SHIELD

Reisen

Missionsnachbereitung: das Post-mortem, das niemand macht

Was man tut, wenn man von einer Risikoreise zurückkehrt: Audit der Geräte, Rotation der Credentials, Missionsbericht.

Veröffentlicht am 14 Min. Lesezeit Exponiert

Zuletzt überprüft:

Flugzeug beim Start in der Morgendämmerung

Ein Berater kehrt von einer Woche in Shenzhen zurück. Flughafen, Taxi, Sofa. Er klappt seinen Laptop wieder auf, tippt das Passwort des Heim-WLANs erneut ein, verbindet sich wieder mit dem Firmen-VPN und beantwortet seine überfälligen Mails. Niemand hat ihm gesagt, es anders zu machen. Sieben Monate später, bei einer durch ein Datenleck bei seinem Kunden ausgelösten Untersuchung, datiert der Zeitstempel des ersten Implants auf den Abend seiner Rückkehr — nicht auf China. Die während der Reise kompromittierte Maschine hat brav auf das Netz gewartet, das etwas wert war: sein eigenes.

Angle de lecture

Die übliche Falle

„Ich bin zurück, alles gut, die Reise ist gut verlaufen.” Das ist der Satz, der die Mission mental abschließt, und genau dort beginnt das Risiko. Die Rückkehr von einer Reise ist nicht das Ende eines Sicherheitsereignisses: Es ist seine gefährlichste Phase, denn es ist der Moment, in dem das Gerät, das eine Woche auf unbeherrschten Netzen gelebt hat, das Netz erreicht, das seinerseits etwas Stehlenswertes enthält. Die gesamte Vorbereitungsarbeit — sauberes Image, minimierte Daten, eSIM, getestetes VPN — zielte darauf, einen Perimeter während der Reise zu schützen. Die Rückkehr ist der Moment, in dem dieser Perimeter mit Ihrem realen digitalen Leben verschmilzt. Niemand behandelt diesen Moment als Schleuse. Man behandelt ihn als Erleichterung.

Der vorherrschende Diskurs endet bei „scannen Sie Ihr Gerät bei der Rückkehr”. Das ist durch Unzulänglichkeit falsch. Ein Virenscan erkennt das Bekannte und Signierte; er ist blind für ein gezieltes Implant, für ein gut gemachtes RootkitSchadsoftware, die sich tief im OS installiert, um unsichtbar und persistent zu bleiben., für einen Agenten, der seinen Verkehr erst erwacht, sobald die richtige Netzroute verfügbar ist. Schlimmer: Ist die Maschine wirklich kompromittiert, kann das darauf laufende Sicherheitswerkzeug selbst neutralisiert sein — es zeigt Ihnen „keine Bedrohung erkannt”, weil man es so eingestellt hat. Der grüne Scan ist kein Unschuldsbeweis. Er ist die Abwesenheit eines Schuldbeweises, was überhaupt nicht dasselbe ist, und auf dieser Verwechslung beruht die Mehrheit der Eindringen nach Reisen, die ich in der Incident ResponseStrukturierter Prozess zur Handhabung eines Sicherheitsvorfalls: Erkennung, Eindämmung, Beseitigung, Wiederherstellung. sehe.

Die zweite Falle ist zu glauben, das Risiko beschränke sich auf das Gerät. Es gibt zwei Flächen, nicht eine. Die erste ist das Material: Laptop, Telefon, Peripheriegeräte, das, was physisch oder über das Netz implantiert worden sein könnte. Die zweite, unsichtbar und weit häufiger ausgenutzt, ist die Gesamtheit der Identifikatoren und Sitzungen, die Sie aus dem Ausland genutzt haben — auf unbekannten Tastaturen getippte Passwörter, auf einem Hotel-WLAN herumgereichte Authentifizierungs-Tokens, auf Cloud-Diensten offen gebliebene Sitzungen. Man kann ein Konto kompromittieren, ohne je die Maschine zu berühren. Die Mehrheit der Menschen reinigt das Gerät und vergisst die Zugänge. Das ist das Gegenteil dessen, was man in den meisten Fällen priorisieren müsste.

Die Rückkehr ist ein Sicherheitsereignis: das reale Bedrohungsmodell

Zerlegen wir, was wirklich passiert, Vektor für Vektor, denn indem man die konkreten Mechanismen auflistet, hört man auf, die abstrakte Angst vor dem „Hacken” zu schüren.

Vektor 1 — die schlafende Kompromittierung. Ein korrekt konzipiertes Implant tut im Moment der Infektion nichts Beobachtbares. Es installiert sich, persistiert und löst seine Aktivität aus — Exfiltration, laterale Bewegung, Öffnung eines Steuerkanals — wenn die Zielumgebung erscheint. Für ein Reisegerät ist die Zielumgebung nicht das Hotelzimmer: Es ist Ihr Netz, Ihr VPN, Ihr Informationssystem bei der Rückkehr. Deshalb ist „während der Reise hat nichts gehakt” eine Nicht-Information. Der Angreifer, der in einen Zugang investiert hat, hat kein Interesse daran, in einem Café in Schanghai aufzufallen; er hat jedes Interesse daran, auf die Verbindung zu warten, die die Operation wert ist. Die Frist zwischen Infektion und erster beobachtbarer Aktion zählt häufig in Wochen, manchmal in Monaten — die Untersuchung, die ich in der Eingangsanekdote beschreibe, hat eine Lücke von sieben Monaten zwischen Implant und Ausnutzung ergeben.

Vektor 2 — die exponierten Credentials. Während der Mission haben Sie Dienste von Netzen aus konsumiert, die Sie nicht kontrollierten. Selbst mit einem VPN entgehen manche Gesten dem Tunnel: ein auf dem Computer im Besprechungsraum eines Kunden getipptes Passwort, ein TOTP6-stelliger Code, der alle 30 Sekunden von einer App (Google Authenticator, Authy usw.) generiert wird.-Code, erzeugt auf einem Telefon, das beobachtet worden sein könnte, ein auf einem feindlichen Netz abgefangenes OAuthProtokoll für delegierte Autorisierung: einer App Zugriff auf eine Ressource im Namen des Benutzers gewähren.-Sitzungs-Token. Ein gestohlenes Sitzungs-Token umgeht die MFAMehrfaktor-Authentifizierung: Kombination von zwei unabhängigen Identitätsnachweisen beim Anmelden.: Der Angreifer spielt die bereits authentifizierte Sitzung erneut ab, ohne je den zweiten Faktor zu brauchen. Deshalb ist „ich habe MFA, ich bin sicher” bei der Rückkehr eine Illusion. Die einzige zuverlässige Abwehr ist die RotationZentrale Verwaltung von Identitäten und Zugriffen auf Ressourcen. der Geheimnisse und die Widerrufung der aktiven Sitzungen — alles für ungültig erklären, was während des Reisefensters ausgestellt wurde.

Vektor 3 — der nicht erkannte physische Zugriff. Das Evil-Maid-Szenario — ein kurzer Zugriff auf das während eines Abendessens allein im Zimmer gelassene Gerät — hinterlässt keine sichtbare Spur. Ein modifiziertes Kabel, ein „Geschenk”-USB-Stick mit Firmenlogo, eine öffentliche Ladestation, die Juice JackingMetadaten, die an Bildern hängen: Datum, GPS, Gerät, Aufnahmeparameter. betreibt: lauter dokumentierte und in der Wirtschaftsspionage genutzte Vektoren. Das Gerät kommt äußerlich identisch zurück. Was sich geändert hat, liegt unter der Oberfläche, außerhalb der Reichweite einer Sichtprüfung oder eines Standard-Anwendungsscans.

Vektor 4 — der menschliche Faktor. Die Ermüdung der Reise, der Jetlag, die Erleichterung, zurück zu sein, und die Dringlichkeit des aufgelaufenen Rückstands senken die Wachsamkeit genau in dem Moment, in dem sie ihren Höhepunkt erreichen sollte. Die Entscheidung „ich verbinde alles wieder, ich sortiere morgen” trifft man in diesem Zustand. Das ist eine wichtige Sicherheitsentscheidung, getroffen von jemandem, der nicht in der Verfassung ist, eine zu treffen. Das Rückkehrprotokoll existiert vor allem, um diese Entscheidung dem erschöpften Menschen abzunehmen und sie einem geschriebenen Verfahren anzuvertrauen.

Der richtige Ansatz: ein nach Niveau kalibriertes Rückkehrprotokoll

Der pragmatische Umschwung besteht darin, aufzuhören, die Rückkehr Gerät für Gerät zu improvisieren, und sie wie die Vorbereitung zu behandeln: nach Niveaus, jedes das vorherige umfassend. Man wählt keine Maßnahmen aus einem Menü. Man bestimmt das Niveau der Reise — dasselbe Tripel wie vor der Abreise: Wert der mitgeführten Daten, Wert des Ziels, durchquerte Rechtsordnung — und wendet die gesamte entsprechende Stufe an. Am Tag der Rückkehr, erschöpft, denkt man nicht mehr nach: Man arbeitet die Liste ab. Das macht die Sache tragbar für jemanden, der kein Experte ist und um 23 Uhr nach Hause kommt.

Das Leitprinzip lässt sich in einem Satz fassen: Das Reisegerät ist schuldig bis zum vernünftigen Beweis des Gegenteils, und die Zugänge sind standardmäßig abgelaufen. Man kehrt die Beweislast um. Statt einen Grund zur Sorge zu suchen, behandelt man die Sorge als Ausgangszustand und senkt das Alarmniveau durch konkrete Aktionen — nicht durch Gefühl.

Niveau 1 — Standardreise, geringer Einsatz. Sicheres Ziel, keine sensiblen Daten, kein Vorfall. Die Rückkehr dauert eine Viertelstunde. EDRAgent auf Endgeräten/Servern, der verdächtiges Verhalten erkennt und die Untersuchung ermöglicht. oder aktueller Scan über das Gerät laufen lassen. Prüfung der jüngsten Verbindungen auf der Mail und den wichtigen Konten über die Sicherheits-Dashboards (Google, Microsoft, Apple zeigen den Verlauf der Sitzungen und Geräte). Rotation des Hauptpassworts, wenn öffentliche Netze genutzt wurden. Das ist schnell, fängt die groben Anomalien ab und etabliert den Reflex. Der Reflex zählt genauso viel wie die Geste: ein bei jeder Rückkehr gemachtes N1 ist ein N3, das man am Tag, an dem es nötig wird, zu machen wissen wird.

Niveau 2 — Business, berufliche Daten und Zugänge. Das gesamte N1, plus eine Logik der Widerrufung und des Audits. Keine direkte Wiederverbindung zum Informationssystem vor der Prüfung: Man isoliert das Gerät auf einem neutralen Netz (ein persönlicher 4G-Hotspot genügt), um die vorbereitenden Operationen durchzuführen, ohne das Unternehmensnetz zu exponieren. Rotation der Credentials des Reisefensters: alle während der Mission eingegebenen Passwörter, alle aktiven API-Tokens und vor allem die ausdrückliche Widerrufung der offenen Sitzungen über die Funktion „von allen Sitzungen abmelden”, die die meisten ernsthaften Dienste anbieten. Es ist diese letzte Aktion, die den Vektor des erneut abgespielten Tokens schließt. Audit der Zugriffsprotokolle: Verbindungen zu inkohärenten Uhrzeiten, ausländische Adressen, unbekannte Geräte in der Sitzungsliste. Zweiter unabhängiger Scan: nicht nur der hauseigene Agent, sondern ein Drittanbieter-Werkzeug, denn ein kompromittiertes Gerät kann seinen eigenen EDR blenden.

Niveau 3 — Mission mit hohem Risiko, plausibles Ziel. Das gesamte N2, plus eine Logik des angenommenen Misstrauens. Hier reinigt man nicht: Man setzt zurück. Systematisches Neuaufsetzen des Reise-Laptops aus dem vor der Abreise vorbereiteten sauberen Image — keine Wiederherstellung einer Sicherung, die eine etwaige Kompromittierung nach der Baseline zurückbringen würde. Vollständige Rotation der Identifikatoren ohne Ausnahme, Widerrufung aller während der Reise ausgestellten Tokens und neues TOTP-Geheimnis, wenn Codes aus einer potenziell beobachteten Umgebung erzeugt wurden. ForensischesDisziplin, die nach einem Vorfall digitale Spuren analysiert, um zu rekonstruieren, was passiert ist. Audit vor dem Neuaufsetzen, wenn die Organisation über ein Sicherheitsteam oder einen MSSPAnbieter, der die Sicherheit eines Kunden im Outsourcing betreibt (Managed SOC, Managed EDR usw.). verfügt: das Festplatten- und Speicherabbild vor dem Löschen zu erfassen erlaubt es, etwaige Kompromittierungsindikatoren (IOC) zu extrahieren, die die künftigen Abwehrmechanismen verbessern. Man löscht die Maschine, man bewahrt den Beweis.

Das Audit der Zugänge fasst sich in sieben Fragen zusammen, die man sich ehrlich stellt, zehn Minuten auf die Uhr: Welche Dienste habe ich vom Ziel aus genutzt? Habe ich ein Passwort auf einer Tastatur getippt, die nicht meine war? Habe ich einen USB-Stick unbekannter Herkunft eingesteckt, und sei er mit einem Logo bedruckt? Habe ich an einer öffentlichen Ladestation mit einem Kabel geladen, das Datenübertragung erlaubt? Habe ich ein sensibles Dokument bei einem Dritten gedruckt? Habe ich mein Telefon mit einem Computer verbunden, den ich nicht kontrolliere? Und — die wichtigste — ist etwas Ungewöhnliches geschehen, sei es noch so banal: Gerät länger als erwartet aus dem Blick, Reinigung zu einer seltsamen Uhrzeit, eine Verbindungsanfrage, die ich nicht initiiert habe? Jedes „Ja” ist ein zu behandelnder Vektor, keine Anekdote, die man beim Mittagessen erzählt.

Bleibt der Missionsbericht, das Stück, das jeder überspringt. Eine Seite, nicht mehr: Ziel und Kontext, genutzte Netze (Hotel, Kunde, Flughafen), während der Reise installierte Apps, neue Kontakte mit Zugang zu sensibler Information und die Liste der Anomalien — auch der für unbedeutend gehaltenen. Dieses Dokument dient nicht dazu, Sie abzusichern. Es dient dem Sicherheitsteam, um einen SIEM-Alarm drei Wochen später zu kontextualisieren, zu entscheiden, ob ein ergänzendes Audit nötig ist, und die Verbesserung der Verfahren zu nähren. „Nichts zu melden” ist kein Bericht; es ist die Abwesenheit eines Berichts, als Bericht verkleidet.

Was das konkret bedeutet

Für Sie als Privatperson

Drei Gesten, die man bei der Rückkehr macht, bevor man alles wie zuvor wieder verbindet. Keine kostet mehr als ein paar Dutzend Euro, und das Wesentliche ist kostenlos.

  1. Bevor Sie Ihr Heim-WLAN betreten, ändern Sie die während der Reise genutzten Passwörter. Tun Sie es von einem Gerät aus, das nicht gereist ist — Ihrem zu Hause gebliebenen Telefon zum Beispiel. Beginnen Sie mit der Haupt-Mail, die alles Übrige befehligt, dann die Bank und der PasswortmanagerAnwendung, die einzigartige Passwörter für jeden Dienst speichert und generiert.. Und auf jedem Dienst, der es erlaubt, klicken Sie „von allen Sitzungen abmelden”: Das ist es, was eine gestohlene Sitzung vertreibt, nicht der bloße Passwortwechsel.

  2. Prüfen Sie die aktiven Verbindungen auf Ihren sensiblen Konten. Die Sicherheits-Dashboards von Google, Microsoft und Apple listen die Geräte und offenen Sitzungen auf, mit Ort und Zeitstempel. Fünf Minuten, um eine Verbindung von einem Ort zu erkennen, an dem Sie nie waren, oder zu einer Uhrzeit, zu der Sie schliefen. Wenn Sie den Unbekannten sehen, melden Sie ab und ändern Sie sofort das Passwort.

  3. Scannen Sie das Reisegerät, bevor Sie es ans Familiennetz anschließen. Ein von Ihrem gewohnten Virenscanner unabhängiges Werkzeug (eine kostenlose eigenständige Version genügt für den privaten Gebrauch) gibt eine zweite Meinung. Bei einer Rückkehr aus einem Land mit aktiver Überwachung gehen Sie weiter: Isolieren Sie das Gerät vor der ersten Wiederverbindung auf dem Hotspot Ihres Telefons, machen Sie den Scan, ändern Sie die Zugänge — und erst danach betreten Sie das Heimnetz.

Für Sie als CISO / IT-Leitung / Geschäftsführung

Die Rückkehr ist kein Sensibilisierungsthema, es ist ein zu instrumentierender Prozess. Vier strukturierende Punkte.

1. Die Rückkehr eröffnet ein Ticket, keine gute Absicht. Eine als Tier 2 oder 3 klassifizierte Reise muss automatisch ein Rückkehr-Ticket generieren — Isolation, Audit der Zugänge, Credential-Rotation, Neuaufsetzen bei Tier 3 — zugewiesen mit einer Frist, genau wie ein Incident-ResponseStrukturierter Prozess zur Handhabung eines Sicherheitsvorfalls: Erkennung, Eindämmung, Beseitigung, Wiederherstellung.-Ticket geringer Schwere. Direkte Folge: Sie verknüpfen den Abschluss der Reise (Spesenabrechnung, Missionsende im HR-Tool) mit der Eröffnung des Tickets, sodass die Rückkehr nicht mehr vom Gedächtnis eines erschöpften Reisenden abhängt.

2. Die Rotation der Geheimnisse ist ein Workflow, keine Mail-Erinnerung. „Denken Sie daran, Ihre Passwörter zu ändern” zu verlangen, produziert nichts Messbares. Die Rotation der während des Reisefensters ausgestellten oder genutzten Credentials muss vom IAMZentrale Verwaltung von Identitäten und Zugriffen auf Ressourcen.-System ausgelöst und nachvollzogen werden, mit erzwungener Widerrufung der aktiven Sitzungen. Direkte Folge: Sie taggen die „Missions”-Zugänge schon vor der Abreise und programmieren ihr Ablaufen bei der Rückkehr, statt auf eine manuelle Geste zu zählen, die nie kommt.

3. Der Missionsbericht speist das SIEM, kein totes Aktenfach. Der einseitige Bericht — Netze, Apps, Kontakte, Anomalien — hat nur Wert, wenn er das Team erreicht, das die Protokolle betrachtet. Eine gemeldete Anomalie verwandelt einen mehrdeutigen Alarm drei Wochen später in ein qualifiziertes Signal. Direkte Folge: Sie standardisieren ein kurzes Rückkehrformular und routen es zum SOCTeam und Plattform, die die Sicherheit einer Organisation kontinuierlich überwachen. oder zum MDRAusgelagertes SOC, das sich auf 24/7-Erkennung und Reaktion spezialisiert, oft rund um ein EDR.-Dienst, der es für die relevante Dauer an den Überwachungskontext des Mitarbeiters anhängt.

4. Tier 3 impliziert eine forensische Kapazität, intern oder vertraglich. Ein potenziell kompromittiertes Gerät ohne vorherige Erfassung zu löschen heißt, den einzigen Beweis zu zerstören, der das Vorgehen hätte enthüllen können. Für exponierte Organisationen muss eine Tier-3-Rückkehr die Erfassung des Festplatten- und Speicherabbilds vor dem Neuaufsetzen vorsehen. Direkte Folge: Sie nehmen die forensische Erfassung in den Vertrag Ihres MSSPAnbieter, der die Sicherheit eines Kunden im Outsourcing betreibt (Managed SOC, Managed EDR usw.). auf oder schulen eine Person intern in der sauberen Erfassung, sonst bleibt das „forensische Audit” der Richtlinie eine dekorative Zeile.

Fehler, die man ständig sieht

  • Das Reisegerät schon bei der Ankunft, vor jeder Prüfung, wieder ans Unternehmensnetz anschließen. Das ist die Geste, die eine auf einen einzigen Arbeitsplatz begrenzte Kompromittierung in eine Kompromittierung des Informationssystems verwandelt. Der Reflex „ich beantworte schnell meine Mails” kostet manchmal den gesamten Vorfall.
  • Dem grünen Scan vertrauen. Ein Virenscanner, der nichts findet, beweist nichts auf einem gezielt angegriffenen Gerät. Die signaturbasierte Sicherheit fängt die Massen-Malware ab, nicht das auf Sie zugeschnittene Implant.
  • Das Passwort ändern, ohne die Sitzungen zu widerrufen. Ein neues Passwort wirft weder eine bereits authentifizierte Sitzung noch ein gestohlenes OAuth-Token hinaus. Ohne „von allen Sitzungen abmelden” bleibt der Angreifer verbunden, während Sie glauben, die Tür wieder geschlossen zu haben.
  • Nur das Gerät reinigen, nie die Zugänge. Die Mehrheit der Kompromittierungen nach Reisen läuft über ein Konto, nicht über die Maschine. Den Laptop neu zu installieren und die Credential-Rotation zu vergessen heißt, das Fenster zu panzern und die Tür offen zu lassen.
  • Aus einer aktuellen Sicherung wiederherstellen statt aus dem sauberen Image vor der Abreise. Liegt die Sicherung nach der Infektion, installiert man das Problem neu und beglückwünscht sich.
  • Nichts melden, weil „nichts Auffälliges”. Die für sich behaltene Anomalie ist die Anomalie, die dem Analysten fehlen wird, an dem Tag, an dem der Alarm kommt. Ein zweimal „gemachtes” Zimmer, ein zehn Minuten aus dem Blick verschwundenes Gerät, ein Kabel, das man nicht wiedererkennt: das notiert man, das meldet man.
  • Die Sicherheitsentscheidungen am Abend der Rückkehr treffen, erschöpft. Wenn etwas verdächtig, aber nicht dringend scheint, notiert man es und behandelt es am nächsten Tag mit frischem Blick — außer einer aktiven unbekannten Verbindung, die man sofort kappt.

Umsetzbare Checkliste

  • N1 Aktueller EDR-/Virenscan über das Gerät bei der Rückkehr
  • N1 Prüfung der jüngsten Sitzungen und Verbindungen auf der Mail und den Hauptkonten (Sicherheits-Dashboards)
  • N1 Rotation des Hauptpassworts, wenn öffentliche Netze genutzt wurden
  • N2 Keine direkte Wiederverbindung zum Unternehmens-Informationssystem vor der Prüfung
  • N2 Isolation des Geräts auf einem neutralen Netz (4G-Hotspot) für die vorbereitenden Operationen
  • N2 Rotation aller während des Reisefensters genutzten Credentials
  • N2 Ausdrückliche Widerrufung der aktiven Sitzungen ('von allen Sitzungen abmelden')
  • N2 Audit der Zugriffsprotokolle (inkohärente Uhrzeiten, ausländische IPs, unbekannte Geräte)
  • N2 Zweiter Scan mit einem vom hauseigenen Agenten unabhängigen Werkzeug
  • N2 Einseitiger Missionsbericht verfasst und übermittelt (Netze, Apps, Kontakte, Anomalien)
  • N3 Vollständiges Neuaufsetzen des Reise-Laptops aus dem sauberen Image vor der Abreise
  • N3 Vollständige Rotation der Identifikatoren ohne Ausnahme + neues TOTP-Geheimnis, wenn Codes in Risikozone erzeugt wurden
  • N3 Forensische Erfassung (Festplatten- + Speicherabbild) vor dem Neuaufsetzen, wenn Team oder MSSP verfügbar
  • N3 Debrief mit der IT-Leitung/dem Sicherheitsteam über den Kontext und die Anomalien

Zum Weiterlesen

Das NIST formalisiert die Mechanik der Rückkehr besser als jeder Reiseführer: Das SP 800-61r2 beschreibt den Incident-Response-Zyklus — Erkennung, Eindämmung, Beseitigung, Wiederherstellung — der genau das ist, was eine Tier-3-Missionsnachbereitung im Kleinen umsetzt, und das SP 800-86 erläutert die Integration forensischer Techniken, darunter die Reihenfolge der Beweissicherung vor dem Löschen. Auf deutscher Seite decken die Cyber-Sicherheitsempfehlungen des BSI für Reisende die Vorbereitung und die Rückkehr in einigen faktischen Seiten ab, zu oft weggelegt und nie wieder gelesen.

Um den Reisezyklus zu schließen: Die Reisevorbereitung erklärt, warum das saubere Image und die Datenminimierung alles bedingen, was die Rückkehr leisten kann — man setzt nur das sauber neu auf, was man sauber bereitzustellen wusste. Der Übertritt der Grenzkontrollen und des Zolls erläutert die erzwungene Offenlegung und die Durchsuchung, zwei weitere Gründe, das Material zu trennen. Und Reisen nach China liefert den konkreten Fall, in dem das Rückkehrprotokoll keine Vorsichtsmaßnahme mehr ist, sondern die einzige vernünftige Hypothese.

Quellen und weiterführende Literatur

Verwandte Artikel