Ein sehr verspätetes Frohes Neues! Ich freue mich sehr, endlich den blauen Schutzhelm wieder aufsetzen zu dürfen. Und Mensch, da war was los in der letzten Zeit. In diesem März-Briefing ist wirklich alles dabei.
Wir sind ja nun im Super-Security-Regulierungsjahr 2024, also legen wir selbstverständlich los mit NIS-2. Dann gibt's drei Security-Vorfälle mit OT-Bezug, drei Podcasts, erste Häppchen unserer Forschungsergebnisse zu Security by Design - und einen Zahnbürsten-Lacher (mit einem weinenden Auge). Und ganz zum Schluss brauche ich dann noch Ihre Hilfe.

In dieser E-Mail gibt es Neuigkeiten und Lesestoff zu folgenden Themen:

1. NIS-2: Dieses Jahr wird das nichts mehr in Deutschland
2. Angriff auf die Düsseldorfer Uniklinik aufgeklärt: Einblicke in die Polizeiarbeit
3. Security-Vorfälle bei VARTA und PSI
4. Security by Design: So bekommen Sie endlich einen Stiel an die Schippe
5. Security im Stromnetz, Security by Design: Podcasts bei Omicron und Rhebo
6. 3 Millionen Zahnbürsten offenbaren die ganze Misere der Security-Berichterstattung
7. Letzte Chance: Call for Contributions für SECURITY UNTER KONTROLLE

1. NIS-2: Dieses Jahr wird das nichts mehr in Deutschland

Alles Gute zum Geburtstag nachträglich können wir der NIS-2-Richtlinie wünschen: Am 16. Januar 2023 ist sie in Kraft getreten. Bis zum 17. Oktober 2024 muss sie in nationales Recht umgesetzt werden. Das deutsche Gesetz dafür hat auch schon einen (folgerichtigen) Titel: NIS2UmsuCG, oder vollständig "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz".

Nur kommt es nicht so richtig aus dem Quark. Im Juli 2023 gab es einen Referentenentwurf und seitdem gibt es Streit: Zwischen Innenministerium (BMI) und Verbänden, vor allem aber auch innerhalb der Regierung; die verschiedenen Ministerien können sich nicht einigen.

Worüber die Ministerien sich streiten, ist natürlich nicht öffentlich, aber die Streitpunkte zwischen Verbänden und BMI hat der Tagesspiegel schon Ende 2023 zusammengefasst - und dabei lobend hervorgehoben, dass das Innenministerium sichtlich bemüht war, mit Wirtschaftsvertretern und Verbänden (zum Beispiel Maschinenbau, VDMA oder Ernährungsindustrie, BVE) in Dialog zu treten und ihnen entgegenzukommen:

• Turnus der Nachweispflichten: Bislang sind es zwei Jahre, die Verbände hätten gern drei. Sieht wohl gut aus für die Verbände. Das BSI soll allerdings einzelne besonders wichtige oder wichtige Einrichtungen zu Nachweisen und Prüfungen verpflichten dürfen, aber frühestens drei Jahre nach Inkrafttreten. Wenn das so Konsens findet, was wahrscheinlich scheint, müssten Unternehmen die NIS-2-Umsetzung frühstens 2027 nachweisen.
• Rolle der Unternehmensgröße: Künftig sind auch in Nicht-KRITIS-Sektoren (Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung, Siedlungsabfallentsorgung, und Post- und Kurierdienstleister) Unternehmen ab einer bestimmten Größe von der Regulierung betroffen, gemessen an Mitarbeitern oder Umsatz - los geht's ab 50 Mitarbeitern oder Jahresumsatz ab 10 Mio. Euro. Hier würden die Verbände, vor allem die Ernährungsindustrie, gern großzügiger Unternehmen ausklammern - das sieht das BMI wohl anders.
• Fokus auf Haupttätigkeit eines Unternehmens: Der VDMA hätte das gern - denn das Bauen von Maschinen ist weniger streng reguliert als das Erbringen von Managed-Service-Dienstleistungen während des Betriebs dieser Maschinen, zum Beispiel, wenn sie Teil kritischer Infrastrukturen sind. Für Maschinenbauer ist das meist nur ein kleiner Anteil am Umsatz, also nicht die Haupttätigkeit - aber reguliert wären sie trotzdem. Das BMI möchte daran festhalten, allerdings sollen in dem Fall nur die tatsächlich in diesem Bereich tätigen Unternehmensteile unter die schärfere Regulierung fallen.
• Zertifizierungspflichten für Komponenten: Künftig sollen Cybersecurity-Zertifikate nach Zertifizierungsschemata gemäß EU Cybersecurity Act (auch neu) für bestimmte IT-Produkte und -Dienste in wichtigen und besonders wichtigen Einrichtungen gesetzlich verpflichtend sein. Dass diese Zertifizierungspflicht kommt, ist wohl klar, aber wie genau, da gibt es noch viel Spielraum.

Jedenfalls gibt es noch immer keinen zweiten Referentenentwurf, der u.a. in die obigen Punkte Klarheit bringen könnte. Und "in einem ordentlichen Gesetzgebungsverfahren unter Wahrung der üblichen Abläufe und Fristen" könne das NIS2UmsuCG daher schon jetzt nicht mehr bis zum 17. Oktober verabschiedet werden, schreibt der Tagesspiel. Die üblichen Abläufe wären so: der zweite Referentenentwurf ginge in die Ressortabstimmung innerhalb der Regierung, dann gäbe es eine offizielle Länder- und Verbändeanhörung, und dann ginge ein abgestimmter Regierungsentwurf in den Bundestag (und zur Notifikation an die EU-Kommission).

Offizielle Quellen gibt's zur Verzögerung noch keine, aber die Stimmen aus "gut informierten Kreisen" häufen sich - etwa hier bei LinkedIn oder hier bei YouTube. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht, erklärt im YouTube-Video auch, es sei eher mit "wenigen Monaten oder Wochen" Verzögerung zu rechnen als mit vielen Monaten oder sogar Jahren.
Auch mit einem Bußgeld seitens der EU rechnet Kipker eher nicht, denn Deutschland sei bei Weitem nicht der einzige EU-Staat, der mit der Umsetzung nicht rechtzeitig fertig werde - und ebenfalls bei Weitem nicht der Staat mit der meisten Verzögerung.

Für von NIS-2 Betroffene ist die Verzögerung daher wahrscheinlich gar keine so große Nachricht - denn wahrscheinlich bleibt es bei 2027 für den ersten Nachweis, ein paar Monate Verzögerung des NIS2UmsuCG hin oder her.
Und: Das Gesetz legt einen starken Fokus auf das Risikomanagement und weniger auf spezifische umgesetzte Maßnahmen. Das bedeutet, man muss für den Nachweis gut belegen können, dass man sich über seine Security-Risiken Gedanken gemacht und damit begonnen hat, sie zu behandeln - und nicht mit allem perfekt fertig sein.

Also: keep calm and do your risk assessments.

2. Angriff auf die Düsseldorfer Uniklinik aufgeklärt: Einblicke in die Polizeiarbeit

Erinnern Sie sich noch an den Ransomware-Angriff auf die Uniklinik Düsseldorf (UKD) von 2020? "Erster Todesfall durch Ransomware" titelten die Medien damals zu Unrecht - aber darum soll es hier nicht gehen.

Es heißt ja immer, Täter hinter Cyberangriffen findet man ohnehin nicht. Nun, das stimmt nicht, erklärt Peter Vahrenhorst im Podcast "Cybersecurity ist Chefsache" mit Nico Werner. Vahrenhorst ist Ex-Polizist beim LKA in Nordrhein-Westfalen.
Im Fall UKD zum Beispiel sind die Täter nach 2.5 Jahren intensiver Ermittlungsarbeit identifiziert: "Wir kennen deren Identität, wir haben sogar Fotos".
Aber: Sie halten sich in Russland auf, Deutschland hat schlecht bis gar keine Beziehungen zu Russland, und damit ist der Zugriff auf die Täter unmöglich.

Das sei kein Einzelfall, erklärt der ehemalige LKAler Vahrenhorst, sondern sehr oft so im Bereich Cybercrime. Deswegen werden in der Cyberkriminalität auch die Prioritäten anders gesetzt als bei anderen Ermittlungen:

Normalerweise arbeitet die Polizei nämlich täterorientiert, das heißt, oberste Priorität ist es, die Täter ausfindig zu machen - diesem Ziel wird alles untergeordnet; insbesondere auch der reibungslose Betrieb eines Unternehmens, das Opfer der Straftat geworden ist.
Im Bereich Cybercrime gilt - weil die Ergreifung der Täter sowieso so unwahrscheinlich ist - als oberste Priorität, betroffene Unternehmen bei der Schadensbegrenzung zu unterstützen, sogar wenn dabei Beweise vernichtet werden. Ein echter Paradigmenwechsel!

Damit sind also die unerfreulichen Erfolgschancen bei der Täterergreifung für Unternehmen, die Opfer eines Cyberangriffs geworden sind, tatsächlich auch eine gute Nachricht.
Denn mit diesem Paradigmenwechsel, der daraus folgt, hat die Polizei bei einem Cybervorfall dasselbe Ziel wie das betroffene Unternehmen, und auch wie die meisten extern beauftragten Incident-Response-Dienstleister: Bei der Schadensbegrenzung helfen.
Und dazu hat sie professionelle Mittel: Hochleistungs-Forensikserver zum Beispiel, die das LKA zentral betreibt und die einfach schneller bei der Analyse und Auswertung von Daten sind. Je mehr Vorfälle die Polizei zu sehen bekommt, desto mehr kann sie Querverbindungen zu ähnlichen Fällen ziehen.

Viele gute Gründe, die Polizei mit einzubeziehen, wenn man Opfer eines Cyberangriffs geworden ist.

A propos Opfer: "Gehackt werden ist keine Schande, man ist Opfer einer Straftat geworden!" ist ein weiterer Satz von Peter Vahrenhorst, der mir im Ohr geblieben ist.

Denn ja, verdammt:
Wer würde nach einem Einbruch hämisch schreien "da haste ja auch die falschen Türen eingebaut, wie doof von dir!". Aber wenn Cybersecurity-Angriffe bekannt werden, gehören (leider vor allem aus der Cybersecurity-Branche selbt) Besserwisserei und der erhobene Zeigefinger zum "guten Ton". Vielleicht kein Wunder in einer Branche, die Perlen wie "kein Backup, kein Mitleid" hervorgebracht hat.

Wie schade, denn das ist nicht nur unfair gegenüber den Betroffenen, sondern setzt auch die falschen Anreize: Unternehmen kommunizieren (verständlicherweise) lieber gar nichts, bevor sie öffentlich zerlegt werden.

Auf LinkedIn wurden, nachdem ich das geäußert hatte, übrigens viele Stimmen laut, die gar nicht meiner Meinung waren - es werde sowieso schon zu viel relativiert, wenn Unternehmen Security-Vorfälle erlitten, die noch nicht einmal eine Basis an Security umgesetzt hätten. Wenn Sie mögen, lesen Sie die Gegenstimmen hier.

Und zum ganzen Podcast mit Peter Vahrenhorst und Nico Werner geht's im Lesestoff (Hörstoff?)-Link.

3. Security-Vorfälle bei VARTA und PSI

Gleich zwei große deutsche Unternehmen innerhalb weniger Tage: Am 13. Februar wurde ein Security-Vorfall beim Ellwanger Batteriehersteller VARTA bekannt, am 15. Februar einer beim Berliner Leittechnik-Softwarehersteller PSI.

Über beide Vorfälle ist jetzt, da ich diese Texte zwei Wochen später schreibe, noch nicht mehr bekannt als die Unternehmen selbst auf ihren Webseiten bekanntgegeben haben.

Fakten in Kürze:
Was für ein Angriff wars? Bei VARTA ist über die Art des Angriffs nichts bekannt, außer dass es eine Hackergruppe "mit hoher krimineller Energie" war. Bei PSI ist es Ransomware.

Was sind die Auswirkungen? Das ist in beiden Fällen noch nicht ganz klar. Klar ist allerdings: Beide Unternehmen haben "vorsichtshalber" alle IT-Systeme heruntergefahren; bei VARTA bedeutet das auch: Die Produktion steht, was in diesem Fall wahrscheinlich schon mit die schlimmstmögliche Auswirkung ist.
Bei PSI sieht die Lage anders aus, denn PSI liefert ja Software an andere Unternehmen und hat vor allem auch Fernwartungszugänge in Kundensysteme - und das sind häufig kritische Infrastrukturen, denn PSIs Leitsystemsoftware wird unter anderem im Energiesektor bei Stromnetzbetreibern eingesetzt. Auf diese Fernwartungszugänge hätten die Angreifer aber keinen Zugriff gehabt, und es gebe keine Anzeichen für betroffene Kundensysteme, schreibt PSI auf seiner Website. Puuuuh, kollektives Aufatmen. Das hätte sonst ein wirklich unangenehmerSupply-Chain-Angriff im KRITIS-Umfeld werden können...

Wie gehen die Unternehmen damit um? Beide haben externe Forensik-Dienstleister hinzugezogen. Beide machen noch keine festen Angaben, wann der Normalbetrieb wieder in Sicht sein könnte. Und interessant im Kontext unseres vorherigen Themas: Beide Unternehmen geben an, dass polizeiliche Ermittlungen eingeleitet wurden.

Die Kommunikation auf den Unternehmenswebseiten ist ein schönes Lehrstück an Krisenkommunikation (Links im Lesestoff). Beide Unternehmen kommunizieren offen ihren Security-Vorfall und den groben Stand der Dinge - we've come a long way. Aber es gibt auch große Unterschiede.

Bei VARTA liest man eine typische Pressemitteilung, die fast nichts sagt. Man liest den wenigen Zeilen der Mitteilung in jeder Zeile an, dass die desaströse Situation so gut wie möglich positiv dargestellt werden soll (kein Wunder, denn die VARTA-Aktie ist seit Bekanntwerden des Vorfalls im Sinkflug.) Die Forensiker kommen "gut voran", die Angreifer konnten nur aufgrund ihrer "hohen kriminellen Energie" die selbstverständlich "hohen Absicherungsstandards der VARTA-IT-Systeme" durchbrechen. Aus "ermittlungstaktischen Gründen" könne man leider nicht mehr mitteilen. Beinahe rührend ist, wie der komplette Produktionsstillstand euphemistisch umschrieben wird: "Nicht-IT-basierte Prozesse können unterdessen weiterlaufen. Dadurch ist es möglich, Beschäftigte in allen Werken für Wartungs-, Instandhaltungs- und Vorbereitungsarbeiten einsetzen."
Man denke kurz an seinen eigenen Arbeitsplatz und überlege, wie viele Nicht-IT-basierte Prozesse es gibt, und wie es aussieht, wenn nur diese weiterlaufen...

PSI hingegen kommuniziert ziemlich lehrbuchartig. Die Unternehmenswebsite ist down, an ihrer Stelle wurde eine eigene Website für die Kommunikation des Vorfalls aufgesetzt, die regelmäßig um aktuelle Berichte ergänzt werden. Die Informationen sind so gut strukturiert und erklärt, dass PSI das Kunststück gelungen ist, auf der eigenen Website besser zu informieren als in sämtlichen Medienberichten. Der Leser kann die Rekonstruktion des Vorfalls nachverfolgen, samt genauen Daten, Angriffsart, eingeleiteten Schritten, schon bekannten oder noch nicht bekannten Auswirkungen und Plänen für den Wiederanlauf. Chapeau, PSI.

Zum Schluss muss man fairerweise anmerken, dass der Angriff auf PSI auch eine andere Brisanz für die Kunden des Unternehmens hat als der auf VARTA. PSI verkauft Software (für kritische Infrastrukturen!), damit kann sich ein IT-Angriff potenziell direkt auf die IT (und OT) der Kunden fortpflanzen. Bei VARTA, die mit Batterien ein rein physisches Produkt verkaufen, ist das nicht der Fall, allenfalls Kundendaten könnten abgeflossen sein.
Sowohl Kunden als auch die Gesellschaft dürfen also durchaus höhere Ansprüche an die Kommunikation von PSI haben als an die von VARTA...

4. Security by Design: So bekommen Sie endlich einen Stiel an die Schippe

Ich war ja eine Weile vergraben in der Forschung zum Thema Security by Design: Drei Jahre in einem Forschungsprojekt, aber vor allem die letzten drei Monate darin, die Ergebnisse zu verdauen, auszuwerten, zusammenzuschreiben und zu etwas Sinnvollem zusammenzufügen.

Und natürlich bekommen Sie nun hier häppchenweise die Ergebnisse. Beim Portionieren ist mir aufgefallen: Das wird ein recht großes Häppchenbuffet...
Heute beginne ich mit einem leicht verdaulichen und hoffentlich maximal nützlichen Appetithäppchen: Wenn man jetzt wirklich ehrlich Security by Design machen möchte - wie fängt man da eigentlich an? Denn davon, dass man sich Security-by-Design-Prinzipien übers Bett hängt, werden die Systeme ja doch nicht so recht sicherer.

Den Text - mit so vielen Beispielen durchsetzt, dass es eigentlich mehr ein Comic ist als ein Text - finden Sie im Lesestoff auf Deutsch und Englisch. Wenn Sie schon mal mit einem Stoßseufzer gedacht haben "Ich würde ja gern Security während des Engineerings berücksichtigen....wenn man mir mal sagte, wie?!" - dann habe ich den Blogbeitrag für genau Sie geschrieben:

5. Security im Stromnetz, Security by Design: Podcasts bei Omicron und Rhebo

Und dann war ich in den letzten Wochen noch bei zwei Podcasts zu Gast. In beiden Fällen sind es gute, sehr freie Gespräche über Security (by Design) und seine Herausforderungen in der Umsetzung, vor allem in der Automatisierungstechnik, geworden.

Im OMICRON-Podcast habe ich mich gemeinsam mit Andreas Klien in die Position von Michael, einem (fiktiven) OT-Security-Verantwortlichen für einen europäischen Stromnetzbetreiber hineinversetzt.
Wir haben diskutiert

• was Michael aus den Angriffen aufs dänische Stromnetz Ende 2023 lernen kann
• ob und wie zukünftige EU-Gesetzgebung (Cyber Resilience Act?) ihm hilft oder nicht
• auf welche Security-Zertifikate er für seine Produkthersteller achten sollte
• welche Rolle SBOMs in den nächsten fünf Jahren für ihn spielen werden und
• ob er seinen Komponentenherstellern hinsichtlich Security eigentlich vertrauen kann.

Über die letzte Frage habe ich noch eine Weile nach dem Podcast nachgedacht.

Ich weiß, dass es üblich ist, zu erwarten, dass Zertifikate Vertrauen in den Hersteller schaffen. Ich selbst habe mich auch schon ähnlich geäußert. Aber mittlerweile denke ich, dass die Frage "Kann ich meinem Hersteller vertrauen?" vielleicht die falsche Frage ist.

Ich bin kein Fan dieses Mit-dem-Finger-auf-den-Anderen-Zeigen, das in der Vertrauensfrage immer mitschwingt. Es bringt uns einfach nicht weiter beim schwierigen Thema der Cybersecurity zwischen Betreibern und Herstellern.
Anstatt zu fragen: "Kann ich dir vertrauen?" oder "Hast du deine Hausaufgaben gemacht?", wäre die bessere Frage: "Was muss ich tun, damit der Andere seine Hausaufgaben machen kann?" 
Wenn Betreiber ihre Security-Ziele transparent machen, statt nur Anforderungen an die Hersteller zu stellen und Hersteller transparent machen, welche Security ihre Produkte anbieten, welche nicht - und vor allem warum! - dann lösen wir vielleicht diesen Kommunikations-Deadlock zwischen Betreibern und Herstellern eher als mit der Frage nach Vertrauen...

Im Rhebo-Podcast hat Klaus Mochalski so eingeleitet in unser Gespräch zum Thema Security by Design: "Ich habe den Eindruck, dass man bei Security by Design immer noch ziemlich am Anfang steht....und dass vor allem viele die Hände heben vor der Herausforderung, Security langfristig umzusetzen."

a wirklich, ist es nicht seltsam, dass wir seit den 80er/90er Jahren über Security by Design sprechen, uns total einig sind, dass es sinnvoll ist, aber bei der Umsetzung immer noch am Anfang stehen?
Wir sprechen darüber, warum das mit der Umsetzung von Security by Design so schwierig ist und wer eigentlich dafür verantwortlich ist, dass es klappt.

Links zu beiden Podcasts siehe unten, einer auf Englisch, einer auf Deutsch. (Ich entschuldige mich im Voraus für meine Sprechgeschwindigkeit...einfach auf 0,8-fache Geschwindigkeit stellen, dann geht's.)

6. 3 Millionen Zahnbürsten offenbaren die ganze Misere der Cybersecurity-Berichterstattung

Zum Abschluss noch ein Kuriosum aus der Abteilung "Probleme der Cybersecurity-Berichterstattung" (ich erinnere dazu gern auch an das Thema Cyberclown).

Die Aargauer Zeitung hat es zu zweifelhafter Berühmtheit gebracht, als sie über einen DDoS-Angriff mit elektrischen Zahnbürsten berichtete. Ein Zahnbürsten-Botnet? Was sich schwachsinnig anhört, war auch Schwachsinn: Ein herbeifabuliertes Beispiel eines Fortinet-Mitarbeiters in einem Interview (Lesestoff 1, oder einfach "Zahnbürsten DDoS" googeln).
Fortinet spricht jetzt von "Übersetzungsfehlern", die Aargauer Zeitung schreibt in ihrer Richtigstellung (Lesestoff 2), das Interview habe Fortinet vor Veröffentlichung zur Freigabe vorgelegen und auch der Satz, der Fall habe wirklich stattgefunden, sei nicht beanstandet worden.

Der Fall ist gleichermaßen typisch für die Berichterstattung zum Thema Cybersecurity und zum Haareraufen... wo fängt man da an?

1. Ein vermeintlicher Cybersecurity-Experte einer Cybersecurity-Firma fabuliert in einem Interview über frei erfundene (und nicht besonders realistische) Fallbeispiele, nach denen uns Zahnbürsten angreifen?!
Wenn noch jemand ein Lehrbuchbeispiel für ethisch fragwürdige Verkaufstaktiken durch Panikmache brauchte....bittesehr.

2. Die Zeitung druckt den Artikel, er geht viral - und alle anderen schreiben erst mal ab. Ohne bei Fortinet mal nachzufragen oder die technische Plausibilität zu hinterfragen (wie viele Zahnbürste kennen Sie denn so, die am Internet hängen?).

3. Als das Ganze richtig gestellt wurde, bringen es die Medien in ihren Richtigstellungen doch tatsächlich fertig, zu schreiben, das Ganze wäre zwar frei erfunden gewesen, die Panikmache sei aber trotzdem total gerechtfertigt: "Der Angriff mag nicht echt gewesen sein, die Berichterstattung darüber ruft aber die durchaus realen Gefahren von Internet-of-Things-Hardware ins Gewissen."

Ja prima. Die Terror-Zahnbürsten haben wohl die Fähigkeiten internationaler Medienhäuser zur Selbstreflexion gleich mit lahm gelegt.

7. Letzte Chance: Call for Contributions für SECURITY UNTER KONTROLLE

Einen hab' ich noch:

Sie sitzen als Anwender im Publikum einer Security-Konferenz, hören zu, wie Security-Fachleute über Security fachsimpeln...

...und denken: ja schön, aber in der Praxis haben wir ganz andere Probleme!
...und denken: ist ja Quatsch, so funktioniert das praktisch gar nicht!
...und dösen weg, weil Sie nach drei Minuten Abkürzungsschlacht abgehängt sind?
...und schmunzeln, weil Sie die tolle Lösung schon mal bei Ihnen im Unternehmen ausprobiert haben, war aber viel holpriger als auf der Bühne?
...und fühlen sich bestätigt, weil Sie denken, ach schau mal, so verkehrt ists ja gar nicht, wie wir das angehen?
...dann sollten Sie AUF der Bühne stehen und nicht davor sitzen. Zumindest bei SECURITY UNTER KONTROLLE, denn da wollen wir die Anlagenbetreiber, Komponentenhersteller, Integratoren, Ingenieurbüros...kurz: Praktiker hören.

Ist aber schwer, denn die haben ja meist genug mit, nun ja, dem Betreiben von Anlagen, Herstellen von Komponenten usw zu tun.

Der Call for Contributions ist zwar am vergangenen Freitag (1.3.) zu Ende gegangen, aber wenn Sie schnell sind, mache ich für Sie als Hardhats-Leser eine Ausnahme - denn wir brauchen mehr Schutzhelme auf der Bühne!

Link zum CfC ist im Lesestoff - oder Sie drücken einfach "antworten" und schicken mir Ihre Beitragsidee direkt per Mail.

(Disclaimer: Ich koordiniere nur den Programmbeirat für den Kongress, weder admeritia noch ich verdienen etwas an der Veranstaltung).

Stay secure!
Sarah Fluchs