Sichere Webanwendungen

Transkript

1

2 Mario Heiderich, Christian Matthies, fukami, Johannes Dahse Sichere Webanwendungen Das Praxishandbuch

3 Liebe Leserin, lieber Leser, machen Sie Ihre Website nicht zum Einfallstor für Angreifer! Dieses Buch wird Ihnen helfen, Ihre Webanwendungen gegen Angriffe jeglicher Art abzusichern. Ich bin froh, dass sich hier vier absolute Experten der WebApp-Sicherheit zu einem umfangreichen Buch zusammengefunden haben. Sie zeigen Ihnen, wie Angreifer denken, welche Angriffsmuster sie verwenden und welche Maßnahmen Sie ergreifen können. Umfangreiche Beispiele helfen Ihnen, zu verstehen, welche Schwachstellen es gibt, wie Sie Fehler vermeiden und Ihre Website von Anfang an sicher konzipieren können. So lernen Sie zum Beispiel, wie Sie Uploads, Formulare, Cookies oder Session-Management gestalten und entwickeln sollten. Schlagwörter wie XSS, CSRF, SQL Injection haben Sie sicher bereits gehört. Unsere Sicherheitsexperten zeigen Ihnen, was alles dahintersteckt. Ich bin mir sicher, dass selbst gestandene Entwickler erstaunt sein werden, welche Möglichkeiten sich hier Ihrem Angreifer bieten. Und mit dem Know-how der Autoren lassen sich neben PHP- und JavaScript- auch RIA- und Flash-Anwendungen sicher entwickeln. Zudem geben Sie Ihnen einen Überblick über die rechtliche Situation in Deutschland und über Projekte und Tools, mit denen Sie Ihre eigene Website testen und sicher entwickeln können. Also, worauf warten Sie noch? Auch Ihre Website verdient, dass Sie alle Sicherheitslücken stopfen. Ihre Meinung ist uns wichtig. Kritik oder Zuspruch hilft uns bei der Arbeit an weiteren Auflagen. Ich freue mich deshalb, wenn Sie sich mit Ihren kritischen Anmerkungen an mich wenden oder den Kontakt zu uns suchen. Wir freuen uns auf den Dialog mit Ihnen! Ihr Stephan Mattescheck Lektorat Galileo Computing Galileo Press Rheinwerkallee Bonn

4 Auf einen Blick 1 Einleitung Rechtslage Vergangene Angriffe und Hacks Sicherheit im Web Webentwicklung mit Adobe Flash Sichere Webapplikationen bauen Testphase Pflege- und Erweiterungsphase XSS Cross Site Request Forgeries SQL Injection Directory Traversal RCE und LFI URI-Attacken Projekte und Tools

5 Der Name Galileo Press geht auf den italienischen Mathematiker und Philosophen Galileo Galilei ( ) zurück. Er gilt als Gründungsfigur der neuzeitlichen Wissenschaft und wurde berühmt als Verfechter des modernen, heliozentrischen Weltbilds. Legendär ist sein Ausspruch Eppur se muove (Und sie bewegt sich doch). Das Emblem von Galileo Press ist der Jupiter, umkreist von den vier Galileischen Monden. Galilei entdeckte die nach ihm benannten Monde Gerne stehen wir Ihnen mit Rat und Tat zur Seite: bei Fragen und Anmerkungen zum Inhalt des Buches für versandkostenfreie Bestellungen und Reklamationen für Rezensions- und Schulungsexemplare Lektorat Stephan Mattescheck Gutachten Tim Böttiger Korrektorat Jürgen Dubau Typografie und Layout Vera Brauner Herstellung Karin Kolbe Satz Typographie & Computer, Krefeld Einbandgestaltung Barbara Thoben, Köln Druck und Bindung Bercker Graphischer Betrieb, Kevelaer Dieses Buch wurde gesetzt aus der Linotype Syntax Serif (9,25/13,25 pt) in FrameMaker. Gedruckt wurde es auf chlorfrei gebleichtem Offsetpapier. Bibliografische Information der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN Galileo Press, Bonn Auflage 2009 Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion, der Vervielfältigung auf fotomechanischem oder anderen Wegen und der Speicherung in elektronischen Medien. Ungeachtet der Sorgfalt, die auf die Erstellung von Text, Abbildungen und Programmen verwendet wurde, können weder Verlag noch Autor, Herausgeber oder Übersetzer für mögliche Fehler und deren Folgen eine juristische Verantwortung oder irgendeine Haftung übernehmen. Die in diesem Werk wiedergegebenen Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. können auch ohne besondere Kennzeichnung Marken sein und als solche den gesetzlichen Bestimmungen unterliegen.

6 Für meine Familie im grausigen Südosthessischen und meine komplette Entourage in Köln. Danke, dass ihr die ganzen Monate, in denen mein Kopf mit allem um das Buch herum gefüllt war, ausgehalten habt. Danke auch an das Ormigo-Team, das Ähnliches durchmachen musste. Danke auch an die, die die Zeit schwerer als notwendig gemacht haben und dafür gesorgt haben, dass die letzten Monate nicht immer schön, aber zumindest lehrreich waren. Manchmal ist doch nicht alles, wie es scheint. Mario Heiderich Ich widme dieses Buch meinem Vater Karl und meiner Mutter Andrea. Ohne ihre Liebe und Führung wäre ich heute nicht der Mensch, der ich bin. Gleichermaßen bedanke ich mich bei meiner Schwester Stefanie. Einfach nur dafür, dass du da bist! Zu guter Letzt auch herzlichen Dank an Rainman Philipp. Von dir erwarte ich, dass du jeden Paragraphen dieses Buchs auswendig lernst. Christian Matthies Ich widme dieses Buch meiner großen Liebe Judith, die, egal was passiert ist, immer zu mir gehalten hat. Außerdem widme ich dieses Buch meinem Bruder Patrick, der leider viel zu früh während der Produktion dieses Buches verstorben ist und den ich schmerzlich vermisse. Zudem möchte ich mich bei folgenden Menschen aus tiefstem Herzen bedanken: Bei meinem Kollegen und Freund Stefan Esser (für die Zeit, die wir miteinander verbringen und die Dinge, die ich durch ihn lerne), bei Jens Ohlig (ohne den ich wahrscheinlich längst Tod wäre), Volker Bombien (für den Rat, mit dem er mir vor und während des Schreibens zur Seite stand), meinen Eltern Monika und Dieter und bei all meinen Kollegen bei SektionEins und Mayflower. Last but not least möchte ich David Neu, Ben Fuhrmannek, Stefano di Paola und Alex Kouzemtchenko danken, die mir inhaltlich geholfen haben. fukami Meinen Buchbeitrag widme ich mit einem großen Dankeschön meiner Familie, insbesondere meiner Mutter (die in netter Weise maximale Begeisterung für IT- Sicherheit mit minimaler Ahnung kombiniert) sowie meinem besten Freund Marco Sternitzke und allen Freunden in Jena und Bochum. Johannes Dahse 5

7

8 Inhalt Geleitwort des Fachgutachters Einleitung An wen richtet sich dieses Buch? Was ist der Zweck dieses Buches? Was leistet dieses Buch nicht Wie ist dieses Buch aufgebaut? Einleitung und Grundlagen Sichere Webapplikationen bauen Angriff und Verteidigung Nützliches und Interessantes Über die Autoren Mario Heiderich Christian Matthies fukami Johannes Dahse Rechtslage c Der Hackerparagraph Erste Konsequenzen und Folgen Wir sind dann mal weg Das BSI im juristischen Fadenkreuz Kriminell um jeden Preis Das EICAR-Positionspapier Fazit? Wie verhält man sich nun am besten? Darf man so was überhaupt? Kommt darauf an Manchmal ist es sogar erwünscht Fazit Ein Blick in die rechtliche Zukunft Zusammenfassung

9 Inhalt 3 Vergangene Angriffe und Hacks Samy Der Wurm, der keiner sein wollte Wie alles begann Technische Grundlagen des Angriffs Wie die Geschichte endete Yamanner Mailworming mit XSS Die Vorgeschichte Wie Yamanner funktionierte Konsequenzen Nduja Connection XWW made in Italy XWWie bitte? Der eigentliche Wurm Wie ging es weiter? Gaiaworm Online-Games als Zielscheibe Ein halb-reflektiver Wurm Ist reflektives XSS ungefährlich? Phishing Das älteste Handwerk der Welt Wie alles begann A Phisher s bag of tricks Homographische Angriffe und IDNs Phishing und XSS Redirects Sich selbst phishende Seiten? Fazit Deine Post ist meine Post Fazit Zusammenfassung Sicherheit im Web Das neue Web Privatsphäre im Social Web Ein verändertes Nutzerverhalten Wie sicher ist das (Social) Web 2.0 wirklich? Auswirkungen auf Nutzer und Unternehmen Gefahr aus der Wolke Dabble DB Datenbanken für alle PHP per URL freehostia.com OnlyWire Bookmarking mal anders Sicherheitslücken mit der Google Code Search Engine googeln

10 Inhalt OpenKapow Angriff der Roboterkrieger Das Internet als Payload Ajax Security XHR Die Same Origin Policy Das X in Ajax JSON statt XML Das Problem mit den Headern Die Perle in der JSON-Auster Probleme mit Ajax-Libraries Fazit Zusammenfassung Webentwicklung mit Adobe Flash Die Geschichte von Flash Acronym Soup Die Fähigkeiten von Flash Aufruf und Einbindung Parameter und Attribute Die Sicherheitsmechanismen in Flash Verantwortliche für die Sicherheit von Flash Administrative Sicherheitseinstellungen Sicherheitseinstellungen durch den User Sicherheitseinstellungen durch Entwickler Sandbox Security Model Mögliche Sandboxen Netzwerk-Protokolle Port Blocking Cross Domain Policies ActionScript Die Unterschiede zwischen AS2 und AS Kritische ActionScript-Funktionen Daten aus Flash auf dem Server speichern Werkzeuge zum Testen von Flash-Anwendungen Angriffe auf Clients mithilfe des Flash-Plug-ins Sinn und Unsinn von Obfuscation Ausblick auf zukünftige Flash-Versionen Zusammenfassung Links

11 Inhalt 6 Sichere Webapplikationen bauen Einleitung Wichtige Grundlagen Das HTTP-Protokoll Encoding Entities verstehen und nutzen Was versteht man unter Filtering? Warum Stripping selten sinnvoll ist Reguläre Ausdrücke Zusammenfassung Planungs- und Designphase Datenbankstruktur Die Datenbank weiß, wer was darf ACL im Detail Backend und Pflegeskripte härten Keine unnötige Preisgabe von Informationen Zusammenfassung Die Implementationsphase GET-Parameter und Formulare Validierung A und O der Absicherung Escapen Filtering und Encoding Links und Formulare gegen CSRF schützen Zufallszahlen aber richtig CAPTCHAs Sinn und Unsinn der Menscherkennung Zusammenfassung Sichere Datei-Uploads Verbreitete Sicherheitslücken Schutzmaßnahmen Zusammenfassung Kontaktformulare und Form-Mailer Aufbau einer Mail Header Injections Weitere Risiken Zusammenfassung Redirects Redirects per HTML Redirects per JavaScript Die Weiterleitung ins Grauen HRS und die Kröte auf dem Grund des Brunnens

12 Inhalt Immer und immer wieder Redirects sicher implementieren Zusammenfassung Includes, Pfade und Konfigurationen Local File Inclusions Includes von fremden Servern Vorsicht vor weiteren Include-Methoden Schutzmaßnahmen Ordner-Relikte und Backups Zusammenfassung Eval, Shell-Methoden und User Generated Code Serverseitiges eval() Clientseitiges eval() Schutzmaßnahmen User Generated Code Geht das überhaupt? Zusammenfassung Sessions Was genau sind eigentlich Sessions? Offensichtliche Fehlerquellen Session Fixation Mehr Sicherheitsrelevantes zu Sessions Zusammenfassung Cookies Sind Cookies Würmer? Der Aufbau eines Cookies Cookies und Domains Cookies und JavaScript HTTPOnly als Rettung? Fast tadellos Was bleibt zur Defensive? Zusammenfassung Login und Authentifizierung Information Disclosure XSS im Login-Formular SQL Injections in Login-Formularen Mir nach, User! Apropos Cookies und Logins Schutzmaßnahmen Zusammenfassung

13 Inhalt 6.13 WYSIWYG-Editoren Wie WYSIWYG-Editoren funktionieren WYSIWYG und XSS WYSIWYG aber bitte sicher WYSIWYG Editor of Death Zusammenfassung Feeds Verbreitete Sicherheitslücken Lokale Exploits und Chrome Zusammenfassung Fehlermeldungen Zusammenfassung Testphase Die eigene Applikation hacken Manuelles Vorgehen Source Code Reviews Automatisiertes Vorgehen Pflege- und Erweiterungsphase Monitoring und Logging Bestehende Applikationen absichern Eine Datei, sie alle zu filtern Plug-ins, Extensions und Themes Zusammenfassung XSS Was ist XSS? Kontextsensitives Schadpotential XSS-Würmer XSS in allen Facetten Reflektives XSS Persistentes XSS Lazy-XSS Angriffe auf das Backend Untraceable XSS Der unsichtbare Exploit XSS per Stylesheet XSS via XXE und UTF-7 ohne UTF Zusammenfassung

14 Inhalt 10 Cross Site Request Forgeries CSRF und XSS Anti-XSRF-Schutzmaßnahmen vs. XSS Exploiting Anti-XSRF geschütztes XSS Exploiting Logged-Out XSS Lesende Requests und Information Disclosure Zustandschecks mit JavaScript JavaScript Hijacking Schutzmaßnahmen Real Life Examples Der Amazon-Exploit von Chris Shiflett Der Gmail-Exploit von pdp Der Gmail-Exploit von Jeremiah Grossman SQL Injection Vorgehensweise und Aufbau Folgen eines Angriffs Authentication Bypass Informationsdiebstahl Denial of Service Datenmanipulation Übernahme des Servers Unterarten von SQL Injections Blind SQL Injections Stored Procedure Injection Datenbanksystemspezifische SQL Injections Fingerprinting des Datenbanksystems Mapping der Datenbank Angriffe auf das System Umgehen von Filtern Zusammenfassung Directory Traversal Schutzmaßnahmen mit zweifelhafter Wirkung Code Execution via Directory Traversal Zusammenfassung

15 Inhalt 13 RCE und LFI Zusammenfassung URI-Attacken Der Browser als Gateway Schutzmaßnahmen und Abwehr Zusammenfassung Projekte und Tools NoScript HTML Purifier ratproxy PHPIDS Warum man das PHPIDS einsetzen sollte Anforderungen Installation und Benutzung Arbeiten mit dem Impact Logging und Ergebnisanalyse Allgemeine Angriffserkennung Performance Ausblick Index

16 Geleitwort des Fachgutachters Sich mit Sicherheitsaspekten einer Webanwendung auseinanderzusetzen, zeugt von dem Bewusstsein eines guten Entwicklers, eine sichere und damit solide Applikation auf die Beine zu stellen. Leider sind sich nicht alle Entwickler der Risiken bewusst, die sie eingehen, wenn sie eine ungesicherte Webapplikation ins Netz stellen. Oft wird auch im Projektbudget kein Puffer für Sicherungsmaßnahmen vorgesehen. Sobald eine derartige Anwendung bekannter wird, steigt auch das Interesse von Scriptkiddies, die Webapplikation anzugreifen und zu kompromittieren. Es gilt, Angreifern immer einen Schritt voraus zu sein. Solange eine Webanwendung noch auf einem Entwicklungsserver liegt, haben Sie die besten Chancen, Ihren Code ausführlich zu prüfen und etwaige Schwachstellen auszumerzen bevor jemand anderes Schwachstellen finden und ausnutzen kann. Je höher Sie die Latte legen, desto schwerer wird es, einen erfolgreichen Angriff durchzuführen. Egal, ob Sie beim Thema Sicherheit bei Webapplikationen Einsteiger oder Profi sind: Dieses hervorragende Buch, das Sie vor sich haben, wird Sie so gut wie möglich dabei unterstützen, Ihre Applikation zu sichern und zu härten. So vielseitig die Angriffsmöglichkeiten sind, so zahlreich können auch Gegenmaßnahmen getroffen werden. Die vier Autoren zeigen Ihnen wirklich eine Menge Möglichkeiten auf, um Ihre Anwendungen technologieübergreifend auf sichere Beine zu stellen. Das Besondere an diesem Buch ist sicherlich der breite Ansatz. Sie erfahren viele wichtige Details über die Hintergründe von Angriffsvektoren; zusätzlich werden Ihnen die verschiedenen Sicherheitsaspekte und bereits implementierten Mechanismen der Programmier- und Skriptsprachen aufgezeigt, mit denen Sie entwickeln. Erfahren Sie viele entscheidende Details über die vielfältigen Möglichkeiten mit XSS, XAS, CSRF, SQL Injections und dem Einschleusen von Schadcode. Obwohl primär auf PHP, MySQL, JavaScript und Flash eingegangen wird, eignen sich nahezu alle Kapitel dazu, die beschriebenen Vorgehensweisen auf andere verwandte Technologien zu transferieren und entsprechend umzusetzen. Das Optimum an Sicherheit ist leider nie wirklich erreichbar: Allein der Spagat zwischen Benutzerfreundlichkeit und Sicherheitsaspekten verlangt den Verantwortlichen, Betreibern und Entwicklern von Internetportalen und -applikationen immer wieder aufs neue Kompromisse ab. 15

17 Geleitwort des Fachgutachters Um ein gutes Maß an Sicherheit zu gewährleisten, benötigt man neben gesundem Menschenverstand Fachwissen und Erfahrung. Tiefgründiges Fachwissen wird Ihnen im vorliegenden Buch erstklassig vermittelt, und die Autoren geben Ihnen einen praktisch orientierten Einblick in die Absicherung von Webapplikationen. Ich freue mich, dass Sie sich für die Entwicklung von sicheren Webanwendungen entschieden haben! Tim Böttiger 16

18 »There is no security on this earth. Only opportunity.«general Douglas MacArthur 1 Einleitung 1.1 An wen richtet sich dieses Buch? Eigentlich ist diese Frage recht schnell beantwortet: Dieses Buch richtet sich an alle, die mit der Erstellung, Pflege und Konzeption von Webapplikationen zu tun haben oder in Zukunft involviert sein werden. Dies schließt sowohl technische Projektmanager, neugierige Administratoren sowie natürlich und gleichermaßen Entwickler und Programmierer von Webapplikationen ein. Aber gehen wir zunächst noch einen kleinen Schritt zurück und denken darüber nach, was eigentlich eine Webapplikation ist. Klar, werden Sie jetzt sagen, bei Webapplikationen handelt es sich um Online-Shops und Suchmaschinen, Foren und Blogs, Onlin clients und vieles mehr. Aber was ist eigentlich genau der Unterschied zwischen einer Website und einer Webapplikation? Um uns diesen Unterschied und damit auch die Antwort auf die Frage, an wen sich das Buch richtet, ein wenig eindeutiger erklären zu können, vergnügen wir uns zunächst mit einer kleinen Zeitreise. Es ist noch gar nicht so lange her, da bestand das Internet zu einem nicht unbedeutenden Teil aus einer riesigen Ansammlung von einfachen Webseiten. Diese Daten lagerten meist als statische HTML-Dateien in den Docroots der zuständigen Webserver, und demzufolge gab es kaum Möglichkeiten für User, mit diesen tatsächlich zu interagieren, sie zu verändern und anzureichern oder gar untereinander in semantischen Zusammenhang zu bringen mal ganz abgesehen von den klassischen Verlinkungen, ohne die eben diese Dokumente jedes für sich kaum mehr als eine verlorene Insel in einem immer schneller wachsenden Meer an Informationen gewesen wären. Zu diesen Zeiten existierte der Begriff Webapplikation noch nicht im heutigen Sinne, und demzufolge war auch die Sicherheit von Webapplikationen kein Thema. Bösewichte gab es damals auch schon, aber die beschäftigten sich größtenteils damit, in größere Industrierechner einzudringen oder kleinere Webserver zu hacken, um darüber Pornobildchen und Warez zu verteilen. 17

19 1 Einleitung Abbildung 1.1 Eine typische Website schlicht, grafikarm, reine Information Aber die Zeiten änderten sich rasch, und es wurden immer neue Technologien auf den Markt gespült, die es dem Entwickler (damals zumeist noch als Webmaster bekannt) ermöglichten, seinen Applikationen (analog zum Webmaster meist als Homepage bezeichnet) immer mehr Interaktivität einzuhauchen. In vielen Küchen wurden vergleichbare Technologien gekocht, und in einer davon garte ein grönländischer Informatiker ein Süppchen, das heute auf weit über 20 Millionen Domains eingesetzt wird: PHP. In den Jahren 1994 und 1995 entstand die erste Version von PHP aus der Feder von besagtem Rasmus Lerdorf. Kaum mehr als eine lose Sammlung von Perl-Scripten, waren die ersten PHP- oder auch PHP/FI-Versionen gerade mal in der Lage, eine grundlegende Art von Logging zu ermöglichen. Später besann sich Lerdorf und begann eine Überarbeitung seines Projekts diesmal in C. In den nachfolgenden Versionen gab es dann bereits Möglichkeiten zur Interaktion mit Datenbanken, und im Juni 1998 wurde die erste, als stabil bezeichnete Version von PHP 3 freigegeben. Bis dahin wurde PHP bereits nicht mehr allein von Lerdorf entwickelt auch Andi Gutmans und Zeev Suraski (zwei Entwickler aus Israel) waren mittlerweile an Bord, und das Projekt nannte sich 18

20 An wen richtet sich dieses Buch? 1.1 auch nicht mehr»personal Homepage Tools/Forms Interpreter«, sondern PHP Hypertext Preprocessor. Es war nicht schwer, mit PHP kleinere, richtige Applikationen zusammenzubauen, und die Verbreitung der Sprache auf den Webservern wuchs stark an. Wichtig an dieser Entwicklung ist nun ein entscheidender Punkt: Entwickler konnten jetzt sehr leicht Webseiten bauen, deren Verhalten von Eingaben des Users abhing. Der User konnte also nicht mehr nur auf Links klicken und sich einen linearen Weg durch das Informationsangebot der Website suchen, sondern war beispielsweise in der Lage, Suchbegriffe einzugeben und tatsächlich Treffer zu erhalten oder auch nicht. Klar, all dies war vorher ebenfalls nicht unmöglich, aber PHP erlaubte es durch die einfache und relativ tolerante Syntax sowie dank guter und verständlicher Dokumentation auch Einsteigern, schnell Fuß zu fassen und Applikationen zu kreieren. Sie ahnen nun bestimmt schon, wohin diese Schlussfolgerung führt? Genau das Internet war nach kurzer Zeit mit allerlei Angeboten überschwemmt, die zum größten Teil eines taten: mehr oder weniger gut zu funktionieren. Von sicherer Programmierung und sicherem Applikationsdesign war in diesen Tagen zumeist wenig zu sehen. Sie erinnern sich: Die.COM-Blase dehnte sich in diesen Jahren synchron zur Weiterentwicklung von Sprachen wie z. B. PHP auf, und viele Webmaster (Versprochen: Wir verwenden dieses fürchterlichen Begriff an dieser Stelle zum letzten Male!) mussten Websites und Applikationen unter großem Zeitdruck und mit wenig Vorwissen aus dem Boden stampfen koste es, was es wolle. Kommen wir zurück zu unserer anfänglichen Frage: Was ist eigentlich der Unterschied zwischen einer Website und einer Webapplikation? Im Prinzip haben wir die Frage ja schon beantwortet: Eine Website ist statisch, während eine Webapplikation dynamisch ist, also auf Eingaben von außen reagiert, und diese Eingaben können von einem User, einer anderen Applikation oder etwas ganz Anderem stammen. Wenn Sie sich also nicht mit dem Erstellen von Websites, sondern echten Applikationen (und sei auch nur der kleinste Teil derselbigen tatsächlich dynamisch) beschäftigen und nicht in die gleiche Falle tappen wollen wie unsere Väter und Mütter während des.com-booms und unsere großen Brüder und Schwestern im Web 2.0, dann ist dieses Buch genau richtig für Sie. Auf den folgenden Seiten werden wir noch ein wenig mehr ins Detail gehen und Ihnen erklären, was Sie von diesem Buch zu erwarten habe und was nicht. Sie werden außerdem in knapper Form durch den Inhalt dieses Buches geführt, um schon einmal einen Vorgeschmack auf die folgenden Kapitel zu erhalten. Wenn Sie es also geschafft haben, bis hierhin durchzuhalten, ist es nur noch ein kurzer Weg, bis es richtig losgeht. 19