15.06.2020

IT-Sicherheitsgesetz 2.0 – neuer Entwurf veröffentlicht

Portrait von Martin Schallbruch
Martin Schallbruch ESMT Berlin, Director of the Digital Society Institute

Nach einem Jahr Funkstille zum IT-Sicherheitsgesetz 2.0 hat das Bundesinnenministerium (BMI) im Mai einen neuen Referentenentwurf fertiggestellt und in die Abstimmung mit den anderen Bundesministerien gegeben. Offenbar soll das Gesetzgebungsvorhaben nun fortgesetzt werden. Gegenüber dem Referentenentwurf vom 27. März 2019 hat der Gesetzentwurf eine Reihe Veränderungen erfahren.

Auffälligste Veränderung ist die vermutlich auf Grund des Widerstands des Justizministeriums erfolgte Streichung von neuen Straftatbeständen und Änderungen im Strafprozessrecht. Hatte das BMI 2019 noch geplant, die Strafrahmen für IT-Sicherheitsdelikte wie Ausspähen von Daten, Datenveränderung oder Computersabotage deutlich zu erhöhen und zudem neue Straftatbestände wie die unbefugte Nutzung von IT-Systemen einzuführen, ist davon im vorliegenden Entwurf keine Rede mehr. Auch strafprozessuale Ideen wie die Ermöglichung von Telekommunikationsüberwachung oder Online-Durchsuchung in Fällen von Computerkriminalität oder eine Ermächtigung der Strafverfolgungsbehörden zum Operieren unter übernommenen virtuellen Identitäten finden sich im Entwurf nicht mehr.

Kern & rechtspolitische Stoßrichtungen

Kern des vorliegenden Entwurfs sind weiterhin die weitgehende Überarbeitung des BSI-Gesetzes sowie Änderungen im Telekommunikations- und Telemediengesetz. Gegenüber dem vor einem Jahr an dieser Stelle kritisierten Entwurf ist der vorliegende Referentenentwurf handwerklich deutlich besser geworden und auch systematisch klarer verständlich.

Nach Wegfall der strafrechtlichen Veränderungen bleiben vier wesentliche rechtspolitische Stoßrichtungen:

1)    Kontrollbefugnisse des BSI für den digitalen Raum

Weiterhin ist geplant, die Rolle des BSI als eine Art Sonderpolizeibehörde im digitalen Raum deutlich auszuweiten. Zur Gefahrenabwehr soll das Amt vier wesentliche neue Befugnisse bekommen:

  • Sicherheit von IT-Produkten: BSI soll alle auf dem Markt verfügbaren IT-Produkte auf Sicherheit überprüfen dürfen, ohne bestimmten Anlass. Sogar „zur Bereitstellung vorgesehene“, also noch in der Entwicklung befindliche Produkte werden einbezogen. Als IT-Produkte werden Hardware und Software definiert, digitale Dienste sind nicht einbezogen. Hersteller müssen kooperieren und Unterlagen herausgeben. Neu ist, dass das BSI auch sektorale Aufsichtsbehörden bzw. die jeweils vorgesetzten Ministerien über die Ergebnisse informieren soll. (§ 7a BSIG-E).

 

  • Online-Monitoring: Weiterhin ist geplant, dass das BSI systematisch und automatisch im Internet nach ungesicherten Computern suchen können soll (§ 7b BSIG-E). Mit Hilfe sogenannter Portscans soll für alle über das Internet erreichbaren Geräte überprüft werden können, ob sie geeignete Sicherheitsmaßnahmen ergriffen haben. Die Befugnis ist weit gefasst und reicht vom Fitness-Tracker im Haushalt bis zur Industrieanlage. Nach der Begründung des Enwurfs soll diese aktive Suche nur zur Unterrichtung der Betreiber dienen. Der Verweis im neuen § 7b Abs. 1 Satz 2 BSIG-E auf die Weitergabe von Daten an Strafverfolgungsbehörden und Nachrichtendienste legt anderes nahe. Auch die Pflichten zur Unterrichtung der Bundesverwaltung (in § 4 BSIG) und der Kritischen Infrastrukturen (in § 8b BSIG) gelten ebenfalls für die bei Portscans gewonnen Informationen. Ergänzt werden die Möglichkeiten zum Portscan durch eine ausdrückliche Ermächtigung des Umleitens von Internetverkehren zwecks Früherkennung von Angriffen (Sinkholing, Honeypots).

 

  • Befugnisse im Krisenfall: Überarbeitet wurden die Vorkehrungen und Befugnisse des BSI für den Krisenfall, in dem IT-Systeme kritischer Infrastrukturen oder anderer wichtiger Unternehmen angegriffen werden. Das BSI muss hierzu eine Art Gesamtplan für die Krisenreaktion erarbeiten und sich hierzu mit den relevanten sektoralen Aufsichtsbehörden abstimmen, also Behörden wie z.B. die Bundesnetzagentur oder die BAFin. Tritt eine Krise ein, eine „erhebliche Störung“ der IT einer kritischen Infrastruktur, kann das BSI Anweisungen erteilen, wie das angegriffene Unternehmen zu reagieren hat – sofern das Unternehmen selbst aus Sicht des BSI nicht oder nicht ausreichend handelt (§ 5c BSIG-E).

 

  • Auswertung von Protokollierungsdaten: Um dem BSI unter dem Eindruck erfolgreicher Angriffe auf Einrichtungen des Bundes bessere Möglichkeiten zu geben, Angreifer frühzeitig zu erkennen, soll das BSI Protokollierungsdaten speichern und auswerten dürfen, die beim Betrieb der IT-Systeme des Bundes anfallen, also etwa bei Webservern, Datenbanken, Fachverfahren. Diese Regelung in einem neuen § 5a BSIG geht über die bisherige Befugnis für Protokolldaten hinaus. Während mit Protokolldaten im Wesentlichen die Metadaten eines Kommunikationsvorgangs gemeint sind, z.B. IP-Adressen oder URL, umfassen Protokollierungsdaten alle Aufzeichnung von Aktivitäten in Systemen, also z.B. Login-Vorgänge, Änderungen von Berechtigungen, erfolgte Datenbankabfragen etc. Damit soll etwa der Weg eines Angreifers durch die Systeme des Bundes leichter nachvollzogen werden können.

 

2)    Neue Betreiberpflichten

Schon im Vorjahresentwurf wollte das BMI die für Kritische Infrastrukturen geltenden besonderen Pflichten auf weitere Unternehmen erstrecken. Der damalige Ansatz hatte sich etwas schwer getan mit einer konsistenten Definition, welche weiteren Unternehmen unter diese Pflichten fallen sollten. Nunmehr sieht der Entwurf die Definition einer Kategorie von Unternehmen im besonderen öffentlichen Interesse vor (§ 2 Abs. 14 BSIG-E). Hierunter fallen die drei Gruppen:

  1. Rüstungs-, Raumfahrt- und IT-Sicherheitsunternehmen (durch Verweis auf die Definitionen im Außenwirtschaftsgesetz),
  2. Unternehmen, die „aufgrund ihrer volkswirtschaftlichen Bedeutung und insbesondere ihrer erbrachten Wertschöpfung von besonderem öffentlichen Interesse sind“ sowie
  3. Chemieunternehmen (durch Verweis auf die Definition in der Gefahrstoffverordnung).

Rüstung und Chemie waren auch im 2019er-Entwurf enthalten; die zweite Gruppe ersetzt ein Stück weit die im Vorjahresentwurf über die Zugehörigkeit zu DAX, MDAX, SDAX und TecDAX definierten Unternehmen. Das Gesetz konkretisiert diese Gruppe nicht weiter, hierzu soll eine Rechtsverordnung erlassen werden.

Für die Unternehmen im besonderen öffentlichen Interesse gelten im Vergleich zu KRITIS abgesenkte Anforderungen:

  • IT-Sicherheitskonzept: Die Unternehmen der Gruppen 1. und 2. müssen dem BSI binnen zwei Jahren – und dann alle zwei Jahre – IT-Sicherheitskonzepte vorlegen. Eine Auditierung der Unternehmen wie bei KRITIS ist nicht vorgesehen, das BSI kann nur „Hinweise“ zu den eingereichten Konzepten geben. Chemieunternehmen (Gruppe 3.) müssen kein Sicherheitskonzept einreichen – sofern sie nicht zusätzlich unter eine der anderen Kategorien fallen (§ 8f BSIG-E).
  • Branchen-Standard: Die Möglichkeit, einen Branchenstandard für solche Sicherheitskonzepte zu erarbeiten und vom BSI anerkennen zu lassen, wird den Unternehmen anders als den KRITIS-Betreibern nicht eingeräumt, obwohl die KRITIS-Unternehmen davon lebhaft Gebrauch gemacht haben (vgl. die Liste der B3S-Standards).

Meldepflicht: Für alle drei Gruppen von Unternehmen gilt – ähnlich wie bei KRITIS – eine Meldepflicht bei Störungen. Bei Chemieunternehmen gilt diese Verpflichtung für IT-Sicherheits-Störfälle, die Gefahren für die öffentliche Sicherheit und Ordnung darstellen (können), während bei Rüstungs- und anderen wichtigen Unternehmen auf die Beeinträchtigung der Wertschöpfung abgestellt wird. Bei diesen beiden Gruppen wird also auf die Funktions- und Leistungsfähigkeit abgestellt, bei den Chemieunternehmen mehr auf die Gefahren von Cyberangriffen für die Allgemeinheit.

Anders als bei kritischen Infrastrukturen, wo Meldungen in manchen Fällen anonym, ohne Name des Unternehmens, erfolgen können, müssen Unternehmen im besonderen öffentlichen Interesse immer namentlich melden. Die Begründung des Entwurfs lässt die Gründe für diese Ungleichbehandlung nicht nachvollziehen (§ 8b Abs. 4a und 4b BSIG-E).

Zuordnung zu mehr als einer Gruppe: Keine Regelungen enthält der Entwurf für den Fall, das ein Unternehmen ganz oder teilweise unter mehrere Gruppen fällt, also beispielsweise ein Chemieunternehmen ist, das auch von volkswirtschaftlicher Bedeutung ist – möglicherweise sogar mit Unternehmensteilen, die kritische Dienstleistungen erbringen (etwa Energieerzeugung). Mangels Kollisionsregelungen wären nach dem vorliegenden Entwurf alle Vorschriften parallel einzuhalten, d.h. mehrfache und unterschiedliche Vorlage- und Meldepflichten.

 

3)    Regeln für Hersteller von IT-Produkten

Die Verbesserung der Sicherheit von Hardware und Software durch mehr Verantwortungsübernahme der Hersteller ist so etwas wie der Kern aller IT-Sicherheitsanstrengungen. Ein Großteil aller Sicherheitsprobleme entsteht durch die Schwachstellen in den Basisprodukten.

Keine generelle Meldepflicht für Sicherheitsmängel: Den Ansatz des Vorjahresentwurfs, alle Hersteller aller IT-Produkte mit einer aktiven Meldepflicht für Sicherheitsmängel in die Pflicht zu nehmen, hat der neue Entwurf wieder kassiert. Abgesehen von der Binnenmarktkonformität und der Schwierigkeit der Durchsetzung gegenüber ausländischen Herstellern wäre das BSI vermutlich auch in Meldungen ertrunken.

Der aktuelle Entwurf enthält jedoch zwei Ansätze zur Verbesserung der Produktsicherheit und zur Verantwortung der IT-Hersteller:

  • Freiwilliges IT-Sicherheitskennzeichen: Mit der Einführung eines freiwilligen IT-Sicherheitskennzeichens sollen Hersteller motiviert werden, die Sicherheit ihrer Produkte zu dokumentieren und nachzuhalten. Dazu muss eine Herstellererklärung abgegeben werden, die das BSI dann anhand von Unterlagen plausibilisiert, um das Kennzeichen zu erteilen. Solche freiwilligen IT-Sicherheitskennzeichen sollen für diejenigen Produktkategorien möglich sein, die zuvor in einer Rechtsverordnung festgelegt wurden. Soweit vorliegend ergeben sich die inhaltlichen Anforderungen an das Produkt aus technischen Richtlinien des BSI. Das BSI soll für alle Produkte mit erteiltem Sicherheitskennzeichen regelmäßig die Sicherheit prüfen und darüber eine Online-Sicherheitsinformation bereitstellen (§ 9a BSIG-E). Hier unterscheidet sich der aktuelle Entwurf nicht vom Vorentwurf.

 

  • Prüfung v. kritischen Komponenten & Vertrauenswürdigkeit: Mit einer Regelung zur Untersagung des Einsatzes kritischer Komponenten nicht vertrauenswürdiger Hersteller soll die Produktsicherheit im Bereich der kritischen Infrastrukturen erhöht werden. Betreiber kritischer Infrastrukturen sollen die für die Funktionsfähigkeit ihre Dienstleistungen wichtigen IT-Produkte dem BSI melden müssen (§ 8a Abs. 3 Satz 4 BSIG-E). Sofern für die jeweilige Komponente (durch ein Fachgesetz) eine Zertifizierung angeordnet wurde, muss der Betreiber zusätzlich zu der technischen Zertifizierung von dem jeweiligen Hersteller eine Garantieerklärung einholen – über die gesamte Lieferkette. Vor dem Einsatz der Komponente besteht dann eine Anzeigepflicht beim BMI. Das BMI überprüft nun die Vertrauenswürdigkeit des Herstellers und kann bei negativem Ergebnis den Einsatz der Komponente, oder sogar aller Komponenten des Herstellers untersagen.

Dieser neue § 9b BSIG-E wird vermutlich den Beinahmen „Lex 5G“ oder „Lex Huawei“ bekommen, weil hiermit die aktuelle Diskussion über die Nutzung chinesischer Komponenten beim Aufbau der 5G-Mobilfunknetze gelöst werden soll. Neben die technische Zertifizierung soll die Vertrauenswürdigkeitsprüfung durch das BMI treten. Ihre Maßstäbe sind im Gesetz nur sehr allgemein ausgeführt, die Inhalte der Garantieerklärung soll BMI durch Allgemeinverfügung bekanntmachen.

Mit Art. 2 Nr. 2 des Entwurfes des IT-Sicherheitsgesetzes 2.0 wird § 109 TKG so geändert, dass für den Bereich der Telekommunikationsausrüstung eine Zertifizierung angeordnet wird, mithin die Anwendung der neuen Vertrauenswürdigkeitsprüfung im BSIG für 5G sogleich vorgeschrieben.

 

4)    Verpflichtung von Providern zu Sicherheitsmaßnahmen

Aus dem Vorentwurf beibehalten hat der aktuelle Entwurfstext eine Erweiterung der  Verpflichtung von Telekommunikations- und Telemedienanbietern, dem BSI und anderen Sicherheitsbehörden bei der Cyberabwehr, der Abwehr laufender Angriffe oder der Beseitigung von Angriffsfolgen zu helfen.

  • TK-Anbieter: Die vorhandenen Möglichkeiten der Provider, Internetverkehre beim Feststellen von Angriffen zu sperren, umzuleiten und Kunden zu warnen, sollen ergänzt werden um eine Befugnis des BSI, solche Cyberabwehrmaßnahmen anzuordnen (§ 109a Abs. 8 TKG-E).
  • Telemedienanbieter: Eine ähnliche Regelung soll in § 13 Abs. 7a TMG-E auf für Telemedienanbieter geschaffen werden; auf Anweisung des BSI sollen sie technische Maßnahmen ergreifen, um beispielsweise mangelhafte eCommerce-Shopsysteme abzusichern oder Webserver gegen die Platzierung von Schadsoftware zu schützen.

Diese neuen BSI-Befugnisse sind allerdings nach dem Entwurf nur zum Schutz des Bundes und der kritischen Infrastrukturen erlaubt, nicht zum Verbraucherschutz, obwohl sie hierfür sicherlich sehr relevant wären und die Erhöhung des Verbraucherschutzes eines der zentralen Gesetzgebungsziele darstellt.

Verhinderung der Verbreitung gestohlener Daten: Ein gegenüber dem Vorjahresentwurf neu geregelter Komplex ist die Verpflichtung für TK- und Telemedienanbieter, bei der Verhinderung der Verbreitung gestohlener Daten mitzuwirken. Dieser Regelungsbereich ist eine Lehre aus dem „Doxing“-Vorfall Anfang 2019, als Daten von Spitzenpolitikern gestohlen und im Internet verbreitet wurden. Damals war es den Behörden schwergefallen, die Weiterverbreitung der Daten zu stoppen und sie auf hunderten von Servern im Internet löschen zu lassen.

Telekommunikations- und Telemedienanbieter sollen hieran nun aktiv mitwirken müssen:

  • TK-Anbieter nur im Hinblick auf missbräuchliche Nutzung ihrer Dienste und Abfluss der dortigen Bestands- und Nutzungsdaten (§ 109a Abs. 1a TKG-E).
  • Telemedienanbieter hingegen sollen deutlich weitergehend eine Meldepflicht haben, wenn mit ihren Diensten persönliche Daten oder Geschäftsgeheimnisse Daten rechtswidrig weitergegeben und veröffentlicht werden. Über eine digitale Schnittstelle ist das BKA zu informieren (§ 15b TMG-E). Die Anbieter haben beim Vorliegen von Anhaltspunkten für eine unrechtmäßige Verbreitung solcher Daten sogar eine Pflicht, die Daten zu sperren.  Eine Schwelle für Verpflichtete gibt es hier nicht, jeder Telemedienanbieter muss diese weitgehende Verpflichtung erfüllen.

 

Bewertung

Pappa ante Portas, der vor einem Jahr an dieser Stelle kritisierte paternalistische Ansatz des Gesetzentwurfs ist auch in dem neuen Entwurf zu finden. Auch wenn einige überschießende Vorhaben wie die Meldepflicht für alle Anbieter beliebiger IT-Produkte entfallen sind, bleibt der Entwurf bei seinem Ansatz, die Verantwortung für die Sicherheit der IT in Deutschland vor allem beim BSI anzusiedeln.

Mit beliebigen Produktuntersuchungen, dem Scannen aller mit dem Internet verbundenen Geräte, mit Anordnungsrechten gegenüber KRITIS-Unternehmen und Providern oder der ständigen Sicherheitsprüfung aller mit einem Sicherheitskennzeichen versehenen Geräte bekommt das BSI eine kaum zu bewältigende Aufgabenlast. Zwar soll das BSI dafür auch fast 600 neue Stellen erhalten, ob es der vom Gesetzentwurf ausstrahlenden Gesamtverantwortung je gerecht werden kann, ist aber mehr als fraglich.

In Zukunft werden sich die Fälle häufen, in denen problematische Produkte vom BSI nicht untersucht, ungesicherte Server im Internet nicht erkannt oder Unternehmen im besonderen öffentlichen Interesse erfolgreich angegriffen wurden – das BSI aber alle Befugnisse gehabt hätte, die Sicherheitsmängel zu erkennen. Dem BSI kann nur empfohlen werden, höchstmögliche Transparenz über die Wahrnehmung all der neuen Befugnisse an den Tag zu legen und damit deutlich zu machen, dass trotz weitreichender Befugnisse immer nur ein verschwindend kleiner Bruchteil der digitalen Welt vom BSI überprüft sein wird.

Weitgehende Befugnisse des BSI sind grundsätzlich zu begrüßen. Fehlende Basissicherheit bei Produkten, fehlendes Risikomanagement bei Anwendern und eine nicht funktionierende vertrauensvolle Zusammenarbeit zwischen Wirtschaft und Staat wird das BSI mit stichprobenartigen Überprüfungen und Kontrollen aber nicht ersetzen können.

Incentivierende Elemente fehlen im neuen Entwurf jedoch weiterhin, etwa Belohnungen für hohe IT-Sicherheit, Haftungsreduzierungen für überdurchschnittliche Anstrengungen, Erleichterungen für Public Private Partnerships oder ein Rechtsrahmen für Selbstregulierung und Selbstkontrolle. Auch Hilfsmittel, die Lage der IT-Sicherheit in Deutschland insgesamt zu erfassen, etwa durch Definition messbarer Sicherheitsziele und entsprechender Key Performance Indicator (KPI), sind nicht zu finden.

 

Einzige Ausnahme ist das als Anreiz ausgestaltete IT-Sicherheitskennzeichen – im Grunde ein guter Ansatz ist seine Ausgestaltung mit einem komplexen System aus technischen Richtlinien des BSI, Plausibilisierung von Unterlagen, regelmäßiger Produktprüfung durch das BSI und Bereitstellung einer Website sehr bürokratisch und Staats-fixiert geraten. Zudem steht der ganze Ansatz in einem unklaren Spannungsverhältnis zum Europäischen Cybersicherheits-Rechtsakt, der ein freiwilliges Cybersicherheits-Zertifikat einführt – wie verhält sich ein solches Zertifikat, dessen breite freiwillige Nutzung auch die deutsche Bundesregierung bewirbt, zum deutschen IT-Sicherheitskennzeichen? Warum brauchen wir im digitalen Binnenmarkt beides?

Weiterhin fehlen Mindestsicherheitsanforderungen an vernetzte Produkte, die das Problem der Schwachstellen von Hardware und Software an der Wurzel packen würden. Eine solche Verpflichtung müsste wegen des Binnenmarkt auf europäischer Ebene erfolgen. Sehr zu begrüßen ist, dass die Bundesregierung angekündigt hat, sich im Rahmen der EU-Ratspräsidentschaft im zweiten Halbjahr 2020 hierfür einzusetzen.

 

Die neuen Verpflichtungen für Unternehmen im besonderen öffentlichen Interesse sind ein besserer Ansatz als die Vorschläge im Vorentwurf. Ob hier eine pragmatische Erhöhung der IT-Sicherheit erreicht wird oder eine bürokratische Belastung, ist ohne Kenntnis der noch zu erlassenden Rechtsverordnung nicht zu beurteilen. Während bei KRITIS-Unternehmen klar ist, welche Unternehmensprozesse es zu schützen gilt – nämlich die kritischen Dienstleistungen – ist das hier bislang ungeregelt. Ein neu dem Gesetz unterfallendes Unternehmen braucht aber einen Maßstab, was genau der Gesetzgeber geschützt haben will. Helfen könnte auch die Möglichkeit, wie bei KRITIS, durch bereichsspezifische B3S-Standards für konkretisierende Selbstregulierung zu öffnen.

Um keine Benachteiligung deutscher Unternehmen beim Wettbewerb im Europäischen Binnenmarkt zu bekommen, müsste eine vergleichbare Regelung in die Überarbeitung der Europäischen Richtlinie über Netz- und Informationssicherheit (NIS-Richtlinie) aufgenommen werden – auch das ein Punkt, den die Bundesregierung in ihrer EU-Ratspräsidentschaft aufgreifen sollte.

 

Politischen Streit wird es bei diesem Gesetzentwurf über die flächendeckenden Portscans des BSI und über weitgehende neue Providerpflichten geben, rechtswidrige Daten zu sperren oder das BKA zu informieren. Portscans von Industrieanlagen oder vernetzten Medizingeräten können die für die Sicherheit dieser Systeme Verantwortlichen kaum akzeptieren. Und eine Erstreckung der Sperrverpflichtung für Daten auf alle Telemedienanbieter, vom Fußballverein bis zum Versandhaus, kann kaum das letzte Wort sein.

 

Wegen der Verknüpfung des Gesetzentwurfs mit der 5G/Huawei-Debatte wird der Umgang mit der Vertrauenswürdigkeit chinesischer Anbieter sicher das Hauptthema der politischen Debatte sein. Der offene Streit in der Bundesregierung über den Umgang mit Huawei wird mit dem neuen Entwurf nicht gelöst: Über die neue Regelung in § 9b BSIG kann Huawei im Einzelfall ausgeschlossen werden, muss es aber nicht. Statt einer politischen Entscheidung setzt der Entwurf auf eine langwierige komplizierte bürokratische Lösung aus Zertifizierungen, Garantieerklärungen, Anzeigepflichten, Vertrauenswürdigkeitsprüfungen. Wie das operativ umgesetzt werden kann und ob die Koalitionsfraktionen diesen Ersatz von Politik durch Bürokratie mitmachen, ist unklar. Zudem ist das komplexe Verfahren europäisch kaum anschlussfähig, eine gemeinsame europäische Lösung rückt damit in weite Ferne.

 

Nach der Ressortabstimmung und Kabinettbefassung muss der Entwurf noch bei der EU-Kommission notifiziert werden. Eine parlamentarische Beratung kann danach im Oktober oder November beginnen, die Verabschiedung des Gesetzes noch rechtzeitig vor dem Ende der Wahlperiode gelingen.

Insgesamt ist zu hoffen, dass im parlamentarischen Verfahren der eher bürokratische und staatsfixierte Ansatz von IT-Sicherheit geöffnet wird zu einem stärker kooperativen Ansatz von IT-Sicherheit, der eine hohe und messbare Resilienz Deutschlands im digitalen Raum durch konkrete Förderung von Eigenverantwortung und vertrauensvoller Zusammenarbeit erreicht.

Zurück