Wenn Sie sich schon einmal mit der Datenschutz-Grundverordnung (DSGVO) beschäftigt haben, wissen Sie, dass sie keine leichte Lektüre ist. Es handelt sich um einen umfassenden Rahmen, der regelt, wie personenbezogene Daten für alle Personen in der Europäischen Union behandelt werden. Für Geschäftsinhaber, IT-Leiter oder Sicherheitsteams steht viel auf dem Spiel. Angesichts der Gefahr massiver Geldstrafen – bis zu 4 % des weltweiten Jahresumsatzes – und des Reputationsschadens, der mit einer Datenschutzverletzung einhergeht, ist die DSGVO nichts, was man einfach so "einstellen und vergessen" kann.
Das Problem ist, dass die Verordnung oft vage ist. Sie schreibt vor, dass Sie "geeignete technische und organisatorische Maßnahmen" ergreifen müssen, um die Sicherheit zu gewährleisten, gibt Ihnen aber keine Schritt-für-Schritt-Anleitung, wie Sie das tun sollen. Dies lässt viele Unternehmen im Unklaren darüber, ob sie tatsächlich genug getan haben. Sind Ihre Server gepatcht? Ist Ihre Webanwendung anfällig für SQL Injection? Könnte ein böswilliger Akteur in Ihre Datenbank eindringen und mit Tausenden von Kundendatensätzen verschwinden?
Hier kommt Penetration Testing (Pen Testing) ins Spiel. Es handelt sich im Wesentlichen um einen kontrollierten "White Hat"-Angriff auf Ihre eigenen Systeme, um die Schwachstellen zu finden, bevor es ein Krimineller tut. In der Vergangenheit war Pen Testing ein teurer, manueller Prozess, der wochenlange Planung und Vor-Ort-Besuche erforderte. Aber die Dinge bewegen sich jetzt schneller. Wir befinden uns im Zeitalter der Cloud, und Cloud-basiertes Pen Testing hat sich zu einer der effektivsten Methoden entwickelt, um Ihre DSGVO-Konformität zu beschleunigen.
Durch die Verwendung von Plattformen wie Penetrify können Sie sich von den traditionellen, schwerfälligen Methoden der Sicherheitsprüfung entfernen und einen agileren Ansatz wählen. In diesem Leitfaden werden wir uns ansehen, warum Cloud Pen Testing das "fehlende Glied" in Ihrer DSGVO-Strategie ist, wie es Ihnen hilft, spezifische gesetzliche Anforderungen zu erfüllen, und welche Schritte Sie heute unternehmen können, um Ihre Infrastruktur zu härten.
Verständnis der "Sicherheit der Verarbeitung" gemäß DSGVO
Artikel 32 der DSGVO ist der Kernabschnitt, der die "Sicherheit der Verarbeitung" behandelt. Er schreibt vor, dass Organisationen ein dem Risiko angemessenes Sicherheitsniveau implementieren müssen. Er erwähnt ausdrücklich Dinge wie Verschlüsselung und Pseudonymisierung, beinhaltet aber auch eine weniger beachtete Anforderung: ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Dieser Teil der "regelmäßigen Prüfung" ist der Punkt, an dem viele Unternehmen scheitern. Sie führen möglicherweise alle zwei Jahre eine Sicherheitsprüfung durch oder nur, wenn sie ein neues Produkt auf den Markt bringen. In einer Welt, in der jedoch jeden Tag neue Schwachstellen entdeckt werden, ist "alle zwei Jahre" faktisch gleichbedeutend mit "nie".
Warum "statische" Sicherheit nicht ausreicht
Die digitale Umgebung ist nicht statisch. Sie aktualisieren ständig Ihre Software, fügen neue Plugins zu Ihrem CMS hinzu und passen Ihre Cloud-Konfigurationen an. Jedes Mal, wenn Sie etwas ändern, besteht die Möglichkeit, dass Sie eine neue Tür für einen Angreifer geöffnet haben. Die DSGVO erkennt diese Fluidität an, weshalb sie eine fortlaufende Bewertung fordert.
Cloud Pen Testing ermöglicht Ihnen den Übergang von einer statischen zu einer dynamischen Sicherheitslage. Anstatt auf eine jährliche Prüfung zu warten, können Sie automatisierte und manuelle Tests verwenden, um Ihre Systeme kontinuierlich zu überprüfen. Dies stellt sicher, dass die "geeigneten Maßnahmen", die Sie vor sechs Monaten getroffen haben, auch heute noch gegen die Bedrohungen wirksam sind.
Der risikobasierte Ansatz
Bei der DSGVO geht es im Wesentlichen um Risiken. Sie benötigen nicht das gleiche Sicherheitsniveau für einen öffentlichen Blog wie für eine Datenbank mit Gesundheitsdaten oder Kreditkarteninformationen. Ein Pen Test hilft Ihnen, dieses Risiko zu quantifizieren. Er sagt Ihnen genau, was passieren könnte, wenn eine bestimmte Schwachstelle ausgenutzt würde. Indem Sie diese Risiken frühzeitig erkennen, können Sie Ihre Sanierungsmaßnahmen priorisieren und sich auf die Probleme konzentrieren, die tatsächlich durch die DSGVO geschützte Daten gefährden.
Wie Cloud Pen Testing die Compliance vereinfacht
Wenn Sie jemals eine traditionelle Pen Testing Firma beauftragt haben, wissen Sie, dass dies ein logistischer Albtraum sein kann. Sie müssen Verträge unterzeichnen, Projektzeitpläne freigeben, physischen oder VPN-Zugang gewähren und dann wochenlang auf einen PDF-Bericht warten, der zum Zeitpunkt des Lesens möglicherweise bereits veraltet ist.
Cloud-basiertes Penetration Testing verändert das Spiel, indem es einen plattformzentrierten Ansatz bietet. Hier ist, wie es den Weg zur Compliance vereinfacht:
On-Demand-Zugänglichkeit
Mit einer Plattform wie Penetrify müssen Sie nicht warten, bis sich der Zeitplan eines Beraters öffnet. Sie können Scans und Tests initiieren, wann immer Sie sie benötigen. Dies ist besonders nützlich für Organisationen, die DevOps- oder Agile-Methoden anwenden. Wenn Sie jede Woche Code-Updates durchführen, benötigen Sie Sicherheitstests, die mithalten können.
Skalierbarkeit über verschiedene Umgebungen hinweg
Viele Unternehmen sind heute in mehreren Clouds (AWS, Azure, Google Cloud) und auf On-Premise-Servern tätig. Es ist schwierig, Ihre gesamte Angriffsfläche für DSGVO-Zwecke abzubilden. Cloud Pen Testing Tools sind auf Skalierbarkeit ausgelegt. Sie können Ihren gesamten digitalen Fußabdruck scannen und sicherstellen, dass kein einzelner Bucket oder vergessener Staging-Server dem öffentlichen Internet ausgesetzt bleibt.
Integration in bestehende Workflows
Eine der größten Hürden im Bereich Sicherheit ist der "Silo-Effekt". Das Sicherheitsteam findet einen Fehler, nimmt ihn in einen Bericht auf und sendet ihn an die Entwickler, die ihn dann manuell in ihr Task-Management-System eingeben müssen. Cloud Pen Testing Plattformen lassen sich oft direkt in Tools wie Jira, Slack oder verschiedene SIEM-Systeme integrieren. Das bedeutet, dass, sobald eine DSGVO-bedrohende Schwachstelle gefunden wird, sie bereits in der Warteschlange des Entwicklers zur Behebung steht.
Aufschlüsselung der DSGVO-Anforderungen für Pen Testing
Obwohl das Wort "Penetration Testing" im Text der DSGVO nicht explizit vorkommt, sind die Anforderungen dafür in mehreren Artikeln enthalten. Sehen wir uns die spezifischen Abschnitte an, in denen Cloud Pen Testing den Nachweis erbringt, den Sie für die Compliance benötigen.
1. Artikel 32: Bewertung und Tests
Wie bereits erwähnt, erfordert dieser Artikel einen Prozess für "regelmäßiges Testen, Bewerten und Evaluieren". Ein Penetration Test-Ergebnis ist der Goldstandard-Nachweis dafür. Wenn ein Auditor fragt, woher Sie wissen, dass Ihre Firewall funktioniert, können Sie ihm einen aktuellen Penetration Test-Bericht zeigen, der beweist, dass die Firewall unbefugte Zugriffsversuche blockiert hat.
2. Artikel 35: Datenschutz-Folgenabschätzungen (DPIA)
Eine DPIA ist immer dann erforderlich, wenn Sie ein Projekt starten, das ein "hohes Risiko" für die Rechte und Freiheiten von Einzelpersonen birgt. Wenn Sie eine neue App auf den Markt bringen, die Benutzerdaten verarbeitet, müssen Sie die Risiken bewerten. Die Durchführung eines Penetration Test während der Entwicklungsphase liefert die technischen Daten, die Sie benötigen, um eine DPIA korrekt durchzuführen. Es zeigt, dass Sie Ihre Sorgfaltspflicht erfüllt haben, bevor Sie live gehen.
3. Artikel 25: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Dies erfordert, dass Sie Sicherheit von Grund auf in Ihre Produkte einbauen und sie nicht erst am Ende aufsetzen. Kontinuierliches Cloud-Penetration Testing unterstützt "Security by Design", da es Ihnen ermöglicht, Fehler während des Bauprozesses zu erkennen. Wenn Sie Ihre Staging-Umgebung mit Penetrify testen, fangen Sie Schwachstellen ab, bevor diese jemals die Produktionsdatenbank erreichen, in der die tatsächlichen, durch die DSGVO regulierten Daten gespeichert sind.
4. Erwägungsgrund 71 und 74: Rechenschaftspflicht und Verantwortung
Das Prinzip der Rechenschaftspflicht ist ein wichtiger Bestandteil der DSGVO. Sie sind nicht nur für die Sicherheit verantwortlich, sondern müssen diese auch nachweisen können. Eine Historie regelmäßiger, erfolgreicher Penetration Tests schafft einen "Papiertrail" der Rechenschaftspflicht. Wenn es zu einer Verletzung kommt, kann der Nachweis, dass Sie monatliche oder vierteljährliche Penetration Tests durchgeführt haben, Ihre Haftung und potenzielle Geldstrafen erheblich reduzieren. Es beweist, dass Sie nicht fahrlässig gehandelt haben.
Die Kosten der Nichteinhaltung vs. die Kosten des Testens
In jeder geschäftlichen Diskussion wird das Budget zur Sprache kommen. Viele Unternehmen zögern, in Penetration Testing zu investieren, weil sie es als eine "zusätzliche" Ausgabe betrachten. Betrachtet man jedoch die Kosten der Nichteinhaltung, rückt dies die Dinge ins rechte Licht.
- Direkte Geldstrafen: Wie bereits erwähnt, können diese astronomisch hoch sein. Selbst für kleinere Unternehmen sind Geldstrafen in Hunderttausenden von Euro keine Seltenheit.
- Benachrichtigungskosten: Im Rahmen der DSGVO müssen Sie im Falle einer Datenschutzverletzung in der Regel die Behörden innerhalb von 72 Stunden benachrichtigen. Sie müssen auch die betroffenen Personen benachrichtigen. Die Kosten für die Einrichtung eines Callcenters, das Versenden von Tausenden von E-Mails und die Beauftragung einer PR-Firma zur Bewältigung der Folgen können verheerend sein.
- Geschäftsverluste: Vertrauen ist die Währung des digitalen Zeitalters. Wenn Kunden hören, dass Ihre Daten aufgrund einer einfachen SQL Injection-Schwachstelle durchgesickert sind, die ein einfacher Penetration Test aufgedeckt hätte, werden sie ihre Geschäfte woanders hin verlagern.
- Sanierungskosten: Es ist viel, viel billiger, einen Fehler zu beheben, wenn Sie ihn während eines Tests finden, als ihn während einer aktiven Verletzung zu beheben, wenn Ihre Systeme ausfallen und Ihr Team in Panik gerät.
Cloudbasierte Plattformen wie Penetrify bieten ein besser vorhersehbares Kostenmodell. Anstelle einer einmaligen Gebühr von 20.000 US-Dollar für ein manuelles Audit können Sie oft ein abonnementbasiertes Modell verwenden, das zu Ihrem Budget passt und gleichzeitig kontinuierlichen Schutz bietet. Es verwandelt eine "Investitionsausgabe" in eine "Betriebsausgabe", was es den Finanzteams erleichtert, sie zu genehmigen.
Integration von Penetration Testing in Ihren DevSecOps-Zyklus
Die Zeiten, in denen Sicherheit als die "Abteilung NEIN" angesehen wurde, die die Produktion in letzter Minute stoppt, sind vorbei. Um die DSGVO einzuhalten, ohne Ihr Geschäft zu verlangsamen, müssen Sie das Testen in Ihren täglichen Arbeitsablauf integrieren. Dies wird als DevSecOps bezeichnet.
Schritt 1: Automatisierte Schwachstellensuche
Beginnen Sie mit den "niedrig hängenden Früchten". Automatisierte Scans können schnell bekannte Schwachstellen in Ihren Softwarebibliotheken, veralteten Serverversionen oder häufigen Fehlkonfigurationen (wie einem offenen S3-Bucket) identifizieren. Die automatisierten Tools von Penetrify können dies planmäßig erledigen und Ihnen ein grundlegendes Sicherheitsniveau bieten.
Schritt 2: Gezieltes manuelles Testen
Automatisierung ist großartig, aber sie ist nicht perfekt. Sie kann nicht immer komplexe Geschäftslogiken verstehen. Für Ihre wichtigsten DSGVO-bezogenen Assets – wie Ihre Checkout-Seite oder Ihr Benutzerprofil-Dashboard – benötigen Sie manuelles Penetration Testing. Hier versuchen qualifizierte Fachleute, Ihre Sicherheit mit kreativen Methoden zu umgehen, die eine Maschine möglicherweise übersieht. Ein hybrider Ansatz (automatisiert + manuell) ist der beste Weg, um die DSGVO-Anforderungen zu erfüllen.
Schritt 3: Sofortige Behebung
Ein Penetration Test ist nutzlos, wenn der Bericht nur in einem Posteingang liegt. Sie benötigen einen klaren Prozess für das, was passiert, nachdem eine Schwachstelle gefunden wurde. Kategorisieren Sie die Ergebnisse nach Schweregrad:
- Kritisch: Behebung innerhalb von 24–48 Stunden.
- Hoch: Behebung innerhalb des nächsten Sprints.
- Mittel/Niedrig: Planung für zukünftige Updates.
Cloud-Penetration Testing-Plattformen machen dies einfach, indem sie Anleitungen zur Behebung bereitstellen. Sie sagen Ihnen nicht nur "Sie haben ein Problem", sondern sie sagen Ihnen, wie Sie es beheben können, und stellen oft Code-Snippets oder Konfigurationsänderungen bereit.
Sicherheitsbewertungen für regulierte Branchen
Während die DSGVO fast jeden abdeckt, der in der EU Geschäfte tätigt, haben einige Branchen noch strengere Anforderungen. Wenn Sie im Gesundheitswesen, im Finanzwesen oder im Einzelhandel tätig sind, haben Sie wahrscheinlich zusätzlich zur DSGVO mit HIPAA, SOC 2 oder PCI DSS zu tun.
Das Schöne am Cloud-Penetration Testing ist, dass die Ergebnisse oft "kreuzkompatibel" sind. Ein Penetration Test, der Ihnen bei der Einhaltung der DSGVO hilft, erfüllt auch die meisten Anforderungen für PCI DSS (Anforderung 11.3) und SOC 2 (Common Criteria 7.1). Durch die Nutzung von Penetrify haken Sie nicht nur ein Kästchen für europäische Aufsichtsbehörden ab, sondern härten Ihr gesamtes Unternehmen gegen eine Vielzahl von Compliance-Audits ab.
Verwaltung von MSSPs und Sicherheitsberatern
Viele Unternehmen lagern ihre Sicherheit an Managed Security Service Providers (MSSPs) aus. Wenn Sie ein MSSP sind, ist das Anbieten von Cloud Penetration Testing für Ihre Kunden ein enormer Mehrwert. Es ermöglicht Ihnen, ihnen in Echtzeit Einblick in ihre Sicherheitslage zu geben. Anstatt ihnen zu sagen: "Wir sorgen für Ihre Sicherheit", können Sie es ihnen zeigen. Diese Transparenz ist entscheidend für die GDPR-Konformität, bei der der "Data Controller" (das Unternehmen) letztendlich für die Handlungen des "Data Processors" (des MSSP) verantwortlich ist.
Häufige Fehler beim GDPR Penetration Testing
Selbst mit den besten Absichten machen Unternehmen oft Fehler beim Penetration Testing. Hier sind ein paar Fallen, die Sie vermeiden sollten:
1. Zu spätes Testen
Wenn Sie Ihre Anwendung erst in der Woche vor dem Start testen, haben Sie keine Zeit, tiefgreifende architektonische Fehler zu beheben. Das Testen sollte während des gesamten Entwicklungszyklus erfolgen.
2. Ignorieren von "Minor" Schwachstellen
Kleine Lecks können zu großen Überschwemmungen führen. Ein Informationsleck mit "niedrigem" Schweregrad mag keine große Sache sein, aber ein Angreifer kann diese Informationen nutzen, um einen gezielteren Spear-Phishing-Angriff zu erstellen. Die GDPR erfordert den Schutz aller personenbezogenen Daten, also ignorieren Sie nicht die kleinen Dinge.
3. "Scope Creep" oder "Scope Shrink"
Wenn Sie nur Ihre Website testen, aber Ihre mobile App und Ihre interne API ignorieren, sind Sie nicht wirklich konform. Die GDPR gilt für Daten, wo immer sie sich befinden. Stellen Sie sicher, dass Ihr Penetration Testing-Umfang jeden Pfad umfasst, den personenbezogene Daten in Ihrem Unternehmen nehmen.
4. Das Vergessen des "Human" Elements
Penetration Testing konzentriert sich oft auf Software, aber Social Engineering ist genauso gefährlich. Während sich Cloud-Plattformen auf die technische Seite konzentrieren, ist es wichtig, sich daran zu erinnern, dass die GDPR auch die Schulung Ihrer Mitarbeiter erfordert. Eine umfassende Sicherheitsstrategie kombiniert technisches Penetration Testing mit dem Bewusstsein der Mitarbeiter.
Zukunftssichere Sicherheit mit Penetrify
Die Bedrohungslandschaft verändert sich. KI-gesteuerte Angriffe werden immer häufiger, und Hacker werden immer besser darin, obskure Schwachstellen in der Cloud-Infrastruktur zu finden. Die GDPR ist auch kein statisches Gesetz – die Aufsichtsbehörden werden immer anspruchsvoller bei der Prüfung von Unternehmen.
Indem Sie eine Cloud-native Plattform wie Penetrify wählen, positionieren Sie Ihr Unternehmen so, dass es sich anpassen kann. Sie erhalten Zugriff auf ein Toolset, das sich parallel zu den Bedrohungen entwickelt. Egal, ob Sie ein kleines Startup sind, das versucht, seinen ersten großen EU-Kunden zu gewinnen, oder ein großes Unternehmen, das Tausende von Endpunkten verwaltet, eine skalierbare, zugängliche Möglichkeit zur Durchführung von Penetration Testing ist keine Option mehr – sie ist eine geschäftliche Notwendigkeit.
Häufig gestellte Fragen
Schreibt die GDPR Penetration Testing ausdrücklich vor?
Der Text der GDPR verwendet nicht den Begriff "Penetration Testing". Artikel 32 verlangt jedoch "ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen". In der Cybersecurity-Branche wird Penetration Testing als eine primäre Möglichkeit zur Erfüllung dieser Anforderung anerkannt. Ohne sie ist es schwierig zu beweisen, dass Ihre Sicherheitsmaßnahmen tatsächlich wirksam sind.
Wie oft sollten wir Cloud Penetration Tests für die GDPR durchführen?
Es gibt keine allgemeingültige Antwort, aber der Industriestandard ist mindestens einmal jährlich oder immer dann, wenn wesentliche Änderungen an Ihrer Infrastruktur vorgenommen werden. Für Organisationen, die viele sensible Daten verarbeiten oder häufig Code-Updates durchführen, wird jedoch ein monatliches oder vierteljährliches Testen dringend empfohlen. Viele Unternehmen verwenden wöchentlich automatisierte Scans und jährlich manuelles Penetration Testing.
Was ist der Unterschied zwischen einem Vulnerability Scan und einem Penetration Test?
Ein Vulnerability Scan ist ein automatisiertes Tool, das nach bekannten "Signaturen" von Schwachstellen sucht. Es ist wie ein Wachmann, der an einem Gebäude vorbeigeht und überprüft, ob die Türen verschlossen sind. Ein Penetration Test ist tiefergehend; es ist, als würde eine Person tatsächlich versuchen, das Schloss zu knacken, durch ein Fenster zu klettern oder einen Bewohner dazu zu bringen, sie hereinzulassen. Beide sind wichtig für die GDPR, aber ein Penetration Test bietet ein viel tieferes Maß an Sicherheit.
Kann Cloud Penetration Testing bei anderen Vorschriften wie SOC 2 oder HIPAA helfen?
Absolut. Die meisten Sicherheitsrahmenwerke haben eine "Testing and Evaluation"-Komponente. Die von Penetrify generierten Berichte können den Auditoren als Nachweis Ihrer Sicherheitskontrollen für SOC 2, HIPAA, PCI DSS und ISO 27001 vorgelegt werden.
Wenn wir AWS oder Azure verwenden, sind diese dann nicht für die Sicherheit verantwortlich?
Dies ist ein weit verbreitetes Missverständnis, das als "Shared Responsibility Model" bekannt ist. Der Cloud-Anbieter ist für die Sicherheit der Cloud verantwortlich (die physischen Server, die Rechenzentren, die Kühlung). Sie sind für die Sicherheit in der Cloud verantwortlich (Ihre Anwendungen, Ihre Daten, Ihre Konfigurationen). Wenn Sie eine Datenbank für die Öffentlichkeit zugänglich machen, liegt das in Ihrer Verantwortung, nicht in der von Amazon oder Microsoft. Penetration Testing hilft Ihnen sicherzustellen, dass Ihre Seite der Abmachung sicher ist.
Wie fangen wir mit Penetrify an?
Der einfachste Weg ist, Penetrify.cloud zu besuchen und sich die Bewertungsoptionen anzusehen. Da es sich um eine Cloud-basierte Plattform handelt, können Sie oft schneller ein Konto einrichten und mit der Bewertung Ihrer Infrastruktur beginnen, als mit einem traditionellen Beratungsunternehmen.
Abschließende Gedanken: Compliance ist eine Reise, kein Ziel
Es ist leicht, die GDPR als Hürde oder Belastung zu betrachten. Aber im Kern geht es bei der Verordnung nur darum, Best Practices für die Datensicherheit zu befolgen. Kunden wollen wissen, dass ihre Informationen sorgfältig behandelt werden.
Die Verwendung von Cloud Penetration Testing, um Ihre Compliance zu beschleunigen, dient nicht nur dazu, Bußgelder zu vermeiden. Es geht darum, ein besseres, widerstandsfähigeres Unternehmen aufzubauen. Es geht darum, Ihren Partnern, Ihrem Vorstand und Ihren Benutzern sagen zu können, dass Sie alle zumutbaren Schritte unternommen haben, um sie zu schützen.
In einer Welt, in der Datenpannen jede Woche Schlagzeilen machen, ist es ein enormer Wettbewerbsvorteil, das Unternehmen zu sein, das Sicherheit ernst nimmt. Warten Sie nicht, bis ein Auditor an Ihre Tür klopft oder ein Hacker eine Lücke in Ihren Verteidigungen findet. Seien Sie proaktiv. Nutzen Sie Plattformen wie Penetrify, um Einblick in Ihre Risiken zu erhalten, Ihre Schwachstellen zu beheben und der regulatorischen Entwicklung einen Schritt voraus zu sein.
Ihre Daten – und Ihr Ruf – sind die Mühe wert.
Sind Sie bereit zu sehen, wie es um Ihre Sicherheit steht? Besuchen Sie Penetrify noch heute, um unsere Cloud-basierten Penetration Testing- und Sicherheitsbewertungsdienste zu erkunden. Egal, ob Sie sich auf ein GDPR-Audit vorbereiten oder einfach nur Ihre Infrastruktur härten möchten, wir haben die Tools, mit denen Sie Schwachstellen identifizieren, bewerten und beheben können, bevor sie zu Problemen werden.