Trojaner DNSChanger - Selbsttest

[Orpheus]

Sind Tausende deutsche Web-Surfer ab März offline? Ein Schadprogramm hat zahlreiche Rechner infiziert. Das Bundesamt für Sicherheit in der Informationstechnik rät Internetnutzern zum PC-Schnelltest. Auf dieser Website kann man jetzt prüfen, ob der eigene Datenverkehr umgeleitet wird.

Weiterlesen bei Spiegel-online

[Brummelchen]

2012, nur anders?

[Belzeboter]

Ja, sowas kenn ich, ich gehe über den normalen T-online-Proxy, das ist schon
schlimm genug....


-Belzeboter-

[DrSnuggles]

ROTFL

Den Schnelltest kann man sich sparen, weil der böse Server jetzt sowieso von den "Guten" kontrolliert wird. Wenn der dann abgeschaltet wird, hat man halt kein Netz mehr und wird dann sowieso auf die Suche gehen.

Völlig sinnlose Aktion ...

[holzapfel]

Bundestrojaner, versteckte Volks-PC-Zählung oder was auch immer - auf staatlich empfohlene Seiten werde ich niemals gehen.

[Schnuggy]

Zitat:

Ihre DNS Konfiguration ist korrekt

Ihr System ist nicht vom Trojaner "DNSChanger" betroffen. An der Netzwerkkonfiguration Ihres Systems konnte keine Manipulation der DNS-(Domain Name System) Einstellungen festgestellt werden.
Hinweis: Für die korrekte Durchführung dieses Tests dürfen keine Proxy-Server in den Einstellungen Ihres Webbrowsers aktiviert sein.

Schade, wäre mal luschtisch gewesen!

[Steve-Urkel]

Zitat:

Zitat von DrSnuggles

Völlig sinnlose Aktion ...

Ja, bis jetzt zumindest!
Eine Schande dass das FBI das ganze weiter betrieben hat!

So konnten infizierte Rechner weiter online bleiben, die eigentlich
längst gefixt hätten sollen. Zudem ist die Wahrscheinlichkeit hoch
das wo ein Schädling ist, weitere ihr Unwesen treiben.

Das war nämlich auch Ziel der Aktion und diese Modifikationen sind
unabhängig von der DNS Manipulation.

Aber Hauptsache das Internet läuft.
Sicher, und das Dank des FBI als Spende an die Geschädigten.


PS: So ganz nebenbei halte ich die genannte Anzahl für übertrieben.

[DrSnuggles]

Die hätten einfach jede DNS-Anfrage auf eine Seite umleiten sollen wo drauf steht: Ihr Computer ist infiziert, bitte Plattmachen.

[holzapfel]

Um was gehts da eigentlich? Um den DNS-Eintrag bei den Netzwerkeinstellungen, um die hosts-Datei? Wonach muß man denn nun schauen wenn man das Problem manuell eruieren will? Was macht dieses dns-ok.de so Aussergewöhnliches?
Darüber lässt sich die Propagandaseite ja nicht aus. Darum klingt mir das eher nach Bauernfängerei.

Die verarschen doch nur wieder die Hausfrauen.

[hanzwurscht]

also ich behaupte mal, das Millionen Rechner mit irgendwas infiziert sind. Ich habe eine Webseite, was zZt. wieder für Angriffe laufen, ist nicht mehr normal. Ich versuche die meisten IPs zu sperren und leite sie auf einen anderen Server um, wo eine leere Seite mit einem Counter ist. Der hat im Jahr doppelt so viele Besucher, als die Homepage

[Steve-Urkel]

Zitat:

Zitat von DrSnuggles

Die hätten einfach jede DNS-Anfrage auf eine Seite umleiten sollen wo drauf steht: Ihr Computer ist infiziert, bitte Plattmachen.

Die Idee ist noch besser!
Aber wenn wir darüber weiter nachdenken kommen wir sicher
wieder zu meiner Äußerung bezüglich der Spende des FBI.

Denn praktisch hätte man gleich ein Desinfektionsprogramm anbieten können.
(Sicher, das wäre nur für das eine Problem!)

Zitat:

Zitat von holzapfel

Um was gehts da eigentlich? Um den DNS-Eintrag bei den Netzwerkeinstellungen, um die hosts-Datei?

Definitiv einfach nur um den DNS Eintrag, das unter OSX als auch unter Windows.

Zitat:

Zitat von hanzwurscht

also ich behaupte mal, das Millionen Rechner mit irgendwas infiziert sind.

Ganz sicher sogar, aber nicht mit dem einen "Ding", sondern mit irgend was.
Davon gibt es soooo viel, das ist zum kotzen.



Edit(Besonders bezüglich der "Removal-Tools" die so angeboten werden):

Zitat:

Checking the Router

Small office/home office routers connect your network of computers and devices to your Internet service provider. The SOHO router may have been purchased and installed by you or installed by your ISP. Linksys, D-Link, Netgear, and Cisco are common SOHO router brands, but there are many others.
The DNSChanger malware is capable of changing the DNS server settings within SOHO routers that have the default username and password provided by the manufacturer. If you did not change the default password at the time the SOHO router was installed, you must check the SOHO router settings.
The procedure to access your SOHO router setting varies by manufacturer, so consult your product documentation. Once you have access to the SOHO router configuration, compare the DNS servers listed to those in the rogue DNS servers table above. If your SOHO router is configured to use one or more of the rogue DNS servers, a computer on your network may be infected with DNSChanger malware.
What Should

Quelle: http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

PS: Man beachte dass das ^^ ganze von November 2011 ist!
Sorry, da kann man nur "schreien" wenn man zwei Monate später die
Reaktion des BSI und der Presse liest.

[zuppenhuppen]

Hi

man wird ja regelrecht verfolgt von dieser News heute. Quasi auf allen Newsseite steht das jeder seinen Rechner über diese BKA/BSI Seite testen lassen soll.
Wie "infiziert" man sich überhaupt mit diesem Trojaner, also wie kommt er auf den PC?
Ging das nur über das dazugehörige Botnetz? Muß ich das/die dazu aufgerufen haben??

Hier gibts es Tools zum entfernen und online scans: https://www.botfrei.de/

Grüße
zuppi

[holzapfel]

Zitat:

Zitat von Steve-Urkel

...
Definitiv einfach nur um den DNS Eintrag, das unter OSX als auch unter Windows.
...

Das geht aber auch nur mit Adminrechten ... wer geht denn heute noch als Admin ins Internetz?

Ich vertraue diesen BSI-Staatssicherheits-PC-Ämtern einfach nicht.

[adhome]

Zitat:

Zitat von holzapfel

Das geht aber auch nur mit Adminrechten ... wer geht denn heute noch als Admin ins Internetz?

Verwechsle hier nichts. Wenn du kein Internet hast, wird kein Banner angezeigt. Das hat nichts mit Adminrechten zu tun.
Wenn dein DNS falsch ist, wird der falsche dns Server dir nen falschen IP zu dem Bild geben und die Seite wird rot.
Adminrechte verwendet kein Browser.

[Tassadar]

Den meisten ist das doch egal, ob da was auf den Rechnern ist oder nicht. Ich hab ne Menge jüngerer Kollegen, die haben die Kisten doch nur für Facebook, zum Pornos glotzen und zum Zocken. Und wenn die Büchse vor Viren brummt oder kein Game mehr drauf passt, dann wird sie platt gemacht, ein neues System drübergebügelt und der ganze Nerv beginnt von vorn.

[JoPa]

Im Radio kam als Warnung "Wer seine Rechner bis dahin nicht bereinigt hat, hat dann gar kein Internet mehr, weil die Server im März abgeschaltet werden!" (sinngemäß)

Hätte man nicht gleich nach der Verhaftung statt weiterlaufen zu lassen, eine allgemeine Umleitung auf eine Infoseite machen können?
Dann hätten wahrscheinlich viele erstmal keinen Dunst, was zu tun ist, die Serviceläden würden sich aber freuen, die Volkswirtschaft wird angekurbelt etc.
ABER vielen anderen hätte man erspart sich das Zeug einzufangen.

[adhome]

Zitat:

BSI ruft alle Internetnutzern zum DNS Selbsttest auf

99% werden eh an eine Speichelabgabe denken.

[holzapfel]

Zitat:

Zitat von adhome

Verwechsle hier nichts. Wenn du kein Internet hast, wird kein Banner angezeigt. Das hat nichts mit Adminrechten zu tun.
Wenn dein DNS falsch ist, wird der falsche dns Server dir nen falschen IP zu dem Bild geben und die Seite wird rot.
Adminrechte verwendet kein Browser.

Aber wenn ich den DNS einmal richtig eingetragen hab als Admin dann kann das kein anderer als der Admin ändern.
=> Der Windows-User kann hinbrausen wo er will und da kann auch versucht werden den DNS-Eintrag zu ändern was aber mit Userrechten nicht gelingt.

So versteh ich das bisher.
Darum meine Frage nochmal: Was muß ich checken ohne auf diese ominöse Staatsseite surfen zu müssen?

[adhome]

Dosfenster auf und ipconfig /all
Dort steht der DNS Server. Ob dies der echte ist kann dir dann nur google sagen. Änderungen am Router sollten mit der Methode auch erkennbar sein, weil der die DNS Daten verteilt an alle Rechner.

Ändern tut wie du richtig sagt der Browser nichts. Das macht ein Trojaner.
http://blog.botfrei.de/2011/11/troja...einstellungen/

[tritonus]

Da diese Aktion heute medial auf allen Kanälen zu sehen und hören war,war mein erster Gedanke das nun jeder Internet-Nutzer sich gezielt bei dieser DNS-OK-Seite sich das entsprechende Pendant zum Bundestrojaner runterladen soll damit die AMI-NSA zugriff auf jeden Rechner hat.

[Tank]

sinn-freie panikmache, das hatten wir heute morgen schon wo diskutiert..
welche vollpfosten surfen außerdem -heutzutage. noch mit admin rights? man beachte - es geht um
einen "angeblichen" video-codec, den sich wohl gewisse randgruppen seit 2008
wohl ziehen, um gewisse pr0n filmchen abspielen zu können...d.h. der DNS-Changer/Rootkit
kommt in dieser Form..ferner "stört" es den i.Tunes Store mit falschen Abbuchungen..damn, who cares...
ja und besagte us meldung ist "alt"....nur heute machen die medien wieder einen auf tabula
rasa mit solcherlei thematik...das sommerloch...aehm die winterflaute läßt grüßen...SCNR.

[Karl Napp]

Zitat:

welche vollpfosten surfen außerdem -heutzutage. noch mit admin rights?

Jeder nicht PC affine PC Benutzer, der noch nicht Windows Vista oder 7 hat....und das sind sehr viele, außerdem...ich! und zwar schon seit jahrzehnten, ohne jeglichen Virenbefall.
Ich hatte schon mindestens 10 Kunden die mit Adminrights, ohne Updates und OHNE Antivirenprogramm ihren Rechner betrieben.
Als Highscore hing mal ein log von Antivir bei mir rum, welches beim ersten Scan eines Rechners weit über 5000 Viren fand.

[Belzeboter]

Zitat:

Zitat von Tank

welche vollpfosten surfen außerdem -heutzutage. noch mit admin rights?

Tank, bedenke, es geht um Windows, nicht um Linux. Welches Programm kommt
heute da noch ohne Adminrechte aus, müßte es eigentlich heißen.....
Ganz schlimme Malware, sowas wie Symantek AV z.B., gibt sich ja sogar ungefragt
selbst Systemrechte....

Und wenn man das liest, fragt man sich, ob das FBI überhaupt Ahnung von
solchen Dingen hat

The DNSChanger malware is capable of changing the DNS server settings within SOHO routers
that have the default username and password provided by the manufacturer.

Wen interessiert das Router-Paßwort ? Ich kann meins gern dem FBI
schicken Das Problem ist doch eher, daß viele SOHO-Router als
Werkseinstellung von außen her offen sind (so wie die Telekom-Dinger früher
auf Port 8080). Dann ist es natürlich kein Problem, irgendwas im System zu
manipulieren.


-Belzeboter-

[Tank]

Hi Belze,

also ich nutze sehr sporadisch Win7, und seit NT 3.5 Zeiten habe ich auch keine Admin Rechte genutzt, der ist einzig zur Systempflege da, ansonsten immer eingeschränkte Benutzerrechte...im Useraccount.

[Belzeboter]

Ja gut, fürs normale Arbeiten mag das gehen. Ich habe bei mir oft ext. Hardware
am Rechner über ser/par Ports, da wollen die Programme natürlich nicht mit
eingeschränkten Rechten. Habe aber auch XP und kein WIn7. Mein User-Acc
wird daher gleich unter Admins "eingegliedert"

Allerdings sind unter Win meine Netzwerkeinstellungen auch fest und sowas wie
DNS- und DHCP-Client fliegt raus.... Ärger mit DNS hatte ich noch nie, außer mit dem
dämlichen Providerproxy (t-online) der bei Vertippern die eigene Suchmaschine
bringt und kein 404


-Belzeboter-

[Tank]

..so ist das bei der T*L*K*M schon immer...stimmt, Belze.

[eumel_1]

Haben also die vom BSI wirklich 2 Monate gebraucht um den Staatstrojaner zu "reparieren"? Die Anleitung/Analyse vom CCC war wohl nicht genau genug um dem Staat zu zeigen, woran der Staatstrojaner krankt?

[adhome]

A) Trojaner ist das Internetpassword deines Router auch egal. Die sind im LAN und wollen das LAN Password wissen.
B) Das Adminrechte Problem wurde ja in Win7 hinreichend entschärft, indem man Administratoren die Administratorrechte entzog.
Was ich so höre kommen viren auch nie über Browser Sicherheitslöcher ins System. Adminrechte entziehen nützt da nichts, wenn man ein Codec installiert und dafür alles Adminrechte gibt.
Bisher hört man eher nur von Adobe Produkte wo auch ohne Eigenverschulden was rein kommt.

[Bogus]

Mich lacht mein Kollege aus, wenn ich dem erzähle das ich mein Win7 ein Benutzerkonto hat. Unter XP hab ich das eigentlich nie gemacht. Unter Linux ist das Usos, vielleicht sollten endlich mal die User vor dem Monitoren nachdenken, was sie da runterladen und nicht jeden scheiss link gleich anlicken.
Mein Kollege meinte noch heute - er weiss das ich LinuxUser bin - morgen kommste bestimmt mit einem grimmigen Gesicht zu Arbeit und erzählst das dein Lappi - wo Linux drauf läuft - den Trojaner erwischt hat. Naja er meint, weil auf einer D-Box sein Linux bearbeiten kann, weiss er auch wie Linux tickt.

[xanadu]

Laut Telekom, die den Server für den Test bereitstellt, erhielten bis Donnerstagabend 1,4 Millionen Nutzer ein grünes O.k. und knapp 8000 eine rote Warnung.

Um den Rechner gegebenenfalls von der Schadsoftware zu befreien, kann das Programm DE-Cleaner genutzt werden, das unter www.botfrei.de heruntergeladen werden kann.

Betroffene, die nichts unternehmen, kommen ab März nicht mehr ins Internet.
Denn dann werden vom FBI konfiszierte Server abgestellt, über die die befallenen Rechner bislang noch laufen.

[WereWOLF GANG]

Ich brauche den Test nicht zu machen, weil ich bei den Adaptereinstellungen die DNS-Server manuell eingebe. In meinem Fall als Fritz!Box User:

1. 192.168.178.1 (das ist die Fritz!Box, die dann über den DNS-Server des Providers weiterleitet)

2. alternativ: 8.8.4.4. (das ist ein Google DNS Server)

Mit dieser Einstellung komme ich zügig und troijaner-frei auf alle Seiten!

Natürlich habe ich noch weitere Sicherheitsvorkehrungen.

[eumel_1]

Zitat:

Zitat von adhome

A) Trojaner ist das Internetpassword deines Router auch egal. Die sind im LAN und wollen das LAN Password wissen.
...

Kannst Du Deine Behauptung begründen?
Programmiertechnisch lässt sich so ziemlich alles bewerkstelligen außer vielleicht Kinder zeugen, man kann mittels einfacher Abfragen herausbekommen, um welchen Router es sich handelt und dann einfach darauf richtig reagieren um mittels Standardpasswort sich Zugang zu verschaffen. Oder probiert einfach alle PWs mittels Wörterbuch durch. Ich bin also anderer Meinung als Du.
Lass mich lernen!
Was ist ein LAN-Passwort?

[tomcattom]

Zitat:

Zitat von eumel_1

...
Was ist ein LAN-Passwort?

Das ist das Passwort für das WLAN-Kabel.

[adhome]

@eumel_1: Ich meinte damit Belzeboter:

Zitat:

Wen interessiert das Router-Paßwort ? Ich kann meins gern dem FBI
schicken Das Problem ist doch eher, daß viele SOHO-Router als
Werkseinstellung von außen her offen sind

LAN Passwort ist das Passwort, um vom LAN auf den Router zuzugreifen. Dagegen gäbe es das WAN Passwort, wenn du vom WAN bzw. Internet zugreifst.
Nur diese Funktion kenne ich nicht. Sollte es so gut wie nicht geben aus Sicherheitsgründen.

[eumel_1]

Selten solch konstruktiven Unsinn gehört, in beiden Fällen wird das als Routerpasswort bezeichnet.
Warum? Weil es den Zugang zum Router regelt, nicht zum LAN.

Und ein WAN-Passwort gibt Dir dann den Weg ins WAN frei? Dass sind in meinem beschränktem Horizont die Providerzugangsdaten fürs Internet (= Wide Area Network)

SCNR

PS: wenn Du dem Router ein Passwort gibst, kommst Du auch von draussen nur mit PW rein. Nur so als Tipp!

[DetLife]

Zitat:

Zitat von Bogus

Mich lacht mein Kollege aus, wenn ich dem erzähle das ich mein Win7 ein Benutzerkonto hat. Unter XP hab ich das eigentlich nie gemacht.

Unter Windows 7 ist der Unterschied nicht so groß, man muß halt das Adminpaßwort angeben, statt im UAC-Dialog einfach nur Return zu drücken. Ist also eine etwas größere Hemmschwelle für Alles-ohne-Angucken-Wegklicker.

Unter XP entspricht der Adminaccount dem wilden Rumfuchteln mit ungesicherter Schußwaffe. Das hat sogar MS erkannt und beim Windows Server 2003 den Internet Explorer des Admin-Accounts komplett stillgelegt. Dafür muß man sich beim User-Account ggf. benötigte erweiterte Rechte manuell besorgen (Run As...).

[Brummelchen]

Zitat:

PS: wenn Du dem Router ein Passwort gibst, kommst Du auch von draussen nur mit PW rein

Bei meinem DLINK nicht ganz, das muss man explizit einstellen und noch aktivieren.
War auch das letzte FW-Update, um die Übernahme von aussen zu deaktivieren.

Nützt aber alles nichts, wenn in (meiner) LAN-verbindung der DNS-Server hijacked wird.

[Belzeboter]

Zitat:

Zitat von adhome

@eumel_1: Ich meinte damit Belzeboter:


LAN Passwort ist das Passwort, um vom LAN auf den Router zuzugreifen. Dagegen gäbe es das WAN Passwort, wenn du vom WAN bzw. Internet zugreifst.
Nur diese Funktion kenne ich nicht. Sollte es so gut wie nicht geben aus Sicherheitsgründen.

Ja gut, Paßwort von innen.... aber erst mal muß man ja vom Internet nach
"innen" durch den Router.
Wenn man erst mal diese Hürde überwunden hat, ist der Router ja kein
Hindernis mehr
Dann ist so ziemlich alles offen und möglich....

-Belzeboter-

[Steve-Urkel]

Zitat:

Zitat von WereWOLF GANG

Ich brauche den Test nicht zu machen, weil ich bei den Adaptereinstellungen die DNS-Server manuell eingebe.

Welche das "Ding" ^^ von sich aus ändert, und dem völlig egal
ist was du selber vorher eingegeben hast.

[eumel_1]

Zitat:

Zitat von Belzeboter

Ja gut, Paßwort von innen.... aber erst mal muß man ja vom Internet nach
"innen" durch den Router.
Wenn man erst mal diese Hürde überwunden hat, ist der Router ja kein
Hindernis mehr
Dann ist so ziemlich alles offen und möglich....

-Belzeboter-

Das wäre dann aber das WLAN Passwort (nach meinem Wortschatz), bei Kabel braucht man kein Passwort (im allgemeinen, es sei denn man hat CISCO oder ähnliches zu Hause im Einsatz).
Aber das wird dann doch mehr T&F.

[adhome]

Zitat:

Ja gut, Paßwort von innen.... aber erst mal muß man ja vom Internet nach
"innen" durch den Router.

Glaube das mit dem Passwort hat dich verwirrt. Vergiss mal LAN und WAN und Passwort.
Der Eindringling kommt nicht von außen und versucht dein Router zu knacken.
Der Eindringling kommt von innen weil er auf dein PC läuft und versucht von dort aus auf den Router zuzugreifen und das Passwort zu erraten.
Deshalb blöd, wenn du dein Routerpasswort den Trojaner gibst(was du oben vorgeschlagen hast).

[Belzeboter]

Doch, wir reden von derselben Sache
Klar kommt der Trojaner von innen, aber so, wie das in den Medien dargestellt
wird, wird das große Grauen über alle DSL-User hereinbrechen

Ich muß natürlich aufpassen, daß ich mir selber nichts hole, also nichts Abartiges
anklicken, kein Active Scripting, möglichst kein Adobe Zeuch..... das übliche also.


-Belzeboter-

[eumel_1]

Hehe, meine Paranoia hat andere angesteckt:

Zitat:

www.dns-ok.de: Internetnutzer haben Furcht vor Bundestrojaner
Nachdem das Bundesamt für Sicherheit in der Informationstechnik Computernutzern empfohlen hat, ihre PCs auf Befall mit der Schadsoftware DNS-Changer via www.dns-ok.de zu überprüfen, macht sich Unsicherheit breit. Manche befürchten, dass so der Bundestrojaner eingeschleust werden soll.

Quelle: http://www.pcgameshardware.de/aid,86...cherheit/News/

[Brummelchen]

pöser purche

[F2B]

Zitat:

Zitat von eumel_1

Hehe, meine Paranoia hat andere angesteckt

Guckst Du auch HIER!

[DEMION]

Zitat:

Zitat von Steve-Urkel

Ja, bis jetzt zumindest!
Eine Schande dass das FBI das ganze weiter betrieben hat!

Hat es anscheinend nicht

Zitat:

As part of a federal court order, the rogue DNS servers have been replaced with legitimate servers in the hopes that users who were infected will not have their Internet access disrupted.

Quelle: 9.11.2011 http://www.fbi.gov/news/stories/2011...malware_110911

Zitat:

Zitat von Steve-Urkel

So konnten infizierte Rechner weiter online bleiben, die eigentlich
längst gefixt hätten sollen. [....]

Ich denke, dass das Ersetzen der DNS vor größerem wirtschaftlichen Schaden bewahrt hat. Nachdem die aufgerufenen Adressen der mit DNSChanger infizierten Systeme wieder regulär aufgelöst werden konnten, hat(te) man Zeit sich mit dem Problem zu befassen - und das ggf. ohne "plattmachen".

Alles in allem lange bekannte Geschichte. Warum gerade jetzt das BSI "wach" geworden ist, verstehe ich nicht. Vielleicht soll ein wenig vom Präsi abgelenkt werden.

[Brummelchen]

Zitat:

Zitat von F2B

Guckst Du auch HIER!

Wobei MBAM auch nur ein Diagnosemittel ist.
Wenn tatsächlich vorhanden, plätten/Image und Sicherheit nachbessern.
Gerade bei drive-by ist fast immer Java die Ursache -also: Abschalten!

[eumel_1]

Zitat:

Zitat von DEMION

...
Alles in allem lange bekannte Geschichte. Warum gerade jetzt das BSI "wach" geworden ist, verstehe ich nicht. Vielleicht soll ein wenig vom Präsi abgelenkt werden.

[Paranoia]
Der Grund wurde doch schon genannt: http://www.cc-community.net/showpost-1004167.html
[/Paranoia]

[Belzeboter]

Zitat:

Zitat von Brummelchen

Gerade bei drive-by ist fast immer Java die Ursache -also: Abschalten!

Hast du da irgendwelche Beispiele dafür Es ist ja allgemein
bekannt, daß du immer über Java fluchst, aber in der Praxis ist Java als Ursache
wohl eher selten.

Die Haupprobleme solcher Mitnahme-Downloads sind doch wohl eher Active-X und
Flash... (gerade Active-X gibts ja da "nette" Sachen )


-Belzeboter-

[adhome]

FF hat kein Active-X
Bei Java kommt es aufs alter an. Das letzte große Loch ist vom August.
Viele verwechseln aber JS mit Java. JS ist wesentlich sicherer.