1 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559...

1

Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015

Ein Unternehmen der IDS-Gruppe

EP2000 Workshop am 15.09./16.09.2015Prozessleitsystem SIGNACONTROL EP2000

IT Workshop

• das IT-Sicherheitsgesetz / §11 EnWG

• Pflichten für Betreiber von Versorgungssystemen

• IT Sicherheitskatalog der Bundesnetzagentur

• Zertifizierung nach IEC 27001:2013

• Ausblick und Empfehlungen

Workshop-Ergebnisse (Sie sollten verstanden haben!): – Welche Regelungen gelten?

– Was muss/kann ich tun?

– Was kostet das Ganze?

2



Gesprächspartner:Ulrich Düster ([email protected])Geschäftsführer QMBC UG (www.qmbc.de)/ ISRZ UG (www.isrz.de)

Auditor• ISO 27001• ISO 9001• RZ-Infrastrukturen (TÜV Hessen)• Energieeffizienz (TÜV Hessen) • Blauer Engel für Rechenzentren (Gutachter für den TÜV Hessen)• Cloud-Systeme

3



Entwurf eines Gesetzes zur Erhöhung der Sicherheitinformationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015

In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer ist betroffen?):

§ 1 Bundesamt für Sicherheit in der InformationstechnikDer Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als Bundesoberbehörde.Das Bundesamt ist zuständig für die Informationssicherheit auf nationaler Ebene. Es untersteht dem Bundesministerium des Innern.“Dem § 2 wird folgender Absatz 10 angefügt:„(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit,Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihreBeeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz1 näher bestimmt.“

4



Entwurf eines Gesetzes zur Erhöhung der Sicherheitinformationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer erstellt die zu erfüllenden Vorgaben?):§ 10 wird wie folgt geändert:a) Dem Absatz 1 wird folgender Absatz 1 vorangestellt:„(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.“b) Der bisherige Absatz 1 wird Absatz 2 und die Wörter „Wirtschaft und Technologie durch Rechtsverordnung“werden durch die Wörter „Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf,“ ersetzt.c) Der bisherige Absatz 2 wird Absatz 3 und in Satz 3 werden nach dem Wort „Rechtsverordnung“ ein Komma und die Wörter „die nicht der Zustimmung des Bundesrates bedarf,“ eingefügt.„Für Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gilt die Meldepflicht erst dann, wenn die Rechtsverordnung in Kraft tritt, die zurzeit im Bundesministerium des Innern vorbereitet wird. Diese Rechtsverordnung konkretisiert das Gesetz und legt fest, welche Unternehmen im Sinne des Gesetzes zu den Kritischen Infrastrukturen zählen.“ https://www.bsi.bund.de/SharedDocs/FAQs/DE/BSI/IT-SiGesetz/faq_node.html

5




Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Welches sind die Anforderungen? Wie sind diese nachzuweisen?):

„§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen KritischenInfrastruktur steht. (…)(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Bei Sicherheitsmängeln kann das Bundesamt die Übermittlung der gesamten Audit-, Prüfungs- oderZertifizierungsergebnisse und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

6




Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Was ist zusätzlich zu tun (Meldewesen, Meldepflicht)?):

§ 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der

Informationstechnik.(…)(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die Kommunikationsstrukturen nach § 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.(4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branchedes Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

7




Anwendungsbereich IT-Sicherheitsgesetz (Wer ist ausgeschlossen?):§ 8c Anwendungsbereich(1) Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission vom 6.

Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 der Empfehlung ist nicht anzuwenden.

(2) § 8a ist nicht anzuwenden auf1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung,3. Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie4. sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind.

8



Definition KMU EMPFEHLUNG 2003/361/EG DER KOMMISSION VOM 6. MAI 2003 BETREFFEND DIE DEFINITION DER KLEINSTUNTERNEHMEN SOWIE DER KLEINEN UND MITTLEREN UNTERNEHMEN

Kriterien: Mitarbeiterzahl und (Jahresumsatz oder jahresbilanzsumme)

Größenklasse Mitarbeiterzahl (Jahresarbeitseinheit JAE) Jahresumsatz oder Jahresbilanzsumme

Mittleres Unternehmen < 250 50 Mio. EUR 43 Mio. EURKleines Unternehmen < 50 10 Mio. EUR 10 Mio. EUR

Kleinstunternehmen < 10 2 Mio. EUR 2 Mio. EUR

Achtung: Was ist ein Unternehmen?

„jede Einheit, unabhängig von ihrer Rechtsform, die eine wirtschaftliche Tätigkeit ausübt“.Was ist mit Unternehmensverbünden?

In der Regel sind die meisten KMU eigenständig, d. h., sie sind entweder völlig unabhängig, oder es bestehen Partnerschaften mit anderen Unternehmen mit einer oder mehreren Minderheitsbeteiligungen (von jeweils unter 25 %). Wenn der gehaltene Anteil höher ist, aber 50 % nicht überschreitet, handelt es sich um eine Beziehung zwischen Partnerunternehmen. Liegt er über diesem Schwellenwert, sind die Unternehmen miteinander verbunden und es gelten andere Regeln.

9



InformationssicherheitDatenschutz/Compliance

QMBC UGManagem

ent systeme

für :Informationssich

erheit (IS)Risiko (RK)Notfall (NF)Kontinuität

(BCM)

IT-Sicherheit

Physische Sicherheit

PlanungBau

BetriebAudits

ISMS Leistungen - unser Verständnis: Das ganze ist das Wahre!

ISRZ Informations-sicherheit UGZertifizierungen TÜV HessenRAL

10



Energiewirtschaftsgesetz - EnWG

Gesetz über die Elektrizitäts- und Gasversorgung

In § 11 EnWG - Betrieb von Energieversorgungsnetzen - wurde mit der Novelle 2011 nach Absatz 1 folgender Abschnitt eingefügt:

(la) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen.

Die Bundesnetzagentur erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen.

Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes wird vermutet, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist.

Die Einhaltung kann von der Regulierungsbehörde überprüft werden.

11



SicherheitskatalogHintergrund und Ziele

Sicherheitskatalog gem. §11 Abs. 1a EnWG

Kernforderung des Sicherheitskataloges ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung.

Benennung eines IT-Sicherheitsbeauftragter, durch den Netzbetreiber, als Ansprechpartner für die Bundesnetzagentur bis zum 30.11.2015.

Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen.

Zertifizierung bis 31.01.2018

12



SicherheitskatalogSicherheitsanforderungen

Informationssicherheits-ManagementsystemNetzbetreiber sollen ein ISMS, das den Anforderungen der DIN ISO/IEC 27001 genügt, implementieren, das mindestens die Telekommunikations- und EDV-Systeme, die der Netzsteuerung dienen, umfasst.Bei der Implementierung sind unbedingt die Informationen und Verweise auf die Normen DIN ISO/IEC 27002 und DIN SPEC 27009 zu berücksichtigen.

Ordnungsgemäßer Betrieb der betroffenen IKT-SystemeIm Rahmen des ISMS ist nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt. Dies bedeutet insbesondere, dass die eingesetzten IKT-Systeme und IKT-gestützten Verfahren und Prozesse zu jedem Zeitpunkt beherrscht werden und dass technische Störungen als solche erkannt und behoben werden.

13



SicherheitskatalogSicherheitsanforderungen

NetzstrukturplanDas EVU soll eine Übersicht über die Komponenten seines Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und deren Verbindungen erstellen. Die Übersicht ist nach den Technologiekategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden.Die Komponenten sind in geeigneter Form in einem Netzstrukturplan darzustellen.

14



• ISMS Normen und gesetzliche Grundlagen• § 11 EnWG (Sicherheitskatalog veröffentlicht)• IT-Sicherheitsgesetz (verabschiedet)• ISO2700x Normenfamilie für Informationssicherheits-Managementsystem• 27000 Begriffe• 27001 ISMS mit normativem Anhang (Prüfkatalog)• 27002 Maßnahmeempfehlungen zur Umsetzung • 27003 Leitfaden zur Einführung• 27004 Leitfaden zur Messung• 27005 Leitfaden zum Risikomanagement• 27006 Akkreditierung von Zertifizierungsstellen• 27007 Auditierung• 27008 Leitfaden für Auditoren• 27019 Leitfaden für Energieversorger

15



ISMS Grundlegendes

Der arme Poet, Carl Spitzweg

Asset mitBedrohung + Schwachstelle= Gefährdung (des Wertes der Organisation)

Eintrittswahrscheinlichkeit x Schadenshöhe= Risiko (in €)

bezogen auf:• Vertraulichkeit• Verfügbarkeit• Integrität

16



Management-

bewertung

Risiko-manage

ment

Audit-Programm

…

Schulungs-programm

….

Jahreszyklus

ISO 27001:2015

17



Menschen

InfrastrukturProzesse

Organisation

Werte der OrganisationPerspektiven• Verträge• Kunden• Verfahren• Patente• Marken• …

18



Die zwei häufigsten Gründe für das Scheitern von Zertifizierungen:

• Die Anforderungen sind zu hoch (immer selbst verschuldet)• Der Verbesserungszyklus ist nicht vollumfänglich implementiert

Eine Implementierungsstrategie muss dies berücksichtigen

• Die Anforderungen sind minimal zu halten• Der Zyklus muss immer mit implementiert werden

19



Zu erfüllen: Kapitel 4,…, K10 der ISO27001 Anhang ISO27001 ISO 27002 ISO 27019 ( ISO 31000 ISO 9001 ISO 14001 ISO 50001,…)

K4 K5 K6 K7 K8 K9 K10 A5.1

A 5.1.1

A 5.1.2

… A 18.2.1

A 18.2.2

A 18.2.3

Alle Werte {W1, … Wn} Nicht erfülltRisikowert maximal

Nicht erfülltRisikowert maximal

Risikowerte {Wi1,…Wij} Maßnahmen(offen)

Maßnahme, Verlagern, Versichern,Übernehmen(offen)

Restrisikowerte {W1, … Wn} / {Wi1,…Wij}

Übernehmen(offen)

Risikostatus

Offene Punkte: Bestimmung Risikowerte, Risikoschwellen, RisikomethodeErste Leistungskennzahl bestimmt!

20



ManagementbewertungDie oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen. Die Managementbewertung muss folgende Aspekte behandeln: Status

a) den Status von Maßnahmen vorheriger Managementbewertungen; {}; Maßnahmen wurden nicht ergriffen

b) Veränderungen bei externen und internen Themen, die das Informationssicherheitsmanagementsystembetreffen;

{}; Veränderungen wurden nicht erfasst

c) Rückmeldung über die Informationssicherheitsleistung, einschließlich Entwicklungen bei: {}, Rückmeldungen liegen nicht vor

1) Nichtkonformitäten und Korrekturmaßnahmen; {}; Vollständige Nichtkonformität

2) Ergebnissen von Überwachungen und Messungen; {}; Überwachungen und Messungen wurden nicht durchgeführt

3) Auditergebnissen; und {}; Audits wurden nicht durchgeführt

4) Erreichung von Informationssicherheitszielen; {}; Ziele liegen nicht vor

d) Rückmeldung von interessierten Parteien; {}, Rückmeldungen liegen nicht vor

e) Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung; und Risiko ist maximal

f) Möglichkeiten zur fortlaufenden Verbesserung. {}; fortlaufende Verbesserunen wurden nicht ergriffen

Die Ergebnisse der Managementbewertung müssen Entscheidungen zu Möglichkeiten der fortlaufenden Verbesserung sowie zu jeglichem Änderungsbedarf am Informationssicherheitsmanagementsystem enthalten. Die Organisation muss dokumentierte Information als Nachweis der Ergebnisse der Managementbewertung aufbewahren.

21



Maßnahmen aus der Managementbewertung

Beschlüsse Status

Einführung eines ISMS, Zertifizierung in 2 Jahren Plan

Beschluss über Anwendungsbereich Plan

Beschluss über Maßnahmekatalog Plan

Beschluss über Werte der Organisation Plan

Bereitstellung Budget (ext. Beratertage: 12 ISMS, 3 Tage ext. Audit, 12 Netzleitstellensicherheit; 12 IT-Sicherheit; 100 PT Eigenleistung)

Plan

Zyklische Managementbewertung zur Steuerung der Implementierung (3 Mon.)

22



Maßnahmen aus der ManagementbewertungPhase Maßnahme Zeitraum Verantwortlich Budget

(Einf., Wiederh.)

Ressourcen

Planen Kontext der O . Ext. Und int. Themen; Ext. Und int. Parteien/Beteiligte;Kommunikationsmatrix

1. Quartal ISBA 3 PT (0 PT)

Implementieren Dokument freigeben und veröffentlichen 2. Quartal ISBA 0,5 PT (0,5 PT) Mgmt.

Betreiben Beteiligte informieren und ggf. Schulen 3.-5. Quartal ISBA 5 PT ( 2 PT) MA im AWB Prüfen jährliche Überprüfung und Ereignisbezogen 6. Quartal ISBA 1 PT Verbessern Dokumentationsrichtlinie anwenden.

Selbstbewertung durchführen; Beteiligte prüfen 6. Quartal ISBA 1 PT MA im AWB

Kontinuität Selbstbewertung durchführen; Verfügbarkeit

sicherstellen 6. Quartal ISBA 2 PT MA im AWB

Notfall Notfallverzeichnis ext. Und int. Parteien 1. Quartal ISBA 0,25 PT

Informationssicherheits-ereignisse

Umfeldveränderungen nicht bemerkt, rechtliche Anforderungen nicht umgesetzt, Strategieveränderungen nicht umgesetzt,…

1. Quartal ISBA 0,25 PT

Audits Prüfung gemäß ISO 31000, Ziele, Strategien,

Geltungsbereich, Einflußfaktoren,… 6. Quartal ISBA 1 PT MA im AWB,

AuditorSumme 14 PT ( 8,5 PT)

23



Zu erfüllen: Kapitel 4,…, K10 der ISO27001

Anhang ISO27001 ISO 27002 ISO 27019 ( ISO 30000 ISO 9001 ISO 14001,…)

Alle Werte Risikowert = 0 Vorgaben erstellt

Risikowerte (1,…j) Maßnahmen umgesetzt Risikowert <= Risikoschwellwert oder Maßnahme ergriffen oder Risiko verlagert oder Risiko versichert oder Risiko übernommen

Restrisikowerte Übernommen

Zertifikat

29



KundenQMBC UG (2014/2015)

• 50hertz Transmission GmbH• adidas Group• Bundesnetzagentur• CompuGroup Medical• Edeka compugroup• Festo AG• GLS Bank• Helios Klinikum Leipzig• Hörmann KG• Inexio• Intersport AG• IT2Media• msg services • Skyway Data Center • Stadtwerke Speyer• Stadtwerke Ludwigshafen• Technische Werke Ludwigshafen• Telemark TK GmbH (SW Lüdenscheid)• Vallourec (& Mannesmann)

systema• CDU/CSU Bundestagsfraktion• Charité• Polizei Berlin• Deutscher Bundestag• FH Wildau• Daimler Benz• Rieck Logistik • Viadrina• Immobilienscout• Salzlandkreis• Kassenärztliche Vereinigung Brandenburg• Heinrich-Böll-Stiftung• INP Greifswald• Dykerhoff• Energie und Wasser Potsdam• Krankenhaus Elisabeth-Herzberge• Stadtwerke Dessau• Alfred-Rexroth GmbH• BLS Energieplan

Wir danken für ihre Aufmerksamkeit

1 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559...

Documents

Transcript of 1 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559...