Sie haben wahrscheinlich die Horrorgeschichten gehört. Ein Startup verbringt sechs Monate mit der Vorbereitung auf ein SOC 2-Audit, beauftragt ein Unternehmen für manuelles Penetration Testing, das drei Wochen braucht, um sich zurückzumelden, und erhält dann ein 60-seitiges PDF voller „Critical“-Schwachstellen, bei denen die Entwickler keine Ahnung haben, wie sie diese beheben sollen. Plötzlich rückt die Audit-Frist näher, der Unternehmenskunde wird ungeduldig und das Engineering-Team legt Nachtschichten ein, um Lücken zu schließen, von denen sie nicht einmal wussten, dass sie existieren.
Es ist eine stressige, teure und ehrlich gesagt veraltete Vorgehensweise.
Wenn Sie SOC 2-Compliance anstreben, wissen Sie bereits, dass es nicht nur eine „Häkchen setzen“-Übung ist. Es geht darum, zu beweisen, dass Ihre Sicherheitslage konsistent ist. Das Problem ist, dass traditionelles Penetration Testing eine Momentaufnahme ist. Es sagt Ihnen, dass am Dienstag, dem 12. Oktober, Ihre App sicher war. Was aber geschah am Mittwoch, als Sie einen neuen API-Endpunkt veröffentlichten? Oder am Freitag, als ein neues CVE für eine von Ihnen verwendete Bibliothek veröffentlicht wurde?
Hier ändert der Übergang von „Point-in-Time“-Tests zu automatisiertem PTaaS (Penetration Testing as a Service) alles. Anstatt jedes Jahr in Hektik zu verfallen, integrieren Sie Sicherheit in Ihren Rhythmus.
In diesem Leitfaden werden wir genau untersuchen, wie Sie automatisiertes PTaaS einsetzen können, um Ihr SOC 2-Audit zu beschleunigen, die Reibung zwischen Ihren Sicherheits- und Entwicklungsteams zu reduzieren und tatsächlich ein sicheres Produkt zu entwickeln, anstatt nur ein konformes.
Das SOC 2-Erfordernis „Penetration Test“ verstehen
Zunächst sollten wir etwas klarstellen. Wenn Sie sich die SOC 2 Typ 2-Kriterien ansehen, werden Sie keine Zeile finden, die besagt: „Sie müssen genau einen manuellen Penetration Test pro Jahr durchführen.“ Bei SOC 2 geht es um Trust Services Criteria – Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
Der Auditor möchte sehen, dass Sie einen Prozess zur Identifizierung und Behebung von Schwachstellen haben. Sie wollen Beweise. Sie möchten sehen, dass eine gefundene Lücke protokolliert, priorisiert und innerhalb eines angemessenen Zeitrahmens behoben wird.
Die Beweislücke
Der größte Engpass bei einem SOC 2-Audit ist nicht das Audit selbst, sondern die Beweiserhebung. Wenn ein Auditor fragt: „Wie stellen Sie sicher, dass Ihre externe Angriffsfläche sicher ist?“, möchten Sie ihm kein PDF von vor neun Monaten aushändigen. Das ist eine „Point-in-Time“-Antwort.
Ein Auditor sieht gerne einen kontinuierlichen Prozess. Wenn Sie ein Dashboard vorweisen können, das beweist, dass Sie Ihre Umgebung wöchentlich oder monatlich scannen und testen, sind Sie gerade von „wir hoffen, wir sind sicher“ zu „wir haben einen verwalteten Prozess“ übergegangen.
Warum manuelle Tests oft den „Geschwindigkeitstest“ nicht bestehen
Manuelles Pentesting ist hervorragend geeignet, um komplexe Logikfehler zu finden, die ein Bot möglicherweise übersieht. Aber es ist langsam. Sie müssen ein Statement of Work (SOW) aushandeln, die Tester einplanen, ihnen Zugang gewähren, auf das Testfenster warten und dann auf den Bericht warten.
Bis der Bericht in Ihrem Posteingang landet, hat sich Ihre Codebasis bereits geändert. Sie verbringen nun Zeit damit, Befunde „neu zu validieren“, die möglicherweise durch ein zufälliges Update drei Wochen zuvor behoben wurden. Diese Verzögerungszeit ist es, die Ihre Audit-Geschwindigkeit beeinträchtigt.
Was genau ist automatisiertes PTaaS?
Sie denken vielleicht: „Ist das nicht nur ein Schwachstellenscanner?“
Nicht ganz. Ein Schwachstellenscanner (wie Nessus oder OpenVAS) sucht nach bekannten Versionsnummern und vergleicht diese mit einer Datenbank von CVEs. Es ist ein grundlegender Gesundheitscheck.
PTaaS – und insbesondere der automatisierte Ansatz, der von Plattformen wie Penetrify verwendet wird – geht tiefer. Es simuliert das Verhalten eines Angreifers. Es erkennt nicht nur, dass Sie eine alte Version von Nginx verwenden; es versucht, Ihre Angriffsfläche zu kartieren, offene Ports zu sondieren, Ihre APIs auf fehlerhafte objektbasierte Autorisierung (BOLA) zu testen und Breach-Szenarien zu simulieren.
Der „Service“-Teil von PTaaS
Der „as a Service“-Teil bedeutet, dass es cloud-nativ und bedarfsgesteuert ist. Anstelle eines Projekts mit Start- und Enddatum ist es ein Abonnement für eine Funktion. Es existiert neben Ihrer AWS-, Azure- oder GCP-Umgebung. Wenn Sie neue Server hochfahren oder neue Microservices bereitstellen, erkennt das PTaaS-Tool diese und testet sie.
PTaaS vs. manuelles Penetration Testing vs. Scanning
| Merkmal | Basis-Scanning | Manuelles Penetration Testing | Automatisiertes PTaaS |
|---|---|---|---|
| Häufigkeit | Täglich/Wöchentlich | Jährlich/Zweijährlich | Kontinuierlich/Bedarfsgesteuert |
| Tiefe | Oberflächlich (CVEs) | Tief (Logikfehler) | Mittel-Tief (Angriffspfade) |
| Kosten | Niedrig | Sehr hoch | Moderat/Skalierbar |
| Reporting | Rohe Fehlerlisten | Narratives PDF | Umsetzbares Dashboard |
| SOC 2-Wert | Niedrig (zu grundlegend) | Hoch (Standard) | Sehr hoch (demonstriert CTEM) |
PTaaS nutzen, um Ihre Audit-Timeline zu verkürzen
Wenn Sie Ihr SOC 2-Audit schneller bestehen möchten, müssen Sie die „Remediationspanik“ eliminieren, die kurz vor der Ankunft des Auditors entsteht. Hier ist der taktische Plan, um den Prozess mithilfe von automatisiertem PTaaS zu optimieren.
1. Frühzeitig eine Basislinie festlegen
Warten Sie nicht bis zum fünften Monat Ihrer Compliance-Reise, um einen Test durchzuführen. Führen Sie einen automatisierten Scan durch, sobald Sie mit den Vorbereitungen beginnen. Dies gibt Ihnen eine Basislinie Ihrer „kritischen“ und „hohen“ Risiken. Diese frühzeitig zu beheben bedeutet, dass Sie, wenn der Auditor Ihre Protokolle überprüft, eine dokumentierte Historie der Verbesserungen vorweisen können.
2. Ihre Angriffsfläche automatisch kartieren
Eines der ersten Dinge, die ein Auditor verlangt, ist Ihr Inventar. „Kennen Sie jede einzelne öffentliche IP und Domain, die Sie besitzen?“
Die meisten Unternehmen haben „Schatten-IT“ – einen Staging-Server, den jemand vergessen hat auszuschalten, oder einen veralteten API-Endpunkt, der vor zwei Jahren für ein Pilotprogramm verwendet wurde. Diese sind Goldminen für Hacker und Warnsignale für Auditoren. Automatisierte PTaaS-Tools übernehmen die Kartierung der externen Angriffsfläche. Sie finden die Dinge, von denen Sie vergessen hatten, dass sie existieren, und ermöglichen es Ihnen, diese vor Beginn des Audits abzuschalten oder zu sichern.
3. Implementieren Sie einen Zyklus für Continuous Threat Exposure Management (CTEM)
Anstelle des alten Zyklus „Scannen $\rightarrow$ Berichten $\rightarrow$ Beheben $\rightarrow$ Ein Jahr warten“ wechseln Sie zu einem CTEM-Ansatz:
- Umfang: Definieren Sie, was geschützt werden muss (Ihre Cloud-Umgebungen, APIs, Webanwendungen).
- Entdecken: Nutzen Sie Penetrify, um alle Assets zu finden.
- Priorisieren: Konzentrieren Sie sich auf die "kritischen" Risiken, die tatsächlich zu Datenlecks führen, nicht nur auf "niedrig" priorisierte Versionskonflikte.
- Beheben: Geben Sie Entwicklern die spezifische Anleitung, die sie zur Behebung des Fehlers benötigen.
- Validieren: Führen Sie den automatisierten Test sofort erneut aus, um zu beweisen, dass die Korrektur funktioniert hat.
Dieser Zyklus erstellt eine Dokumentation von "Entdeckung $\rightarrow$ Behebung $\rightarrow$ Validierung", die Auditoren absolut schätzen. Es beweist, dass Ihr Sicherheitsprogramm in Echtzeit funktioniert.
Das Problem der "Sicherheitsreibung" lösen
Das größte Hindernis, um SOC 2 schnell zu bestehen, ist nicht der Auditor – es sind Ihre Entwickler. Entwickler hassen Sicherheitsaudits, weil diese meist zu einer riesigen Liste "kaputter" Dinge führen, die ihren Sprint unterbrechen.
Vom "vagen PDF" zum "umsetzbaren Ticket"
Ein manueller Penetration Test-Bericht besagt oft: "Die Anwendung ist anfällig für Cross-Site Scripting (XSS) auf der Suchseite."
Ein Entwickler sieht das und denkt sich: "Wo? Welcher Parameter? Wie haben Sie das gemacht?"
Automatisierte PTaaS-Plattformen wie Penetrify bieten umsetzbare Anleitungen zur Behebung. Anstelle einer vagen Aussage erhalten Sie die spezifische Payload, die zur Auslösung der Schwachstelle verwendet wurde, und einen Vorschlag, wie die Eingabe bereinigt werden kann. Wenn Sicherheits-Feedback direkt in den Workflow des Entwicklers integriert wird (z. B. über Jira- oder GitHub-Issues), sinkt die "Mean Time to Remediation" (MTTR) erheblich.
Die Belastung des Red Teams reduzieren
Wenn Sie ein KMU sind, haben Sie wahrscheinlich kein internes Red Team in Vollzeit. Sie sind wahrscheinlich ein DevOps-Ingenieur, der einen "Sicherheitshut" trägt, oder ein CTO, der versucht, die Dinge im Griff zu behalten.
Die Automatisierung der Aufklärungs- und Scanning-Phasen eliminiert 80 % der Routinearbeit. Sie müssen Nmap oder Burp Suite nicht mehr manuell für jede einzelne Veröffentlichung ausführen. Dies gibt Ihnen die Freiheit, sich auf die 20 % der komplexen architektonischen Risiken zu konzentrieren, die tatsächlich ein menschliches Gehirn erfordern.
Deep Dive: OWASP Top 10 für SOC 2 verwalten
SOC 2 erwähnt die "OWASP Top 10" nicht explizit, aber jeder kompetente Auditor wird nach Beweisen suchen, dass Sie sich gegen diese gängigen Angriffe schützen. Automatisierte PTaaS ist speziell darauf ausgelegt, diese zu finden.
Fehlerhafte Zugriffskontrolle
Dies ist das Risiko Nr. 1 auf der OWASP-Liste. Kann Benutzer A auf die Daten von Benutzer B zugreifen, indem er eine ID in der URL ändert? (Dies wird als IDOR – Insecure Direct Object Reference – bezeichnet).
Manuelle Tester sind darin sehr gut, aber automatisierte PTaaS kann Tausende von API-Endpunkten systematisch testen, um festzustellen, ob Autorisierungsprüfungen fehlen. Das Finden und Beheben dieser Fehler vor dem Audit verhindert eine "kritische" Feststellung, die Ihre Zertifizierung verzögern könnte.
Kryptografische Fehler
Verwenden Sie TLS 1.0? Haben Sie schwache Chiffren aktiviert? Ein automatisiertes Tool kann Ihre Endpunkte täglich scannen. Wenn ein Entwickler versehentlich eine Konfigurationsänderung vornimmt, die ein unsicheres Protokoll aktiviert, wissen Sie es innerhalb von Stunden, nicht erst in einem Jahr, wenn der manuelle Penetration Test stattfindet.
Injection (SQLi, NoSQLi)
Injection ist ein Klassiker. Automatisierte Tools können Ihre Eingaben mit Tausenden von Permutationen fuzzen, um zu sehen, ob Ihre Datenbank Informationen preisgibt. Durch kontinuierliches Ausführen dieser Tests stellen Sie sicher, dass neue Code-Deployments keine alten Schwachstellen wieder einführen.
Eine Schritt-für-Schritt-Anleitung zur Integration von PTaaS in Ihren Workflow
Wenn Sie bei Null anfangen, erfahren Sie hier, wie Sie ein automatisiertes Sicherheitstestprogramm einführen sollten, um Ihren SOC 2-Erfolg zu maximieren.
Schritt 1: Asset-Erkennung (Die Phase "Was haben wir eigentlich?")
Verbinden Sie Ihre Cloud-Umgebungen (AWS, Azure, GCP) mit der Plattform. Lassen Sie das Tool Ihren externen Perimeter abbilden.
- Checkliste:
- Alle Produktionsdomänen abgebildet.
- Alle Staging-/UAT-Umgebungen identifiziert.
- Öffentlich zugängliche S3-Buckets oder Storage-Blobs markiert.
- Offene Ports (SSH, RDP, Datenbank) geprüft.
Schritt 2: Erste Schwachstellen-Baseline
Führen Sie einen vollständigen Scan durch. Erwarten Sie anfangs viel „Rauschen“. Keine Panik.
- Aktion: Kategorisieren Sie die Ergebnisse.
- Kritisch/Hoch: Beheben Sie diese sofort. Dies sind die „Showstopper“ für ein Audit.
- Mittel: Planen Sie diese für die nächsten zwei Sprints ein.
- Niedrig: Protokollieren Sie sie und akzeptieren Sie das Risiko oder beheben Sie sie, wenn die Zeit es zulässt.
Schritt 3: Integration mit CI/CD (DevSecOps)
Hier beschleunigen Sie den Prozess wirklich. Integrieren Sie Ihr PTaaS-Tool in Ihre Deployment-Pipeline.
- Das Ziel: Jedes Mal, wenn ein wichtiges Feature in das Staging übertragen wird, wird ein automatischer Scan ausgelöst. Wenn eine „Kritische“ Schwachstelle gefunden wird, wird der Build markiert.
- Das Ergebnis: Sie verhindern, dass Fehler jemals die Produktion erreichen, was bedeutet, dass Ihr „Audit-Nachweis“ eine saubere Produktionsumgebung zeigt.
Schritt 4: Den Prozess dokumentieren
Ein Auditor möchte nicht nur sehen, dass Sie sicher sind; er möchte sehen, wie Sie sicher bleiben. Erstellen Sie ein einfaches internes Dokument, das besagt: „Unser Unternehmen nutzt [Penetrify] für kontinuierliche automatisierte Penetration Testing. Scans werden [wöchentlich/bei jeder Veröffentlichung] durchgeführt. Hohe und Kritische Schwachstellen werden innerhalb von [X] Tagen behoben, wie unser Dashboard für das Schwachstellenmanagement belegt.“
Schritt 5: Der „Pre-Audit“-Abschluss-Scan
Zwei Wochen bevor der Auditor eintrifft, erstellen Sie einen vollständigen, umfassenden Bericht. Verwenden Sie den „Clean Report“ als Ihr primäres Beweismittel. Wenn noch etwas offen ist, haben Sie zwei Wochen Zeit, es zu beheben.
Häufige Fehler, die SOC 2-Audits verlangsamen
Selbst mit den richtigen Tools haben einige Unternehmen immer noch Schwierigkeiten. Vermeiden Sie diese häufigen Fallstricke:
1. Den Penetration Test als „Bestanden/Nicht bestanden“-Prüfung behandeln
Einige Unternehmen verbergen ihre Schwachstellen vor ihren Testern oder versuchen, das System zu „manipulieren“. Das ist ein Fehler. Auditoren erwarten kein perfektes System; sie erwarten ein verwaltetes System. Es ist tatsächlich besser, einem Auditor eine Liste von 10 Schwachstellen zu zeigen, die Sie gefunden und behoben haben, als einen Bericht vorzulegen, der besagt „Nichts gefunden“ (was oft verdächtig aussieht oder darauf hindeutet, dass der Test nicht gründlich war).
2. „Mittlere“ Risiken ignorieren
Während „Kritische“ die ganze Aufmerksamkeit erhalten, deutet eine Fülle von „Mittleren“ Risiken auf mangelnde Sicherheitshygiene hin. Im Laufe der Zeit können diese von einem Angreifer miteinander verkettet werden, um eine „Kritische“ Sicherheitslücke zu schaffen. Nutzen Sie die Skalierbarkeit von PTaaS, um die „Mittleren“ Risiken abzubauen, ohne einen Berater einstellen zu müssen.
3. Fehler bei der Validierung von Korrekturen
Ein Entwickler sagt: „Ich habe den XSS-Bug behoben.“ Sie verlassen sich auf sein Wort und aktualisieren das Ticket. Der Auditor verlangt einen Nachweis. Wenn Sie automatisiertes PTaaS verwenden, führen Sie einfach den spezifischen Testfall erneut aus. Das Tool bestätigt, dass die Schwachstelle behoben ist. Das ist Ihr Nachweis. Keine Screenshots des Codes erforderlich.
4. Sich ausschließlich auf automatisierte Tools verlassen
Seien wir ehrlich: Automatisierung kann nicht alles finden. Sie kann nicht erkennen, ob Ihre Geschäftslogik es einem Benutzer ermöglicht, ein Zahlungsgateway zu umgehen, indem er einen Preis von 100 $ auf 1 $ ändert. Die Erfolgsstrategie: Nutzen Sie automatisiertes PTaaS für 90 % der Hauptarbeit (die „low hanging fruit“ und gängige CVEs) und einen gezielten manuellen Penetration Test für die kritische Geschäftslogik. Dieser „Hybrid“-Ansatz ist der effizienteste Weg, um die SOC 2-Anforderungen zu erfüllen.
Umgang mit der „Findings“-Debatte: Sicherheit vs. Entwicklung
Eine der größten Verzögerungen bei einem Audit ist die interne Diskussion darüber, ob ein Befund tatsächlich ein Risiko darstellt.
- Sicherheit: „Das ist ein hohes Risiko! Wir müssen es beheben, bevor der Auditor es sieht!“
- Entwicklung: „Das ist ein False Positive. Um das auszulösen, müsste ein Angreifer bereits Administrator sein. Es ist kein echtes Risiko.“
Wenn Sie eine cloudbasierte Plattform wie Penetrify haben, wird diese Debatte datengesteuert. Sie können den Angriffspfad sehen. Sie können genau sehen, wie die Schwachstelle ausgelöst wird. Dies nimmt die Emotion aus der Diskussion. Anstelle von „Ich denke“ haben Sie „Hier ist der Beweis.“
Vergleich: Die Kosten der Geschwindigkeit
Betrachten wir die finanzielle Seite. Die meisten Unternehmen halten manuelles Penetration Testing für den „Standard“, aber wenn man die Kosten für Audit-Verzögerungen berücksichtigt, ist es unglaublich teuer.
Szenario: Der traditionelle Weg
- Manueller Penetration Test: 15.000 $ – 30.000 $ pro Auftrag.
- Zeitrahmen: 4 Wochen für Planung und Durchführung.
- Behebung: 2 Wochen Entwickler-Panik.
- Audit-Verzögerung: Auditor findet „offene“ Punkte aus dem Bericht, erfordert einen erneuten Test.
- Gesamtkosten: Hohe Gebühren + verlorene Produktivität + potenziell verzögerte Vertragsunterzeichnungen von Kunden.
Szenario: Der PTaaS-Weg
- Abonnement: Monatliche/jährliche, planbare Kosten.
- Zeitrahmen: Sofortige Erkennung und kontinuierliches Testen.
- Behebung: Kontinuierliche, kleine Korrekturen, die in Sprints integriert sind.
- Audit-Verzögerung: Minimal. Beweise sind bereits gesammelt und dokumentiert.
- Gesamtkosten: Planbare OpEx + hocheffiziente Entwicklung.
FAQ: Automatisiertes PTaaS und SOC 2-Compliance
F: Akzeptiert ein Auditor einen automatisierten Bericht anstelle eines manuellen? A: Die meisten modernen Auditoren (insbesondere diejenigen, die mit SaaS- und Cloud-Unternehmen zu tun haben) akzeptieren automatisierte Berichte absolut, vorausgesetzt, das Tool ist seriös und der Prozess ist dokumentiert. Bei Audits mit sehr hohem Risiko können sie jedoch eine „Manuelle Validierung“ der kritischen Befunde verlangen. Das Schöne an PTaaS ist, dass diese manuelle Validierung Minuten statt Wochen dauert.
F: Wie oft sollte ich automatisierte Tests für SOC 2 durchführen? A: „Einmal im Jahr“ ist der alte Weg. Für eine starke SOC 2-Position sollten Sie automatisierte Scans mindestens monatlich durchführen oder sie idealerweise mit jeder größeren Veröffentlichung in Ihrer Produktionsumgebung auslösen.
F: Ersetzt PTaaS meinen Schwachstellenscanner? A: Es tut dies weitgehend, aber es leistet mehr. Während ein Scanner nach dem „Was“ sucht (Versionen), sucht PTaaS nach dem „Wie“ es ausgenutzt werden kann (Angriffspfade). Sie können Ihren Scanner für die interne Compliance behalten, aber PTaaS ist das, was Ihr Perimeter schützt.
F: Was passiert, wenn das automatisierte Tool einen „kritischen“ Fehler am Tag vor meinem Audit findet? A: Das ist tatsächlich eine gute Sache. Es ist besser, wenn Sie ihn finden als der Auditor oder ein Hacker. Da das Tool Anleitungen zur Behebung bietet, kann Ihr Team ihn oft innerhalb von Stunden patchen. Sie dokumentieren dann die Entdeckung und die Behebung, was dem Auditor beweist, dass Ihr Schwachstellenmanagementprozess perfekt funktioniert.
F: Ist PTaaS sicher in Produktionsumgebungen einsetzbar? A: Ja, vorausgesetzt, Sie verwenden eine professionelle Plattform. Tools wie Penetrify sind darauf ausgelegt, "sicher" zu sein, indem sie Angriffe simulieren, ohne Ihre Dienste zum Absturz zu bringen. Es ist jedoch immer eine bewährte Methode, Ihren ersten vollständigen Scan in einer Staging-Umgebung durchzuführen, die die Produktion widerspiegelt.
Alles zusammengefasst: Ihre SOC 2 Fast-Track-Checkliste
Um dies abzuschließen: Wenn Sie Ihre Auditierung reibungslos bestehen und Ihre Sicherheit tatsächlich verbessern möchten, folgen Sie dieser Reihenfolge:
- Stoppen Sie die "jährliche" Denkweise: Wechseln Sie von einem einmal jährlich stattfindenden Ereignis zu einer kontinuierlichen Sicherheitshaltung.
- Setzen Sie eine PTaaS-Lösung ein: Nutzen Sie Penetrify, um Ihre Angriffsfläche zu kartieren und Schwachstellen zu finden, bevor es jemand anderes tut.
- Machen Sie Ihre Hausaufgaben: Beheben Sie kritische und hohe Schwachstellen jetzt. Warten Sie nicht bis zum Audit-Fenster.
- Schließen Sie die Lücke: Geben Sie Ihren Entwicklern umsetzbare Tickets, keine vagen PDFs.
- Erstellen Sie Ihren Nachweis-Pfad: Nutzen Sie Ihr Dashboard, um dem Auditor eine Historie von "Gefunden $\rightarrow$ Behoben $\rightarrow$ Verifiziert" zu zeigen.
- Bleiben Sie schlank: Nutzen Sie Automatisierung für den Großteil der Arbeit und sparen Sie Ihr Budget für einen gezielten manuellen Penetration Test Ihrer komplexesten Funktionen.
Compliance muss kein Albtraum aus Tabellen und Stress sein. Wenn Sie die "Testphase" vom Jahresende in den Mittelpunkt Ihres Entwicklungszyklus verlagern, wird das Audit zu einer Formalität statt zu einer Hürde. Wenn sich der Auditor anmeldet, hoffen Sie nicht, dass Sie bestehen – Sie wissen bereits, dass Sie es getan haben.