sowjetischen Film „17 Momente des Frühlings“ zu paraphrasieren: „In unserer Zeit kann niemandem vertraut werden, manchmal sogar sich selbst. Cisco - Sie können! " Unser Ansatz und das Fehlen schwerwiegender und schwerwiegender Vorfälle in unserer Infrastruktur (und wir haben mehrere Zehntausende von Mitarbeitern und ebenso viele externe Partner und Kontrahentenbenutzer haben Fernzugriff) haben bewiesen, dass sie nicht nur das Recht auf Leben hat, sondern uns auch die Lösung ermöglicht seine Geschäftsaufgaben auf die für ihn bequemste Weise, das Geschäft, sowie zuverlässig für die IT und sicher für die Informationssicherheit.

Weitere Informationen:



PS. Wenn Sie daran interessiert sind, wie der Remotezugriff in Cisco selbst technisch organisiert ist, werden wir am 23. April ein Webinar zu diesem Thema durchführen. Genauer gesagt führen wir bereits eine Reihe von Webinaren zum Fernzugriff durch, die jeden Donnerstag stattfinden. Am 2. des Tages war das Webinar dem Bedrohungsmodell für den Fernzugriff ( Videoaufzeichnung und -präsentation ) gewidmet. Am 9. werden wir darüber sprechen, wie der Arbeitsplatz eines Remote-Mitarbeiters geschützt werden kann , und am 16., wie ein Perimeter mit Remote-Zugriff erstellt werden kann .

More articles:


All Articles