Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Moin Kollegen,
wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?
In Art. 33, Abs. 1 heißt es ja:
Da Ransomware ja typischerweise keine Daten nach außen verschifft und sämtliche Daten aus dem Backup wiederhergestellt werden können, trifft meiner Auffassung nach kein Risiko für die Rechte und Freiheiten natürlicher Personen zu. Sehe ich das richtig?
Danke und schönen Sonntag,
MOS
wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?
In Art. 33, Abs. 1 heißt es ja:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Da Ransomware ja typischerweise keine Daten nach außen verschifft und sämtliche Daten aus dem Backup wiederhergestellt werden können, trifft meiner Auffassung nach kein Risiko für die Rechte und Freiheiten natürlicher Personen zu. Sehe ich das richtig?
Danke und schönen Sonntag,
MOS
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387443
Url: https://administrator.de/contentid/387443
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
22 Kommentare
Neuester Kommentar
Moin,
Das ist eher eine Frage an einen Rechtsverdreher als einen Admin. Als Admin sollte man grundsätzluch erstmal das schlimmste annehmen:
Dann wäre das Meldepflichtig. Aber dann müßte man bei jedem Pups melden.
Ich denke, das ist eine Einzelfallentscheidung, die man individuell in Abspracge mut einem Anwalt teeffen muß, je nachdem was und wieviel betroffen ist.
lks
Das ist eher eine Frage an einen Rechtsverdreher als einen Admin. Als Admin sollte man grundsätzluch erstmal das schlimmste annehmen:
- Die Malware hat die Systeme infiltriert und Backdoors geschaffen, über die jederzeit ein Datenabfluß möglich wäre.
Dann wäre das Meldepflichtig. Aber dann müßte man bei jedem Pups melden.
Ich denke, das ist eine Einzelfallentscheidung, die man individuell in Abspracge mut einem Anwalt teeffen muß, je nachdem was und wieviel betroffen ist.
lks
Moin...
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...
In Art. 33, Abs. 1 heißt es ja:
Da Ransomware ja typischerweise keine Daten nach außen verschifft und sämtliche Daten aus dem Backup wiederhergestellt werden können, trifft meiner Auffassung nach kein Risiko für die Rechte und Freiheiten natürlicher Personen zu. Sehe ich das richtig?
du kannst nicht wissen ob der schädling daten transportiert...
Danke und schönen Sonntag,
MOS
Frank
Zitat von @MOS6581:
Moin Kollegen,
wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?
das Backup ist erst einmal nicht das Wichtigste, die erste frage wäre doch, was sind das genau für Kundendaten?Moin Kollegen,
wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...
In Art. 33, Abs. 1 heißt es ja:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Da Ransomware ja typischerweise keine Daten nach außen verschifft und sämtliche Daten aus dem Backup wiederhergestellt werden können, trifft meiner Auffassung nach kein Risiko für die Rechte und Freiheiten natürlicher Personen zu. Sehe ich das richtig?
Danke und schönen Sonntag,
MOS
Moin...
der DSB mag ja Druck aufbauen wollen, allerdings muss er warten, bis alle fakten bekannt sind!
nun, wenn es nicht auszuschließen ist, das daten kopiert wurden, muss der DSB es melden! was ja auch erstmal nicht soo schlimm ist!
allerdings wenn rauskommt, das grob fahrlässig gehandelt wurde, kann das mit einer strafe geahndet werden. was aber erstmal zu beweisen wäre...
also nur die ruhe....
Frank
Zitat von @Mikrofonpartner:
Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut.
oh... habt ihr das öfter? Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut.
der DSB mag ja Druck aufbauen wollen, allerdings muss er warten, bis alle fakten bekannt sind!
Da war noch gar nicht klar, was alles an Daten verschlüsselt wurden.
muss es ja auch nicht.... ihr habt ja 72 Stunden zeit, alles in ruhe zu prüfen...Hatten vor 30 Minuten erst die Info erhalten und gleich die Server vom Netz genommen.
was ja auch richtig ist!nun, wenn es nicht auszuschließen ist, das daten kopiert wurden, muss der DSB es melden! was ja auch erstmal nicht soo schlimm ist!
allerdings wenn rauskommt, das grob fahrlässig gehandelt wurde, kann das mit einer strafe geahndet werden. was aber erstmal zu beweisen wäre...
also nur die ruhe....
Frank
Zitat von @Vision2015:
Moin...
der DSB mag ja Druck aufbauen wollen, allerdings muss er warten, bis alle fakten bekannt sind!
nun, wenn es nicht auszuschließen ist, das daten kopiert wurden, muss der DSB es melden! was ja auch erstmal nicht soo schlimm ist!
allerdings wenn rauskommt, das grob fahrlässig gehandelt wurde, kann das mit einer strafe geahndet werden. was aber erstmal zu beweisen wäre...
also nur die ruhe....
Frank
Moin...
Zitat von @Mikrofonpartner:
Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut.
oh... habt ihr das öfter? Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut.
der DSB mag ja Druck aufbauen wollen, allerdings muss er warten, bis alle fakten bekannt sind!
Da war noch gar nicht klar, was alles an Daten verschlüsselt wurden.
muss es ja auch nicht.... ihr habt ja 72 Stunden zeit, alles in ruhe zu prüfen...Hatten vor 30 Minuten erst die Info erhalten und gleich die Server vom Netz genommen.
was ja auch richtig ist!nun, wenn es nicht auszuschließen ist, das daten kopiert wurden, muss der DSB es melden! was ja auch erstmal nicht soo schlimm ist!
allerdings wenn rauskommt, das grob fahrlässig gehandelt wurde, kann das mit einer strafe geahndet werden. was aber erstmal zu beweisen wäre...
also nur die ruhe....
Frank
Wir nicht. ;)
In den letzten 4 Wochen haben sich 2 Kunden Ransomware durch Mailanhänge eingefangen. "Lustigerweise" kurz nachdem der DSB Schulungen im Umgang mit Mails und so abgehalten hatte.
gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?
Meiner persönlichen Einschätzung nach: Ja
Das Unternehmen hat in dem Fall nämlich offenkundig die administrative Kontrolle über die Daten verloren. Streng ausgelegt hat offenkundig ein Fremder die Daten verarbeitet indem er sie verschlüsselt hat.
Ich bin aber kein Anwalt und auch nicht bei der Datenschutzbehörde...
Hallo,
ihr müsst (solltet) ja eigentlich den Schutzbedarf der betroffenen Daten wissen. Wenn es medizinische Daten sind, liegt da die Latte schon mal relativ hoch. Die Abrechnungsdaten sind da nicht so "wichtig". Wichtig ist noch die Anzahl Betroffener. Versuche zu ermittel, ob die Daten abgeflossen sein können. Wenn das nicht feststellbar ist, must Du eine (mögliche) Datenpanne an die Aufsichtsbehörde melden. So einfach ist das. Ich wüste auch nicht was gegen eine Meldung sprechen würde. Passtieren wird da mit größter Wahrscheinlichkeit nichts, da die Landesdatenschutzbehörden mehr als ausgelastet sind.
ihr müsst (solltet) ja eigentlich den Schutzbedarf der betroffenen Daten wissen. Wenn es medizinische Daten sind, liegt da die Latte schon mal relativ hoch. Die Abrechnungsdaten sind da nicht so "wichtig". Wichtig ist noch die Anzahl Betroffener. Versuche zu ermittel, ob die Daten abgeflossen sein können. Wenn das nicht feststellbar ist, must Du eine (mögliche) Datenpanne an die Aufsichtsbehörde melden. So einfach ist das. Ich wüste auch nicht was gegen eine Meldung sprechen würde. Passtieren wird da mit größter Wahrscheinlichkeit nichts, da die Landesdatenschutzbehörden mehr als ausgelastet sind.
Moin...
lG MOS
Frank
Zitat von @MOS6581:
@Vision2015
Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
abrechnungsdaten an die KV sind von hause aus verschlüsselt, und nicht im klartext... wenn es an die PVS geht wäre das was anderes....@Vision2015
Zitat von @Vision2015:
das Backup ist erst einmal nicht das Wichtigste, die erste frage wäre doch, was sind das genau für Kundendaten?
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...
das Backup ist erst einmal nicht das Wichtigste, die erste frage wäre doch, was sind das genau für Kundendaten?
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...
Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
Ich würde davon ausgehen, dass die Backups dieser Daten auf dem Server vernünftig verschlüsselt sind. Demnach sollte ein Angreifer erst mal keinen Klartext-Zugriff auf die Datenbestände haben.
also wenn du davon ausgehen würdest, würde ich sagen du bist dir nicht sicher! im zweifel sind die Backup´s nicht verschlüsselt, was aber auch nicht das thema wäre.. denn die schadsoftware kommt ja an die rohdaten, und es wäre möglich, das daten übertragen werden... also wäre das zu melden!lG MOS
Zitat von @MOS6581:
Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
Ich würde davon ausgehen, dass die Backups dieser Daten auf dem Server vernünftig verschlüsselt sind. Demnach sollte ein Angreifer erst mal keinen Klartext-Zugriff auf die Datenbestände haben.
Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
Ich würde davon ausgehen, dass die Backups dieser Daten auf dem Server vernünftig verschlüsselt sind. Demnach sollte ein Angreifer erst mal keinen Klartext-Zugriff auf die Datenbestände haben.
Um was für Daten es sicht handelt must Du ja nun wissen.
Sind es nun in Deinem fiktivem Beispiel Arbeitsdaten oder Datensicherungen?
Arbeitsdaten sind in den meisten Daten nicht verschlüsselte Daten-Datei oder Datei-Datenbanken.
Selbst wenn die HDD im Server verschlüsselt ist, ist sie das im normalen Betrieb nicht.
->Arschkarte
Wenn es Datensicherungen sind ist die Frage ob und wenn ja wie diese Verschlüsselt sind.
Ich würde es trotzdem melden um nichts falsch zu machen mit dem Hinweis, dass die Daten mit "der Software "Schnubbelbackup V1.20" erstellt und dabei mit "AES256" verschlüsselt wurden.
Stefan
Kommt wie so oft drauf an.
Genaueres erklärt Art 4 (12) DSGVO.
Frage eins ist immer: handelt es sich um personenbezogene Daten?
Wenn ja, muss man weiterschauen.
Sind Backups da? Wenn nein, dann muss man davon ausgehen, dass personenbezogene Daten nun vernichtet wurden -> Meldung
Ob bei dem Angriff auch Daten offen gelegt bzw. übermittelt wurden ist die Gretchenfrage.
Und die würde ich eher von einem Rechtsgelehrten beantworten lassen.
Knackpunkt ist halt der, man weiß, dass ein Angriff erfolgte. Und theoretisch besteht die Möglichkeit, dass da eine Backdoor gesetzt wurde.
Aber: die könnte man auch haben, ohne dass es einen offensichtlichen Angriff gab.
Da IT per se nicht 100% sicher ist, könnte man demnach laufend von so einer Bedrohung ausgehen und da eine Meldung absetzen.
Weil: Art 33 DSGVO verlangt ja nur eine Meldung, wenn man auch tatsächlich weiß, dass es zu einer Verletzung nach Art 4 (12) DSGVO gekommen ist. Wörtlich: "nachdem ihm die Verletzung bekannt wurde".
Wenn es also personenbezogene Daten waren, die Dateien mit den Daten zwar verschlüsselt aber nicht verändert oder vernichtet (da Backup vorhanden) und es kein Anzeichen gibt, dass die Daten (nicht nur die Dateien) übermittelt wurden, würde ich behaupten, es besteht kein Anlass zu einer Meldung.
Aber -> Rechtsgelehrter sollte das im Zweifel entscheiden.
Genaueres erklärt Art 4 (12) DSGVO.
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
Frage eins ist immer: handelt es sich um personenbezogene Daten?
Wenn ja, muss man weiterschauen.
Sind Backups da? Wenn nein, dann muss man davon ausgehen, dass personenbezogene Daten nun vernichtet wurden -> Meldung
Ob bei dem Angriff auch Daten offen gelegt bzw. übermittelt wurden ist die Gretchenfrage.
Und die würde ich eher von einem Rechtsgelehrten beantworten lassen.
Knackpunkt ist halt der, man weiß, dass ein Angriff erfolgte. Und theoretisch besteht die Möglichkeit, dass da eine Backdoor gesetzt wurde.
Aber: die könnte man auch haben, ohne dass es einen offensichtlichen Angriff gab.
Da IT per se nicht 100% sicher ist, könnte man demnach laufend von so einer Bedrohung ausgehen und da eine Meldung absetzen.
Weil: Art 33 DSGVO verlangt ja nur eine Meldung, wenn man auch tatsächlich weiß, dass es zu einer Verletzung nach Art 4 (12) DSGVO gekommen ist. Wörtlich: "nachdem ihm die Verletzung bekannt wurde".
Wenn es also personenbezogene Daten waren, die Dateien mit den Daten zwar verschlüsselt aber nicht verändert oder vernichtet (da Backup vorhanden) und es kein Anzeichen gibt, dass die Daten (nicht nur die Dateien) übermittelt wurden, würde ich behaupten, es besteht kein Anlass zu einer Meldung.
Aber -> Rechtsgelehrter sollte das im Zweifel entscheiden.
Weil: Art 33 DSGVO verlangt ja nur eine Meldung, wenn man auch tatsächlich weiß, dass es zu einer Verletzung nach Art 4 (12) DSGVO gekommen ist. Wörtlich: "nachdem ihm die Verletzung bekannt wurde".
heisst aber, man muss schon melden, wenn die Daten verschlüsselt wurde und man noch gar nicht weiss, welche.
Die Frist ist im Zweifelsfalle wichtiger.
Datenpanne nach DSGVO? -> ja
DSGVO Art. 5 Abs. 1f)
Personendaten müssen... in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen
Daraus folgt: Datenpanne dokumentieren.
Datenpanne meldepflichtig? -> nein
Ransomware "zerstört" im Allgemeinen die Daten, aber es erfolgt kein unbefugter Zugriff.
Damit erfolgt kein Schaden bei Dritten und es besteht keine Meldepflicht.
Sollten Daten abgeflossen sein, und das sind auch noch sensible Gesundheitsdaten, sieht das natürlich anders aus.
DSGVO Art. 5 Abs. 1f)
Personendaten müssen... in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen
Daraus folgt: Datenpanne dokumentieren.
Datenpanne meldepflichtig? -> nein
Ransomware "zerstört" im Allgemeinen die Daten, aber es erfolgt kein unbefugter Zugriff.
Damit erfolgt kein Schaden bei Dritten und es besteht keine Meldepflicht.
Sollten Daten abgeflossen sein, und das sind auch noch sensible Gesundheitsdaten, sieht das natürlich anders aus.
Moin,
wir sprechen hier die ganze Zeit von der Meldepflicht gegenüber den Behörden.
Wenn etwas Meldepflichtig ist, dann muss ich aber auch die Betroffenen informieren.
Also müßte Ihr die Ärzte informieren deren Daten hier gespeichert wurden und diese müssen alle Patienten informieren die in Ihrer Software gespeichert sind.
Inklusive aller Folgen wie z.B. Schadensersatz & Co.
Die zwingende Folge ist, dass die Daten so verschlüsselt sein müssen, das ein Hacker damit nichts anfangen kann.
Stefan
wir sprechen hier die ganze Zeit von der Meldepflicht gegenüber den Behörden.
Wenn etwas Meldepflichtig ist, dann muss ich aber auch die Betroffenen informieren.
Also müßte Ihr die Ärzte informieren deren Daten hier gespeichert wurden und diese müssen alle Patienten informieren die in Ihrer Software gespeichert sind.
Inklusive aller Folgen wie z.B. Schadensersatz & Co.
Die zwingende Folge ist, dass die Daten so verschlüsselt sein müssen, das ein Hacker damit nichts anfangen kann.
Stefan
wir sprechen hier die ganze Zeit von der Meldepflicht gegenüber den Behörden.
Wenn etwas Meldepflichtig ist, dann muss ich aber auch die Betroffenen informieren.
Wenn etwas Meldepflichtig ist, dann muss ich aber auch die Betroffenen informieren.
Nein. Der Betroffene muss nur dann informiert werden, wenn ein hohes Risiko für dessen persönlichen Rechte und Freiheiten besteht.
Siehe Art 34 (1) DSGVO und § 66 Abs. 1 BDSG
Es müssen auch nicht alle Verletzungen an die Aufsichtsbehörde gemeldet werden. Nur dann, wenn überhaupt ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Art 33 (1) DSGVO und § 66 Abs. 3 BDSG
Zitat von @certifiedit.net:
heisst aber, man muss schon melden, wenn die Daten verschlüsselt wurde und man noch gar nicht weiss, welche.
heisst aber, man muss schon melden, wenn die Daten verschlüsselt wurde und man noch gar nicht weiss, welche.
Und genau das muss eben ein Rechtsmensch klären.
Denn nur, weil etwas wahrscheinlich ist, ist es noch nicht zwangsläufig auch wirklich eingetreten.
Mit dieser Argumentation müsste ich nämlich fast täglich irgendwelche Meldungen machen.
Die Frage ist halt, ob hier tatsächlich ein tatsächliches Risiko besteht.
Insgesamt werde ich da aber jetzt mal bei der Rechtsabteilung des Dachverbandes meines Unternehmens nachfragen, wie die das sehen. Wird ein Weilchen dauern, aber ich werde da mit Sicherheit Antwort erhalten.
Ich verweise hierbei auf
Sollten Sie die Pflichten zur Dokumentation und ggf. Meldung einer Datenpanne nicht beachten, so kann ein solcher Verstoß mit einem Bußgeld von bis zu 10.000.000,- EUR oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welche Zahl höher ist) führen.
meldet man etwas, was danach glücklicherweise "doch nichts" ist, dann ist kein Bußgeld fällig. Meldet man es zu spät, siehe oben.
Sollten Sie die Pflichten zur Dokumentation und ggf. Meldung einer Datenpanne nicht beachten, so kann ein solcher Verstoß mit einem Bußgeld von bis zu 10.000.000,- EUR oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welche Zahl höher ist) führen.
meldet man etwas, was danach glücklicherweise "doch nichts" ist, dann ist kein Bußgeld fällig. Meldet man es zu spät, siehe oben.
Das ist ja richtig, aber hier steht ja auch die Meldepflicht an die Betroffenen im Raum.
Sowas will die Geschäftsleitung schon ganz gerne genau wissen, ob es denn notwendig ist.
Soweit ich weiß, sind sich die Rechtsgelehrten da auch noch immer uneins.
Sowas will die Geschäftsleitung schon ganz gerne genau wissen, ob es denn notwendig ist.
Soweit ich weiß, sind sich die Rechtsgelehrten da auch noch immer uneins.
Zitat von @127132:
Soweit ich weiß, sind sich die Rechtsgelehrten da auch noch immer uneins.
Soweit ich weiß, sind sich die Rechtsgelehrten da auch noch immer uneins.
meiner Erfahrung nach sind die sich da immer uneins. Da gibt es den bekannten Spruch, mit den drei Anwälten in einem Raum und vier (Rechts-)Meinungen. Meine Erfahrung ist, daß die meisten Anwälte dem Clienten den Rat geben, der ihnen das höchste Honorar verspricht.
lks