Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at
Dieser Artikel ist Teil einer Viererserie zum Thema Schadsoftware (Malware).
Da sind einmal Tipps für Heim-PCs, dann gibt es
eine Seite mit Überblick über verschiedene Formen der Schadsoftware:
Spam, Trojanern und anderen Schädlinge
und dieser dritte Artikel hier erklärt die wirtschaftlichen Hintergründe:
Was ist eigentlich das Business Modell der dunklen Seite im Internet?.
Der vierte Artikel gibt dann eine
Übersicht über die Angreifer im Internet.
Was machen eigentlich die "Bösen", nachdem sie ihre Geräte "infiziert" haben?
Philipp Schaumann - Stand: März 2017
Computer, egal ob Windows- und Apple-Systeme oder auch Smartphones, werden infiziert, damit die Angreifer damit Geld verdienen können. Das tun sie entweder, indem sie das Geld dem Besitzer des Geräts abnehmen, indem die Angreifer diesen Rechner für eigene Zwecke misbrauchen oder aber indem sie Daten von dem Rechner stehlen, die sie zu Geld machen können. Schauen wir uns nun die einzelnen Geschäftsmodelle im Detail an. Eine schöne Zusammenfassung als Mindmap präsentiert KrebsOnSecurity: The Scrap Value of a Hacked PC, Revisited.
Der Zugriff auf das Geld des Besitzers des infizierten Geräts
Es gibt ganz unterschiedliche Wege, an das Geld des Besitzers zu kommen. Ein sehr direkter ist die sog. Scareware. Dabei öffnet sich beim Browsen im Internet ein Fenster, das wie ein Systemfenster aussieht und über eine vorgebliche Infektion berichtet. Der Benutzer soll eine kostenlose Software herunterladen und installieren um das Problem zu beheben. Bis zu dieser Stelle ist erst mal noch nichts passiert.
Wenn der Benutzer dann diese Software installiert so dann findet die Software angeblich weitere Schadsoftware und verlangt dann dass der Benutzer Geld für eine angebliche Vollversion ausgibt. Viele Benutzer zahlen an dieser Stelle, aber das hilft natürlich nichts, denn die Angreifer kontrollieren den Rechner und sind daran interessiert, dass das auch so bleibt, aus diesen Internetkunden ist noch mehr Geld rauszuholen. Mehr Details hier.
Der nächste Trick ist Ransomware. Der Angreifer verschlüsselt einzelne Dateien oder die gesamte Festplatte und verlangt Geld für die Entschlüsselung. Da die Beträge oft erschwinglich sind (unter 200 $ oder Euro) so zahlen viele Opfer. Und je öfter gezahlt wird, desto beliebter wird die Methode. Ob dann wirklich ein Schlüssel geliefert wird, hängt vom "guten Willen" des Angreifers ab. In aller Regel wird nicht entsperrt (für den Angreifer bringt es höchstens ein Risiko, sich mit dem Opfer noch mal in Verbindung zu setzen). Hier ein Artikel aus der NY Times zu den Thema, das jetzt auch in den USA eingesetzt wird, und zwar sehr erfolgreich: For PC Virus Victims, Pay or Else. An anderer Stelle stehen mehr Details für Betroffene.
Ähnliche Erpressungen berichten, dass der Nutzer verbotene Erotik-Angebote im Internet in Anspruch genommen hätte und eine Strafe zu zahlen hätte. Oder dass der Nutzer kostenpflichtige Erotik-Angebote genutzt hätte und der "gerichtliche Streitwert" sich mittlerweile auf einen fünf- bis sechsstelligen Betrag belaufe. Aber gegen eine Gebuehr von 45 Euro liese sich das regeln.
Dann kommen wir zum großen Bereichs der Angriffe auf das Bankkonto des Nutzers. Das geht zum Einen mit Phishing, zum anderen durch sog. Banken-Trojaner. Beim Phishing wird das Opfer auf eine spezielle Webseite gelockt, die der seiner Bank sehr ähnlich sieht und dort aufgefordert, Benutzername und Passwort einzugeben.
Ein Bankentrojaner arbeitet direkt auf dem Rechner des Opfers. Dieser Angriff wird auch Man-in-the-Browser genannt. Denn dabei hängt sich die Software in den Webbrowser des Opfers, wartet bis dieser Internetbanking beginnt und sendet dann Benutzername, Passwort und weitere Daten an den Angreifer. Oft fügt die Software dann der richtigen Bankenseite eigene Fenster hinzu, die weitere Daten abfragen, z.B. die Handynummer oder TAN-Nummern.
Was können Angreifer mit einem infizierten PC alles anfangen - Quelle: KrebsOnSecurity Hier ein Link zu einer sehr schönen Variation dieser Darstellung durch das SANS Institute, an andersprachigen Versionen wird wohl gearbeitet
Missbrauch des Geräts für fremde Zwecke
Beim Misbrauchs des Geräts ist der wichtigste Aspekt die Nutzung des Rechners als Teil eines Zombie Netze (Botnets). Das sind Geräte, die vom Angreifer ferngesteuert werden und beliebige Aufträge (meist krimineller Art) ausführen können. Dazu gehören z.B.
Angriffe gegen kommerzielle Websites (Denial of Service) um diese zu erpressen
Nutzung des Rechners zum Versenden von Spam
Nutzung des Rechners zum Erzeugen von virtuellem Geld wie Bitcoin
Pay-per-Click Angriffe, dabei simuliert der infizierte Rechner viele "Klicks" auf Webseiten, die per-click bezahlt werden, z.B. Google-Werbung
Das Hosten und die Weiterverbreitung von illegalen Inhalten jeglicher Art
Nutzung des Rechners als sog. Proxy, dies erlaubt es einem Angreifer mit der IP-Adresse des Opfers im Internet aufzuscheinen um einer Verfolgung durch die Polizei zu entgehen
Zugriff auf die Daten des Besitzers des Geräts
Ja, und von einem infizierten Rechner werden in der Regel auch alle Daten abgezogen, die irgendwie zu Geld gemacht werden können. Dazu gehören z.B. die Email-Adressen. Diese werden nicht nur aus den Kontaktlisten geholt, sondern die Infektionssoftware durchsucht oft alle Dateien und schaut, wo in den Texten solche Adressen zu finden sind, leicht an ihrer Form zu erkennen. Email-Adressen gibt es aber wie Sand am Meer. Für 1 Million Adressen gibt es nur wenige Dollar. Aber die Spammer brauchen ständig Nachschub von aktuellen Adressen.
Noch interessanter sind natürlich Passworte und andere Zugangsdaten, z.B. zum Bankkonto, aber auch zu Social Networking Websites wie Facebook, zu Email-Websites wie gmail oder gmx oder Bezahldiensten. Die Accounts werden entweder von dem Infizierern selbst genutzt, oder an entsprechenden Börsen weiterverkauft. Dazu gibt es mehr Informationen im nächsten Abschnitt.
Der Wert von Zugangsdaten - Die Graphik zeigt, was ein Betrüger mit Zugangsdaten potentiell alles anstellen kann. Bankkonten führen direkt zu Geld, aber auch Social Network Zugänge lassen sich für Spam-Verteilung, den Versand von Phishing-Infos und direkten Betrug an den Kontakten der Person nutzen (Quelle: Brian Krebs)
Was machen die Angreifer mit gestohlenen Zugangsdaten?
Es gibt auf der dunklen Seite des Internets Börsen, in denen gestohlene Zugangsdaten gehandelt werden. Social Networking Zugriffe sind ziemlich begehrt, aber auch mit Webmail-Accounts lässt sich gut Geld machen. Warum stielt jemand Facebook-Accounts, wenn er sich doch kostenlos beliebig viele selbst einrichten kann? Der Grund liegt darin, dass bestehende Accounts mit Friend-Listen verknüpft sind (Im Durchschnitt 130) und dass diese "friends" dem Accountbesitzer normalerweise vertrauen.
Social Networking- und mit Email-Accounts werden z.B. für folgenden ziemlich beliebten Betrug genutzt: Der Angreifer informiert entweder alle "friends" oder alle die sich in der Email-Kontaktliste befinden, dass er im Ausland ausgeraubt worden wäre und dringend Geld benötige. Das Geld soll auf ein Western Union-Büro in der entsprechenden Stadt überwiesen werden. Hilfreich ist bei diesem Angriff, wenn der Angreifer durch Studieren des Opfers z.B. weiß, das das Opfer in den nächsten Tagen wirklich verreisen wird oder zumindest keine Gelegenheit hat, den Betrüger zu stören. Der Angreifer ändert natürlich kurz vor diesem Betrugsmail das Passwort, d.h. das Opfer kann nicht mal dementieren und ist von seinem eigenen Account ausgeschlossen. Dieser Angriff ist sehr unangenehm weil es schwierig bis unmöglich ist, diese Accounts wieder zurückzubekommen. Oft sind dann zur Erschwerung der Spurensuche durch die Polizei auch alle Daten gelöscht. An anderer Stelle habe ich ein paar Tipps zur Hilfestellung.
Nur wenig harmloser ist es wenn der Zugriff genutzt wird um die "friends" und die Kontakte mit Spam zu bombarieren, oft in der Form dass diese auf Websites gelockt werden, bei denen wiederum deren Rechner infiziert werden sollen. Auch in diesem Fall werden die Benutzer oft von ihren eigenen Accounts ausgeschlossen, deren Wiedererlangung sehr schwierig sein kann. Wichtiger Tipp dabei: vernünftige Passworte nutzen und diese für jede Website unterschiedlich halten. Die Angreifer versuchen die Passworte ganz systematisch auf vielen anderen Websites ebenfalls. Hier mehr zu Passworten.
Was passiert eigentlich, nachdem ich mir eine "böse" App installiert habe?
Jetzt kommen wir zu den Smartphones und den vielen bösen Apps, die man sich dort, speziell aus den nicht-offiziellen App-Stores herunterladen kann. Aber auch viele der nicht-so-schlimmen Apps entführen die Daten ihrer Nutzer. So ist es leider sehr üblich, nach der Installation einer App erst mal das Adressbuch des Benutzers zu entführen. Diese Daten lassen sich schnell zu Geld machen, z.B. Verkauf an Spammer oder für Werbezwecke. Die Daten sind für Werbezwecke interessant, wenn auch noch die Standort-Daten übertragen werden können und dadurch klar ist, in welcher Stadt der Nutzer lebt und vielleicht auch, welche Interessen er so hat.
Dies waren die "guten" Apps, die wirklich bösen entführen dann auch Zugangsdaten für Facebook oder zu den Email-Accounts. Eine sehr effektive Art die Infektion des Smartphones zu Geld zu machen ist es, Mehrwert-SMS zu versenden, von denen der Kunde dann erst am Ende des Monats auf der hohen Rechnung erfährt.
Ganz neu in 2012: Angreifer stellen Apps ein, die behaupten von einer bestimmten Bank zu sein, z.B. als Token-Generator (was immer das sein soll). Wenn die App installiert ist, so fragt sie nach Benutzername und Passwort und berechnet dann irgendeine Zufallszahl. Dann wartet sie, bis auf dem Handy eine SMS-TAN eingeht (sie kennt die Absendernummer) und leitet alle diese zukünftigen SMS von der Bank an den Programmierer der App weiter. Und der kann in aller Ruhe das Konto abräumen.
Es gibt noch andere Methoden, mit denen Angreifer versuchen, auf das Bankkonto des Smartphone-Benutzers zu kommen, bzw. die SMS-TAN abzufangen und umzuleiten. Viele Spiele lassen sich die dafür nötigen Rechte bei der Installation zuweisen.
Viele der Angriffe auf PCs lassen sich auch auf Smartphones implementieren, z.B. das Entführen von Daten und das Abfangen von Zugangsinformationen zu Social Networks. Und wie es dann weitergeht, das findet sich weiter oben.
Zusammenhänge und Geschäftsmodelle - alles rund um die dunkle Seite des Internets
Die folgende Graphik illustriert die Zusammenhänge zwischen vielen der Angriffstechniken und den Business Modellen der Angreifer: wie finanziert sich eigentlich das Ganze, wovon lebt ein Hacker denn eigentlich?
Aktualisierung Dez. 2012:
Zu ergänzen ist hier, dass es mittlerweile noch andere Möglichkeiten gibt seine "Hacker-Skills" zu Geld zu machen. Als Alternative für das Arbeiten im illegalen Untergrund arbeiten heute eine ganze Reihe von Privatpersonen und Firmen für Regierungen in aller Welt (speziell in Diktaturen gibt es großen Bedarf). Sie entwickeln z.B. Überwachungssoftware für (bzw. gegen) widerspenstige Bürger oder ausländische Firmen oder sie versuchen, Schwachstellen in gängiger Software zu finden und dann an solche Firmen zu verkaufen, damit dise die Rechner ihrer Opfer infizieren können: Zero-Day Händler. Den Überblick über diese und andere Geschäftsmodelle durch "regierungsnahe Aktivitäten" bringe ich an anderer Stelle.
An anderer Stelle verlinke ich auf Berichte über aufgedeckte Hacker. In dem dort verlinkten Bericht über die Koobface Malware Gang wird u.a. eine detaillierte Grafik gezeigt, die ein reales Beispiel für die Arbeitsteiligkeit im Internet-Untergrund darstellt.
Zombie: in der EDV ein PC, der mit Hilfe eines Trojaners, bzw. RAT (remote-access-trojan), von einem Angreifer zu illegalen Zwecken genutzt werden kann. Eine große Zahl davon bildet ein Botnet (oder Zombienetz). Diese können für illegale Zwecke, z.B. dDoS-Angriffe, aber auch die Verteilung von Pornographie, Phishing oder Spam genutzt werden. Es soll Netze von über 100 000 solcher Rechner geben. Diese Infektionen finden über Malware statt
Botnet: Netz von vielen Zombies. Wird seit Ende 2004 für kriminelle Aktivitäten, z.B. dDoS und Phishing eingesetzt. Netze bis zu mehreren 100 000 Rechnern, gesteuert oft über IRC Chat Software.
Backdoor: (engl. Hintertür) Programme, welche auf einem anderen PC installiert und von fremden Personen benutzt werden können, um diesen PC zu kontrollieren. Um solche Backdoors unbemerkt zu installieren,
werden oft Trojaner (als Beipack zu Freeware wie einem harmlos wirkenden Bildschirmschoner oder einem kleinen Spiel oder zu Raubkopien) verwendet, zum Teil werden auch Schwachstellen (z.B. fehlende Sicherheitspatches)
ausgenutzt.
Die Zombie Netze (Botnets) und ihre Geschäftsmodelle
Ziemlich im Mittelpunkt stehen die Zombie Netze (oder auch Botnets) genannt. Dies sind Rechner, die durch Schadsoftware infiziert wurden und die von den Angreifern für ihre Zwecke ferngesteuert werden. Sie werden für unterschiedliche kriminelle Zwecke eingesetzt (siehe unten). Eine Studie von ENISA (pdf, Seite 3) berichtet, dass 30000 neue infizierte Websites pro Tag gezählt werden und eine Untersuchung von Google von 4,5 Millionen URLs zeigte eine Infektionrate von 10%). Die Gesamtzahl von Zombierechnern wird mit 6 Millionen abgeschätzt (2007). Große Zombie-Netze können eine Größe von deutlich über 100 000 Rechnern haben und können gemeinsam einen Internetverkehr erzeugen, dem keine kommerzielle Website standhält. Hier eine interessante Studie zu dem, was dort wirklich in den Netzen abläuft. Herausgefunden durch Infiltration der Netze mit Hilfe sog. Honeypots, d.h. bewusst verwundbarer Systeme, die als Falle im Internet aufgestellt werden.
Interessant: Your Botnet is My Botnet: Analysis of a Botnet Takeover. Eine sehr detaillierte Analyse des Trojaners Torpig, analysiert nach einer Übernahme des gesamten Botnets durch die Autoren der University of California. Enthält auch eine ausführliche Erklärung von modernen Botnetz-Techniken wie Domain Flux.
Diese infizierten Rechner werden als sog. Zombies für kriminelle Zwecken genutzt. Dafür gibt es eine ganze Reihe von Nutzungsmöglichkeiten:
nach der zusätzlichen Installation eines SMTP-Mailservers kann ein solcher PC verwendet werden, um die Herkunft von SPAM-Mails zu verschleiern.
Andere Software, die auf diesen Rechnern aktiviert wird, erlaubt die Durchführung von dDoS-Angriffen (distributed Denial of Service). Bei solchen Angriffen wird eine kommerzielle Website von einer großen Zahl solcher Zombies mit Anfragen überschüttet. Ziel ist zumeist eine Erpressung. Die Drecksarbeit (das Kassieren, etc.) erledigt die organisierte Kriminalität, die Zombies für den Angriff steuern skrupellose Hacker bei. - Hier eine offizielle Anklageschrift aus den USA, Operation Cyberslam (2004, 400 KB, pdf), bei der es darum geht, dass ein Internet-Händler Botnetzbetreiber angeheuert hat, um Konkurrenzfirmen vom Netz nehmen zu lassen.
Der Rechner kann auch dafür genutzt werden, eine Website (oft nur mit einer einzigen Seite) zu hosten, die dann auf andere Websites verweist, von denen der Betreiber des Zombie-Netzes eine Provision bekommt, wenn jemand über diesen Link zum bezahlenden Kunden, z.B. einer Pornosite verbunden wird.
Eine weitere Verwendung dieser Fernsteuerung ist das Installieren von Adware auf dem infizierten Rechner selbst, d.h. Software, die ständig Werbung aus dem Internet lädt und dem Benutzer präsentiert. Wenn der Benutzer dann auf solche Links klickt, bekommt der Angreifer eine
Provision.
Ein ähnlicher Angriff beruht auf der Tatsache, dass die Werbung im Internet meist über "Pay-per-Click" bezahlt wird. D.h. der Werbekunde zahlt für jeden, der auf seine Website kommt. Das wird ausgenutzt, um mit solchen Rechnern die Klicks zu simulieren. Mehrere Tausend Rechner können in 1 Stunde ziemlich viel Verkehr auf eine Website bringen, und die Firma muss pro Klick zahlen. Ein ähnlicher Pay-per-Click-Angriff ist hier beschrieben.
Auf den meisten dieser infizierten Rechner ist Spyware installiert, die in der harmloseren Form "nur" das Surfverhalten des Benutzers weitermeldet, aber auch in der Form von Keyloggers die Anschläge berichtet, z.B. wenn Passworte für Internetbanking oder Kreditkartennummern eingegeben werden
Auf jeden Fall werden diese Rechner regelmäßig nach E-Mail-Adressen durchsucht, und zwar nicht nur im Adressbuch, auch in allen E-Mails und allen sonstigen Dokumenten auf dem Rechner. Diese Adressen bringen zwar nicht viel Geld, aber Kleinvieh macht auch Mist
Diese ganze Kette ist heute kommerziell gut durchorganisiert und sehr arbeitsteilig. "Scouts" benutzen eine spezielle Software, sog. Port Scanner, um Listen von verwundbaren Systemen zu erstellen. Solche Listen werden im Internet auf speziellen Online-Börsen gehandelt(ebenso wie Kreditkartennummern, die entweder von Privatrechnern oder schlecht geschützten Webservern kommen). Solche Dinge werden wie auf einer Börse im Internet nach Angebot und Nachfrage gehandelt. Ebenfalls gehandelt werden die Adressen von Rechnern, die bereits "übernommen" wurden und jetzt z.B. für Spam-Verteilung, Denial-of-Service-Angriffe oder Pornographie zur Verfügung stehen (die sog. Zombie-Rechner).
Die Botnetz-Betreiber leben davon, mittels der bereits beschriebenen Techniken solche Zombie-Netze zu ergaunern und dann mit diesen Netzen zu handeln. Die Preise, die dabei erzielt werden, wurden in USA Today dargestellt. Dort wurden 2000 bis 3000 $ für ein Netz von 20.000 Zombie PCs genannt. Hier noch eine Artikel zu den Geschäftsmodellen der Piraten-Software mit interessanten Details.
Die von solchen Rechnern geernteten E-Mail-Adressen sind vergleichsweise billig, 5$ für 1 Mio. Adressen, allerdings ohne Qualitätskontrolle. (Verifizierte Qualitätsadressen (AOL-Kunden) wurden von einem AOL-Angestellten für 100.000 $ verkauft, das waren 92 Mio. Kunden-Adressen.) Solche Adressen werden von den Spammern gekauft und dann für Spamming benutzt. Dafür verwendet der Spammer dann oft auch wieder die Zombies seines Hacker-Partners. Aber woher bekommt der Spammer sein Geld? Das bekommt er von "spam-freundlichen" Firmen, die ganz offiziell sog. Leads, d.h. Hinweise auf Kunden mit Interesse an einem Kredit oder an Viagra, etc. haben. Dies sind ganz reputable Banken oder Pharmahändler, und die zahlen ca. 10 Euro für jeden ernsthaften Interessenten (natürlich lassen sie es sich schriftlich geben, dass der Kundenkontakt nicht über illegale Methoden zustande gekommen ist). Letztendlich sind es aber trotzdem diese reputablen und etablierten Firmen, die das Spamming finanzieren.
Ebenfalls in dieser Allianz sind sog. "bullet-proof" Webhoster. Das sind Firmen in Ländern, auf die europäische oder amerikanische Justiz nur sehr schwer Zugriff hat. Diese Webhoster ignorieren alle Hinweise, dass auf ihren Rechnern z.B. Raubkopien oder eine illegale Phishing Website liegen, d.h. die Imitiation einer Bank, Kreditkartenfirma oder eBay. Hier gibt es Details zum Geschäftsmodell der Spammer.
Die Phishing-Allianz
Und dann sind da noch die Phisher (die bereits weiter oben ausführlich beschrieben wurden), die auch in diesem Ökosystem unterwegs sind. Auch sie kaufen Schad- und Angriffssoftware, auch sie brauchen die "Bullet-proof" Webhoster für ihre gefälschten Websites, sie brauchen E-Mail Adressen für ihre Phishing E-Mails.
An dieser Stelle ist auch die organisierte Kriminalität immer stärker involviert, z.B. wenn es darum geht, aus gestohlenen Kreditkartennummern und Bank-Passworten Geld zu machen. Dafür braucht man nämlich eine gute Logistik und weltweite Kontakte und die hat der normale Hacker nicht. Auch eine Erpressung mittels Denial-of-Service-Angriff braucht Know-How, das nur die Profi-Kriminellen haben.
Die organisierte Kriminalität ist auch involviert, wenn mit Hilfe der Zombie-Netze Denial-of-Service Angriffe auf Firmenrechner durchgeführt werden, z.B. das Blockieren von Internet-Wettbüros während großer Sportereigneisse.
Aktualisierung Nov. 2006:
Ein sehr interessanter Artikel in USA Today beschreibt ausführlich die Konkurrenzkämpfe zwischen den Betreibern der Online-Foren (mit Namen wie CardersMarket [6000 members], TalkCash [2600 members], ScandinavianCarding und Shadowcrew [4000 members] und Betreibern der Foren wie "iceman" und "unknown killer") in denen die Ergebnisse der Phishing-Züge, gestohlene Kreditkarten, Online-Identitäten, Passworten, etc. gehandelt werden. Wie man in diesem Milieu erwartet, fast man sich da nicht unbedingt mit Samthandschuhen an, auch wenn gegenseitige Angriffe wegen der Anonymität der Betreiber eher auf der virtuellen Ebene passieren.
"Someone who can collect electronic
banking passwords, or bank card and PIN data, can sell them online to anonymous brokers; and brokers sell them on to cashiers who specialise in money laundering. The money-laundering step becomes further specialised, with spammers recruiting mules who
are duped into accepting bank payments and sending them onwards to third countries via Western Union. The collection of bank passwords has become further specialised as phishermen operate websites that appear to be genuine bank websites, and hire the
spammers to drive bank customers to them. Both the spammers and the phishermen use malware writers, who create the hacking tools that compromise millions of machines. A new profession, the botnet herder, has arisen – the man who manages a large collection
of compromised PCs and rents them out to the spammers and phishermen. On occasion, botnets can be used for even more sinister purposes, such as by blackmailers who threaten to take down bookmakers’ websites just before large sporting events – and, in the case of Estonia, to attack a Member State’s infrastructure as a political protest.
In the eighteenth century, rapid specialisation by artisans led to the Industrial Revolution. Adam Smith describes how a pin factory became more efficient by having one worker cutting the wire, another sharpening the pins, and so on; the last few years have seen an online criminal revolution driven along very similar lines. Hacking has turned from a sport into a business, and its tools are becoming increasingly commoditised."
Hier einige Notizen und 3 Links zur Professionalisierung der Hackerszene: Profitsucht ersetzt die Geltungssucht, die Würmer spähen Passworte und Konstruktionsdaten aus und verhalten sich zum Teil eher unauffällig.