Schadprogramme haben viele Gesichter. Zu den gefährlichsten zählt der Trojaner ZeuS, der speziell auf Datendiebstahl ausgerichtet ist.

Dank des Internet können wir heute fast alles von zu Hause aus kaufen und Rechnungen schnell und problemlos begleichen. Alles ist so komfortabel, dass man sich fast selbst beneiden könnte. Von den Zutaten fürs Mittagessen bis zur Yacht oder dem Ferienhaus steht uns im Internet die Wahl zum Kauf frei. Es ist zudem heute keine Seltenheit mehr, dass Zahlungen zwischen Unternehmen über das Internet abgewickelt werden und jedermann an der Börse spekulieren kann. Um diese Möglichkeiten nutzen zu können, muss sich der Anwender selbstverständlich im jeweiligen Computersystem autorisieren und seine Kontodaten angeben.

Immer, wenn es um Geld geht, lassen die Geier nicht lange auf sich warten. Die effektivste Methode ist das Ausspionieren der wichtigen Daten für Geldgeschäfte, also der Inhabername nebst Kreditkartennummer, der PIN-Code, das Kennwort – alles, was eben nötig ist, um Geldgeschäfte online zu tätigen.Doch wie kommt der Cyberkriminelle die persönlichen Daten des Anwenders? Die Kriminellen verfügen hier über ein überaus effektives Werkzeug – das trojanische Programm. Mit diesem „Helferchen“ lässt sich praktisch jede Information über den User abschöpfen – und zwar so, dass dieser noch nicht einmal bemerkt, dass seine Daten gekapert wurden.

Schädliche Spione

Sich in den unermesslichen Weiten des Internets einen Schädling einzufangen, ist nicht schwer, sofern der Anwender nicht auf ein Antiviren-Programm setzt. Da heutige Betriebssysteme und auch viele Anwendungen überaus komplex sind, finden sich immer wieder Unzulänglichkeiten, die bei normalem, planmäßigen Betrieb des Programms nicht zutage treten, allerdings in unvorhergesehenen Situationen zu kritischen Fehlern führen können. Solche Fehler können ausgenutzt werden, um im System des Anwenders ein schädliches Programm zu starten. Schadprogramme haben viele Gesichter, doch unter den Trojanern gibt es die meisten Spielarten.

Klickt der Internet-User ungeschützt und arglos auf einen Link, beispielsweise in einer E-Mail oder einer ICQ-Nachricht, oder besucht er eine unbekannte (und manchmal sogar eine bekannte, aber mittlerweile gehackte) Website, so lädt er sich unter Umständen ein Schadprogramm auf seinen Computer. Dieser Trojaner verankert sich unbemerkt im System des eigenen PCs. Damit der Anwender die Aktivität des Schädlings für die Aktivität eines legalen und nützlichen Programms hält, dringt der Trojaner entweder in die Systemdienste ein und führt hier seinen Code aus, oder er maskiert sich als irgendein wichtiger Systemdienst.

Zu den Aufgaben eines solchen Trojaners gehört das Ausspionieren der Anwenderaktivität und der Arbeit der Programme, die der Anwender benutzt sowie der Daten, die der Anwender eingibt oder empfängt. Eines der gefährlichsten trojanischen Spionage-Programme ist ein Programm namens ZBot oder länger ZeuS Bot. Bot steht für Roboterprogramm, das in der Lage ist, ihm gestellte Aufgaben selbstständig auszuführen. In diesem Fall lautet die Aufgabe: Stiehl die persönlichen Daten des Anwenders!

Verwegen und gefährlich

Trojanische Programme der Familie ZBot (ZeuS) erschienen erstmals im Jahr 2007 auf der Bildfläche. Da sie sehr einfach zu konfigurieren und sehr bequem zum Datendiebstahl einzusetzen sind, mauserte sich ZeuS zu einer der am weitesten verbreiteten und auf dem Internet-Schwarzmarkt am besten verkauften Spionageprogramm-Sammlungen. Hierzu eine Übersicht, was diesen Trojaner so gefährlich macht:

•  Auf alles, was Sie dem „Gedächtnis“ des Computers übergeben haben (indem Sie z.B. das Häkchen „Passwort speichern“ aktiviert haben), hat der Trojaner nun Zugriff – seien es Logins, Passwörter oder irgendwelche anderen Daten, wie etwa zum automatischen Ausfüllen von Webformularen.
  
  
• Selbst wenn Sie keinerlei Daten automatisch gespeichert haben, verfolgt der Trojaner, welche Tasten Sie betätigen. Außerdem wird die Reihenfolge der Symbole, die sie eingeben und die den Zugriff auf Ihr Geld ermöglichen, protokolliert und an die Kriminellen weitergeleitet.
  
  
• Um das Protokollieren der auf der Tastatur eingegebenen Daten zu verhindern, wird auf vielen Webseiten eine virtuelle Tastatur verwendet. Zur Eingabe des Passwortes klickt der Anwender dann mit der linken Maustaste auf die entsprechenden Zeichen der Tastatur, die auf dem Bildschirm angezeigt wird. In diesem Fall aktiviert ZeuS einen anderen Mechanismus zum Abfangen der Anwenderdaten: Sobald Sie mit der linken Maustaste klicken, speichert ZeuS ein Bild – den Bereich des Bildschirms um den Cursor herum – so dass die Betrüger nachvollziehen können, welche Tasten Sie auf dem Bildschirm mit der Maus gewählt haben.
  
  
• ZeuS kontrolliert alle Daten, die über Ihren Browser laufen. Wenn Sie versuchen, eine Website zu öffnen, deren Adresse in der Konfigurationsdatei von ZeuS enthalten ist, ist der Trojaner in der Lage, den abgerufenen Code der Seite soweit zu verändern, dass Sie eine andere Darstellung im Browserfenster sehen. In der Regel bestehen diese Änderungen in dem Hinzufügen neuer Eingabefelder für persönliche und vertrauliche Daten. Wenn nun Ihre Bank Sie bittet (und Sie sind ja schließlich überzeugt davon, dass Sie sich auf der Website Ihrer Bank befinden), neben Ihrem Passwort auch den PIN-Code Ihrer Bankkarte einzugeben, dann tappen Sie in die Falle der Betrüger! Die Frage nach dem PIN-Code stammt von ZeuS. Den eingegebenen PIN-Code fängt der Trojaner ab und sendet ihn an die Cyberkriminellen.
  
  
• Manche Websites erstellen bei der Registrierung der Anwender auf dessen Computer eine digitale Signatur (quasi eine elektronische Unterschrift), deren Vertrauenswürdigkeit bei den nächsten Besuchen der Seite überprüft wird. Diese Signaturen heißen Zertifikate. Stellt der Browser der Site kein entsprechendes Zertifikat zur Verfügung, erlaubt die Website ihm keinen vollständigen Zugriff. Auf einem infizierten Computer findet ZeuS diese Sicherheitszertifikate, stiehlt sie und schickt sie an die Online-Verbrecher.
  
  
• Wenn die Cyberkriminellen Ihren Computer als Werkzeug zur Durchführung illegaler Aktionen (z.B. zum Versand von Spam-Mails) benötigen, so ermöglicht ZeuS seinen Herren und Gebietern die Installation aller dafür erforderlichen Programme.

Ist Ihr Computer also mit dem Trojaner ZeuS infiziert und gibt es bei Ihnen etwas zu holen, so werden die Cyberkriminellen sich bei Ihnen bedienen. Und selbst wenn es bei Ihnen nichts zu holen gibt, so haben die Online-Betrüger in jedem Fall die Möglichkeit, Ihren Computer zu ihren verbrecherischen Zwecken zu benutzen.

Infizierte Computer, die mit einem „Herrn“ verbunden sind, bilden ein so genanntes Botnetz, auch Zombie-Netz genannt. Die Kriminellen kontrollieren die zu ihrem Netz gehörenden Computer wie ein Puppenspieler seine Marionetten. Die Anwender ahnen meist gar nicht, dass von ihren Rechnern aus Spam versendet wird oder dass Online-Betrüger ihre Internetverbindung missbrauchen, um ihren Zugangspunkt im World Wide Web zu verbergen. Monatelang können die Opfer in fataler Unwissenheit darüber verbleiben, dass ihre Computer Teil krimineller Machenschaften sind.

Unbeständig und populär

ZeuS ist ein ungemein effektives Werkzeug – sowohl zur Sammlung von Daten als auch für die Organisation von Botnetzen, die zu unterschiedlichen cyberkriminellen Zwecken verwendet werden können. Das begründet auch die Popularität dieses Schädlings unter den Cyber-Verbrechern.
Heute hat praktisch jeder, der eine cyberkriminelle Karriere starten will, die Möglichkeit, sich ein Exemplar des Trojaners ZeuS zu besorgen, danach ohne besondere Anstrengung nach eigenem Ermessen die Konfigurationsdatei einzurichten und ihn mittels einer individuellen Methode zu verschlüsseln, um so den Algorithmus vor den Antiviren-Programmen zu verbergen. Beim Kauf des Schädlings besteht sogar die Möglichkeit, ein Exemplar mit zusätzlichen Optionen zu bestellen, die nicht im Basispaket enthalten sind. Die Verbreitung von ZeuS ist mittlerweile der absoluten Kommerzialisierung anheimgefallen.

Bis zum Herbst 2007 wurde ZeuS ausschließlich von seinem Entwickler verbreitet. Ab Oktober 2007 begann die Zahl neu erscheinender ZeuS-Versionen anzusteigen. Im Jahr 2008 fand der Trojaner dann seine Stammklientel. Der spürbare Anstieg der Popularität des Trojaners Ende 2008 hängt aller Wahrscheinlichkeit nach mit der Wirtschaftskrise zusammen. Viele Programmierer wurden arbeitslos. In einer solchen Situation ist die Versuchung sehr groß, sich auf die schiefe Bahn zu begeben. So entschied sich der Eine oder Andere, seine Fähigkeiten einmal im Bereich des Internet-Betrugs zu erproben, wovon die Verkäufer Verkäufer von ZeuS profitierten.

Die höchsten Werte hatte ZeuS mit 5.079 neuen Modifikationen im Mai des Jahres 2009 zu verzeichnen. Man stelle sich diese Zahl nur einmal vor – mehr als 5.000 Varianten ein und desselben Trojaners innerhalb eines Monats! Ein wahrer Bestseller. Die Verschlüsselungsmethoden des Programmcodes sind in den meisten Fällen schon bekannt, so dass sie automatisch von den Antivirensystemen erkannt und den Antiviren-Datenbanken hinzugefügt werden.

Allerdings werden die Verschlüsselungsalgorithmen unentwegt von den Virenautoren modernisiert, was die Programmanalyse erheblich erschwert. Mit der spürbar gestiegenen Nachfrage nach ZeuS zu Beginn des Jahres 2009 unterzogen seine Autoren die ursprüngliche Version des Trojaners einer qualitativen Veränderung. Insbesondere der Verschlüsselungsalgorithmus wurde perfektioniert – sowohl für den Programmcode als auch für die Dateikonfiguration.

ZeuS verändert regelmäßig sein Aussehen, und hat er ein System befallen, aktualisiert er sich überdies von wechselnden Internet-Adressen. Die Anwender, auf deren Computern sich neue Versionen des Trojaners geladen haben, ziehen nur noch geringen Nutzen aus dem „Gegengift“ für frühere Varianten. Daher muss so schnell wie möglich auf die Aktualisierung des Schädlings reagiert werden. Die Reaktionsgeschwindigkeit spielt in diesem Fall eine große Rolle – die Analysten der AV-Unternehmen schieben Tag und Nacht Wache und entwickeln bei Erscheinen eines neuen Algorithmus, mit dem ein PC nicht fertig wird, umgehend einen Schutz vor der neusten Modifikation des Schadprogramms.

Seit Erscheinen der ersten ZeuS-Version bis heute wurden mehrere hunderttausend Abarten dieses Schadprogramms registriert. Nach Anzahl der unterschiedlichen Variationen und nach Anzahl der Adressen, über die die Daten an die Cyberkriminellen fließen und von denen die Befehle an die Zombie-Computer geschickt werden (solche Adressen werden Steuerungszentren genannt), nimmt ZeuS eine Spitzenposition unter der illegalen Software insgesamt ein.

Ausmaß der Infizierungen

Im Jahr 2009 wurde in den USA ein Artikel veröffentlicht, in dem zu lesen war, dass allein in den Vereinigten Staaten 3,6 Millionen mit Zeus infizierte Rechner entdeckt wurden. Diese Zahl ist eine Schätzung – in Wirklichkeit könnten es mehr sein. Es ist praktisch unmöglich, die reale Anzahl der infizierten Computer zu bestimmen, da unbekannt ist, wie viele ebenso infizierte Computer – insbesondere von Heimanwendern – unentdeckt bleiben.

Anfang 2009 passierte etwas Merkwürdiges: Ungefähr Hunderttausend Computer spielten gleichzeitig verrückt und booteten das Betriebssystem nicht mehr. Wie sich später herausstellte, gehörten diese Computer alle zu dem ZeuS-Botnetz, dessen Steuerungszentrum den Befehl ausgegeben hatte, die Betriebssysteme der Anwender außer Kraft zu setzen. Analysten versuchten dahinter zu kommen, warum das geschehen war.

Es gibt zwei Versionen: Entweder hat ein feindlicher Hacker das Botnetz geknackt und irgendeinen Befehl an die infizierten Computer geschickt. Oder aber der Herr des Botnetzes selbst hat, nachdem er alle nötigen Informationen von den infizierten Rechnern erhalten hatte, den Befehl zur Zerstörung des Systems gegeben. Im zweiten Fall könnte der Betrüger darauf spekuliert haben, dass er zusätzliche Zeit gewinnt, um das Geld anderer Leute mit Hilfe gestohlener Daten abzuziehen, solange die Anwender mit der Wiederherstellung ihres Systems beschäftigt sind.

Allerdings ist der erste Fall wahrscheinlicher, denn zur gleichen Zeit bat in einem Hackerforum ein gewisser Betreiber eines ZeuS-Botnetzes um einen Rat, wie er sein Zombie-Netz vor nicht sanktioniertem Zugriff schützen könne. Er hatte sein Netz mit hunderttausend infizierten Rechnern verloren, nachdem ein feindlicher Hacker das Steuerungszentrum seines Botnetzes gehackt hatte.

Überraschend war nur, dass sich der Cyberkriminelle über den Kontrollverlust von über hunderttausend Computern nicht sonderlich ärgerte, denn sehr schnell hatte er zwei weitere Zombie-Netze organisiert, eins mit dreißigtausend und eins mit dreitausend infizierten Rechnern.

Das zuletzt gefundene große Zombie-Netz, bestehend aus mit ZeuS-infizierten Rechnern, ist das so genannte Kneber-Botnetz. Im Februar 2010 berichtete das amerikanische Unternehmen NetWitness von mit ZeuS infizierten Rechnern. Insgesamt wurden 76.000 infizierte Computer entdeckt, und alle waren mit Internetadressen verbunden, die auf ein und dieselbe Person registriert waren – Hilary Kneber (Pseudonym).

Die einzelnen Fälle, in denen Botnetze entdeckt werden, die hunderttausend infizierte Computer vereinen, lassen den Schluss zu, dass das reale Ausmaß der Infizierungen mit diesem Trojaner weltweit bei mehreren Millionen befallenen Rechnern liegt.

Bevorzugte Domains

In jeder Konfigurationsdatei von ZeuS ist eine Internet-Adresse enthalten, nach der der Trojaner im System des Opfers sucht. Sobald der Anwender auf die in der Konfigurationsdatei angegebene Seite geht, und seine Daten eingibt, fängt ZeuS diese ab und leitet sie an den Betrüger weiter.
Wir haben um die dreitausend Konfigurationsdateien von ZeuS analysiert und ausgewertet, mit welcher Häufigkeit verschiedene Internet-Adressen dort zu finden sind. Bei der Verteilung nach Top-Level-Domains ergaben sich die folgenden Spitzenreiter:

• International (com, org): 39%
• Grossbritannien: 18%
• Spanien: 16%
• Italien: 8%
• Russland: 6%
• USA: 4%
• Deutschland: 3%
• Australien: 2%
• Andere: 4%

Führend sind hier natürlich die internationalen Domains mit den Erweiterungen .org und .com, auf denen sich die Websites von Organisationen und die der meisten Großkonzerne befinden. Welche Websites genau sind nun für ZeuS in der Zone .com von besonderem Interesse? Unter den internationalen Websites fanden sich 14 deutlich führende Adressen:

• firstdirect.com
• bankofamerica.com
• citibank.com
• paypal.com
• hsbc.com
• nwolb.com
• rgsdigital.com
• bbvanetoffice.com
• ebay.com
• barclays.com
• uno-e.com
• e-gold.com
• anz.com
• bankajaproximaempresas.com

Nur drei von elf der unter den Cyberkriminellen beliebtesten Ressourcen in der Zone .com stehen nicht in direkter Verbindung zu Banken. Dabei handelt es sich um kommerzielle Internet-Dienstleister. Paypal.com vereint virtuelles Geld, mit dem im Internet bezahlt werden kann, mit realem, über Kredit- oder Bankkarten abgehobenem Geld. E-gold.com erstellt ebenso wie paypal.com Anwenderkonten mit virtuellen Bezahleinheiten, die im World Wide Web als Finanzmittel genutzt werden können, bindet diese Einheiten jedoch an die Preise für Gold und andere Edelmetalle. Ebay.com, das populäre Internet-Auktionshaus, arbeitet ebenfalls mit Konten – Konten, auf denen die Anwender ihre Zugangsinformationen und Profile zur Teilnahme an den Auktionen verwahren. Bei den übrigen handelt es sich um die Websites traditioneller Banken, die Online-Banking anbieten, oder bankbezogene Hilfsdienste.

Die bei den Cyberkriminellen beliebtesten nationalen Domains sind in Spanien und Großbritannien anzusiedeln. Nach der Anzahl der Sites, die Online-Dienste zur Geldverwaltung anbieten und besonders im Visier der Cyberkriminellen stehen, stechen diese Länder besonders hervor: In jedem gibt es um die 20 gleichermaßen beliebte Internet-Adressen (meist von Banken), während sich in den anderen Ländern in der Regel nur einige wenige Sites durch besondere Popularität unter den Online-Kriminellen auszeichnen.

Das bedeutet allerdings nicht, dass es in Spanien und Großbritannien die meisten Cyberkriminellen gibt. Bekanntermaßen ist es für die Online-Betrüger am bequemsten, Geld von ausländischen Bürgern oder Organisationen zu stehlen, da die Polizei des Landes, in dem der Diebstahl verübt wird, unausweichlich mit juristischen Problemen zu kämpfen hat, wenn sie versucht, den Kriminellen in einem fremden Staat dingfest zu machen.

Wie man sich am besten gegen Schadprogramme schützt

Klicken Sie niemals auf unbekannte Links, die Ihnen von unbekannten Personen aufgedrängt werden. In der Regel werden Links auf Schadprogramme in ICQ-Mitteilungen oder in E-Mails verschickt. Online-Betrüger nutzen Ihre Schwächen und Ihre Gutgläubigkeit aus, um Sie auf ihre schädliche Website zu locken.

Nicht selten tarnen sie die Adresse mit dem Namen eines bekannten, legalen Portals und tauschen zu diesem Zweck lediglich zwei Buchstaben aus. Dieses Beispiel machte vor nicht allzu langer Zeit Furore, als Trainingsanzüge der Firma „Abibas“ und CD-Player der Firma „Panascanic“ in Umlauf waren. Seien Sie auf der Hut und verlieren Sie nicht den Überblick.

In den entsprechenden Mitteilungen findet sich meist ein neutraler Text, der auch von einem Bekannten oder einer Freundin stammen könnte, wie etwa:

„Hallo! Wie war’s im Urlaub? Ich hab‘ tolle Neuigkeiten für Dich! Klick auf den Link und lies! Du wirst Dich wundern: http://rss.lenta-news.ru/subj/vesti.exe“.

Hat die zu öffnenden Datei die Erweiterung .exe, so handelt es sich um eine ausführbare Datei des Betriebssystems Windows. Das wiederum bedeutet, dass der Link Sie nicht zu einer Website mit hochinteressanten Neuigkeiten führt, sondern dass ein Programm mit einer schädlichen Internet-Adresse geöffnet wird! Doch nicht nur ausführbare Dateien sind potentiell gefährlich, auch Dokumente der Formate .pdf (Adobe Reader), .ppt (Microsoft Office), .swf (Adobe Flash) und andere können Ihre Sicherheit bedrohen. Diese Dokumente verfügen über eine komplexe Struktur, was komplizierte Programmberechnungen bei deren Öffnung erforderlich macht. Zudem haben ihre Entwickler sie mit einem Mechanismus zum Hinzufügen von Programmcode (zum Beispiel javascript) versehen.

Die von den Cyberkriminellen in diese Dokumente eingefügten Daten können einen Fehler in dem Programm hervorrufen, mit dem Dateien dieser Formate geöffnet werden, was wiederum den Start von schädlichem Code auf Ihrem Computer ermöglicht. Läuft auf Ihrem Rechner ein Antiviren-Programm mit den neuesten Updates und aktualisieren Sie die auf Ihrem Computer installierten Programme regelmäßig, so sind Sie in einem hohen Maß geschützt: Es besteht die hohe Wahrscheinlichkeit, dass das Programm/Dokument als schädlich klassifiziert und sein Start bzw. das Öffnen blockiert wird, oder dass eine Schwachstelle in der Software schnell von den Entwicklern behoben wird und Sie das entsprechende Update rechtzeitig erhalten.

In E-Mails, Word-Dokumenten und Ähnlichem oder auf Websites kann ein tatsächlicher Link vor Ihren Augen verborgen werden, und nur die Beschreibung des Links wird abgebildet. Hier sind der Phantasie der Cyberkriminellen keine Grenzen gesetzt, und sie können schreiben, was sie wollen, um die Aufmerksamkeit ihrer potentiellen Opfer zu erregen. In solchen Fällen wird die wirkliche Adresse in der Regel nur in dem Feld angezeigt, das erscheint, wenn man mit dem Mauscursor über den Link fährt, oder unten im Browserfenster. Wird die Adresse nirgends angezeigt, versuchen Sie, die Eigenschaften des Links einzusehen.

Das Betriebssystem speichert viele Informationen für Sie, es ermöglicht einen problemlosen Zugriff auf Daten aller Art, es nervt Sie nicht mit ständigen Aufforderungen irgendwelche Aktionen zu bestätigen und fragt nicht 100 Mal nach einem Passwort. Genauso komfortabel fühlt sich jedes in Ihrem System laufende Programm an. Und handelt es sich dabei um ein schädliches Programm, so verwandelt sich der Komfort für Sie ins Gegenteil: Online-Verbrecher haben nun einen ebenso problemlosen Zugriff auf Ihre Daten, wie Sie es für sich selbst auf Kosten der eigenen Sicherheit konfiguriert haben. Alles, was zum Beispiel Ihr Browser erfährt, erfährt nun auch der Schädling in Ihrem System.

Es empfiehlt sich außerdem, im Internet-Browser die Ausführung von Javascript und das Öffnen von Programmen und Dateien in iFrames zu deaktivieren. Das schränkt die Möglichkeiten Ihres Browsers natürlich ein, doch hier muss man Prioritäten setzen: Entweder entscheidet man sich für Bequemlichkeit und Schönheit oder für die eigene Sicherheit. Javascript sollte möglichst auch im Programm Adobe Reader deaktiviert werden, das Dateien im Format pdf öffnet.

Derzeit existieren zwei Methoden, die ein hohes Maß an Sicherheit beim Online-Banking gewährleisten. Die erste besteht in einem System, das außer dem korrekten Benutzernamen und Passwort auch eine Bestätigung der Transaktion per Telefon erforderlich macht, also an eine Telefonnummer gebunden ist. Dadurch wird ein illegaler Zugriff auf Ihr Geld erheblich erschwert. Zusätzlich zu Ihrem Login und Passwort müssen die Cyberkriminellen auch noch an die entsprechende Telefonnummer kommen, und das ist via Internet kaum zu machen (oder sie müssten eine Kopie Ihrer SIM-Card erstellen, was allerdings wohl nur in Agententhrillern vorkommt). Es ist merkwürdig, dass die meisten Banking-Services diese simple Maßnahme ablehnen.

Die zweite Methode wird häufig von Banken verwendet, die an ihre Bankkunden sogenannte Token, spezielle USB-Geräte, ausgibt, die mit dem Computer verbunden werden und dem System, wenn nötig, bestätigen, dass sich tatsächlich der rechtmäßige Kontoinhaber ins Online-Banking-System einloggt. Nun muss man allerdings bedenken, dass nicht alle Token gleich sind. Als die Verwendung dieser USB-Geräte gerade erst aufkam, gelang es Cyberkriminellen in einigen Fällen, simple Sicherheitssysteme zu knacken, die USB-Geräte verwendeten.