tj.hooker74
Goto Top

Windows Firewall in bestehendem LAN aktivieren

Hallo Forengeneinde!

Weil man das ja "früher so gemacht hat" (bitte keine Diskussionen über Sinn und Unsinn) ist die Windows-Firewall in (m)einem LAN auf allen Clients (~230) und Servern (4) per GPO deaktiviert. Heutzutage ist das ja vielleicht keine so gute Idee mehr, daher möchte ich sie eigentlich sowohl auf den Clients als auch auf den Server, ebenfalls per GPO, aktivieren.

Wie mache ich das nun?

Ich aktiviere die FW per GPO auf den Clients. Dann stellt sich die Frage: Merging der lokal schon vorhandenen FW-Regeln oder nicht? Falls Nein, müsste ich ja jede Regel per GPO an die CLients verteilen, dieser Berg erscheint mir aber gerade SEHR hoch. Andererseits fühlt sich das Merging mit den lokalen Regeln gerade irgendwie unsicher an, denn letztendlich weiß ich nur 99%ig, welche Regeln aktuell auf den Clients vorhanden sind, WAS ich da also durch das Erlauben des Merging zulasse. OK, es wird weniger sein als jetzt, denn jetzt geht ja durch die deaktivierte Firewall ALLES. Aber ist Merging "schlau"? Wie macht ihr das bei euch?

Weitere Frage:
Auf einigen Clients läuft die Symantec Endpoint Protection mit inkludierter Firewall. Durch die Installation wurde die Windows-Firewall deaktiviert und die Symantec-Firewall übernimmt die Aufgabe. Wenn ich die Windows-Firewall jetzt per GPO auch auf diesen Clients aktiviere: Habe ich auf dann ZWEI Firewalls laufen oder wird die Windows-Firewall auf diesen Clients trotzdem durch Symantec deaktiviert? Oder müsste ich die Symantec-Clients von der GPO ausnehmen?

Habt ihr weitere Gedanken / Hinweise? BIn für jeden Info-Schnipsel dankbar!!

DANKE!!

TJ

Content-ID: 82976242744

Url: https://administrator.de/forum/windows-firewall-in-bestehendem-lan-aktivieren-82976242744.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

8585324113
8585324113 19.10.2023 um 09:30:45 Uhr
Goto Top
Logging aktivieren und eine Weile laufen lassen und dann auswerten.
Die Clients haben un der Regel keine eingehenden Verbindungen bzw überschaubar.
Dann GPO anpassen.
TJ.Hooker74
TJ.Hooker74 19.10.2023 um 09:40:01 Uhr
Goto Top
Du meinst Firewall aktivieren, sowohl ein- als auch ausgehende Verbindung "komplett" zulassen und dann nach einigen Tagen im Logging schauen? Dann ausgehende Verbindungen weiterhin erlauben aber eingehende Verbindungen blockieren und ggf. vorher eingehende Allow-Regeln aus dem Logging erstellt haben?

Und Du meinst, dass da ggf. GAR KEINE Regeln erforderlich sind?
Um es anschaulich zu machen: Wenn ich also mutig bin, aktiviere ich die FW, erlaube ausgehend alles, blockiere aber eingehend alles und deaktiviere das Merging, das Meiste würde/müsste dann trotzdem noch funktionieren?
kpunkt
kpunkt 19.10.2023 um 10:12:55 Uhr
Goto Top
Versteh ich das richtig, da sind nur einzelne Clients mit einer Firewall abgesichert? Hardwaretechnisch ist nix da?
Was spricht dagegen, alle Clients durch die vorhandene Software abzusichern? Oder halt eine Hardware hinzustellen?
Ansonsten würde ich mir auch ansehen, was da alles bei den Clients ankommt und dann entscheiden ob das darf oder nicht.
Generell würde ich aber nix mischen. Heißt ein Firewall-System für alle.
TJ.Hooker74
TJ.Hooker74 19.10.2023 um 10:40:22 Uhr
Goto Top
Selbstverständlich gibt es eine UTM am Übergang zum Internet. Die Windows-Firewall soll "nur" die "interne Sicherheit" erhöen, Stichwort z.B. "Lateral Movement". Oder bringt mir das in Bezug darauf gar nichts??
TJ.Hooker74
TJ.Hooker74 19.10.2023 um 10:52:50 Uhr
Goto Top
Was spricht dagegen, alle Clients durch die vorhandene Software abzusichern?

Dazu muss ich etwas ausholen.
Es geht um das LAN einer Bildungseinrichtung. Eine gewisse Anzahl von PC-Systemen ist mit einem sog. "HDD-Sherrif" ausgestattet. Dieser sorgt dafür, das nach einem Neustart des Systems alles verworfen wird, was zur Laufzeit erstellt/geändert/gelöscht wurde. Auf diesen Systemen ist die Symantec-Software nicht installiert, weil es sonst zu einer Endlosscheliefe in den Updates kommen würde (Systeme ziehen sich Updates, die dann aber durch einen Neustart wieder rückgängig gemacht werden usw.; für Windows-Updates wird die Sherrif-Funktion in zeitl. Abständen deaktiviert und WinUpd´s werden eingespielt). Auf diesen Systeme kann sich wegen der o.g. Funktion nichts Böses dauerhaft "einnisten", denn auch das wäre nach einem Neustart weg.

Insofern, denke ich gerade während ich schreibe: Auf diesen Systemen kann sich wie gesagt nichts einnisten, auf den anderen Clients läuft die Symantec-Firewall, muss ich dann auf den "HDD-Sherrif-Clients" die Windows-Firewall überhaupt aktivieren? Hmm...
MysticFoxDE
MysticFoxDE 19.10.2023 um 11:23:25 Uhr
Goto Top
Moin @TJ.Hooker74,

Selbstverständlich gibt es eine UTM am Übergang zum Internet. Die Windows-Firewall soll "nur" die "interne Sicherheit" erhöen, Stichwort z.B. "Lateral Movement". Oder bringt mir das in Bezug darauf gar nichts??

einen geübten Angreifer, wirst du mit der Windows-FireWall nicht wirklich lange aufhalten, weil diese heutzutage sehr oft die Schwachstellen der Software ausnutzen, die du zum Arbeiten eh an der FW freigeben musst. 😔
Was du mit der Windows-Firewall jedoch auf jeden Fall schaffst, ist es deine Benutzer zu ärgern, weil diese unter anderem auch extrem die CPU der entsprechenden Rechner belastet.

Du solltest dir mal das Thema PRIVATE-VLAN anschauen, damit kannst du die Endgeräte in einem Netzwerk viel einfacher und effektiver gegeneinander abschotten. 😉

Gruss Alex
TJ.Hooker74
TJ.Hooker74 19.10.2023 um 11:31:30 Uhr
Goto Top
Danke!

Tatsächlich ist das auch meine Vermutung.
...aber man hört doch immer, die Firewall sollte auf jeden Fall aktiv sein.

Was bringt sie einem also (außer vermehrten Anrufen von Usern)?
...wohlgemerkt in einem Szenario wie diesem (Lan, Perimeterfirewall, etc.),
bei einem Einzel-PC ist das ja noch mal was anderes...
8585324113
8585324113 19.10.2023 um 12:38:32 Uhr
Goto Top
Zitat von @TJ.Hooker74:

Du meinst Firewall aktivieren, sowohl ein- als auch ausgehende Verbindung "komplett" zulassen und dann nach einigen Tagen im Logging schauen? Dann ausgehende Verbindungen weiterhin erlauben aber eingehende Verbindungen blockieren und ggf. vorher eingehende Allow-Regeln aus dem Logging erstellt haben?

Und Du meinst, dass da ggf. GAR KEINE Regeln erforderlich sind?
Um es anschaulich zu machen: Wenn ich also mutig bin, aktiviere ich die FW, erlaube ausgehend alles, blockiere aber eingehend alles und deaktiviere das Merging, das Meiste würde/müsste dann trotzdem noch funktionieren?

Einfach die FW an anmachen wird Probleme bereiten, weil nicht alles Softwares sich sauber eingepflegt haben in der Regel. Server leben davon, dass sie einfach so neue Verbindungen annehmen. Clients eher untypisch.

Ohne Logging wird es sonst sehr mühselig.

Ob und welche Regeln nötig sind und wie die gestaltet sind, das kann hier niemand beantworten.

Ausgehend blocken und neuen Verbindungen ausgehend Aufbauen sollte unterschieden werden. Auch sprachlich.

Kein Client oder Server sollte ohne wirklich guten Grund ohne aktiven Paketfilter arbeiten. Das ist technisch unsauber und rechtlich auch nicht ohne.

Wenn ein Port offen ist und auf dem offenen Port eine Software sitzt, dann sollte ein Paketfilter auch auf dem Client wirken.

Eine Perimeter-Firewall mit bestimmten Einstellungen und Diensten hat mit der Sache nichts zu tun und auch eine VLAN nicht. Also keinen Gesamtbrei einrühren oder im Kopf haben. Jede Baustelle verdient Aufmerksamkeit und entsprechendes Setup.
MysticFoxDE
MysticFoxDE 19.10.2023 um 13:37:14 Uhr
Goto Top
Moin @TJ.Hooker74,

Tatsächlich ist das auch meine Vermutung.
...aber man hört doch immer, die Firewall sollte auf jeden Fall aktiv sein.

ja, man hört von diesen Firmen wahrscheinlich aber auch, dass deine Daten in der Cloud viel besser aufgehoben sind als OnPremise und du mit diesen trotzdem von überall arbeiten kannst, selbst über unsichere Hotspots u.s.w.. 🙃
Sorry, aber dieser Schwachsinn kommt meiner Meinung nach überwiegend von Menschen, die noch nie wirklich produktiv an einem Rechner gearbeitet haben, zumindest nicht in dem Sinnen, wie die meisten von uns die Rechner benutzen und zwar vorwiegend als performantes Arbeitstier und nicht als Fort Knox!

Was bringt sie einem also (außer vermehrten Anrufen von Usern)?

Meistens nur sehr viel Arbeit und dennoch sehr viel Ärger. 😔

...wohlgemerkt in einem Szenario wie diesem (Lan, Perimeterfirewall, etc.),
bei einem Einzel-PC ist das ja noch mal was anderes...

Jup, so sehe ich das auch.
Bei einzelnen Rechnern die wild in der Welt rumschwirren, mag eine lokal installierte FireWall ja durchaus Sinn machen. Bei Rechnern die jedoch nicht wirklich bewegt werden, gibt es meiner Ansicht nach viel bessere und einfachere Lösungen.

Gruss Alex
TJ.Hooker74
TJ.Hooker74 20.10.2023 um 07:46:57 Uhr
Goto Top
Bis hierher DANKE!
...nehme aber auch gerne weiterhin eure Meinungen...

Was ist also das Ergebnis (bisher): Firewall auf den Clients deaktiviert lassen, bringt sowieso nichts?
MysticFoxDE
MysticFoxDE 20.10.2023 aktualisiert um 08:37:53 Uhr
Goto Top
Moin @TJ.Hooker74,

Was ist also das Ergebnis (bisher): Firewall auf den Clients deaktiviert lassen, bringt sowieso nichts?

na ja, genaugenommen kannst du die auch bei vielen Servern deaktivieren.
Nehmen wir gerade mal den Exchange als Beispiel.
Den IIS und diverse andere Ports musst du bei einem Exchange eingehend freigeben, sonst funktioniert das Ding schlichtweg nicht. Und sobald du das auf einem anfälligen Exchange gemacht hast, sprich die benötigten eingehenden Verbindungen erlaubt, benötigt ein geübter Angreifer wiederum nicht mehr wirklich sehr lange, um die lokale MS-FW, aber auch den Defender, komplett weg zu schiessen. 😔

Gruss Alex
TJ.Hooker74
TJ.Hooker74 20.10.2023 um 08:43:03 Uhr
Goto Top
"Server" wäre das nächste Thema gewesen, dass ich aufgemacht hätte, aber ich wollte erst mal die Clients besprechen.

Aber in der Tat:
Weder auf meinem Exchange-Server noch auf meinen beiden DCs noch auf meinem Dienste-Server (AV, Softwareverteilung, WSUS, etc.) ist die Firewall aktiv.

Und, wenn ich Dich richtig verstehe, ist das auch gut so, Deiner Meinung nach?

Gibt es weitere / andere Meinungen?

DANKE!
kpunkt
kpunkt 20.10.2023 um 09:02:40 Uhr
Goto Top
Hast du eine UTM, dann brauchts die Windows-Firewall nicht. Eher behindert sie in vielen Fällen (ICMP ist da ein Beispiel).
Man kann ja über SIEM, XDR, et. al sinnieren. Aber wenn die Clients sowieso eher Kiosk sind, dann brauchts da nicht wirklich was.
8585324113
8585324113 20.10.2023 um 09:18:16 Uhr
Goto Top
Zitat von @TJ.Hooker74:

Gibt es weitere / andere Meinungen?


Du kannst die FW ausmachen oder zur Sinnlosigkeit konfigurieren. Du musst das allerdings dokumentieren und begründen.
Eine gute Begründung gibt es nicht einen Paketfilter auszuschalten und mit Blick auf deine Pflichten würde ich den Aufwand gar nicht betreiben.
Es gehört zur Arbeit eines Admins diese Sachen fortlaufend zu pflegen. Es ist auch keine große Sache.
wasabi
wasabi 20.10.2023 um 10:22:28 Uhr
Goto Top
Zitat von @TJ.Hooker74:

Habt ihr weitere Gedanken / Hinweise? Bin für jeden Info-Schnipsel dankbar!!


Ob eine Firewall auf Systemen sinnvoll ist, sollte und muss jeder selbst entscheiden.
Je nach Umgebung und System kann das schon Sinn machen.

Allerdings kann man, wie schon angesprochen, durch den Einsatz andere Technologien die Firewall obsolet machen.
Geht es explizit um die Windows-Firewall würde ich auch eher zu Sinnlos tendieren.

Was ich allerdings hier im Thread nicht verstehe sind die Meinungen zwecks Aufwand und die "nervigen" Anrufe der Endanwender.

Zum einem sollte jede gut gepflegte Umgebung, so oder so eine Applikationsliste haben.
Zumal jede Software vor Einsatz von der IT geprüft und freigegeben werden sollte.
Von daher weiß man auch welche Ports in Benutzung sind.

Und klar bei Umsetzung eines Sicherheitskonzeptes, sollte man die Logs beobachten.
Aus welchem Grund sollte sich hierbei ein Endanwender beschweren?

Mit einer Zentralverwaltenden "Cybersicherheitslösung" sollte sich auch der Konfigurationsaufwand in Grenzen halten. Bei 230 Clients macht das schon Sinn.

Zusammengefasst je nach System, Umgebung und Zweck individuell entscheiden, ordentlich Dokumentieren und planen.
MysticFoxDE
MysticFoxDE 20.10.2023 aktualisiert um 12:11:50 Uhr
Goto Top
Moin @8585324113,

Eine gute Begründung gibt es nicht einen Paketfilter auszuschalten und mit Blick auf deine Pflichten würde ich den Aufwand gar nicht betreiben.

ähm, aber selbstverständlich gibt es durchaus sehr gute Gründe einen lokalen Paketfilter auf einem Client oder Server und oder anderen nutzlosen Securit-Schnickschnack zu deaktivieren und zwar z.B. das Aufrechterhalten der Produktivität.
Denn ich kenne bisher nicht ein einziges Unternehmen, welches sich seine Hardware, ausschliesslich für das Ausleben der IT-Security kauft.

Gruss Alex
8585324113
8585324113 20.10.2023 um 12:32:23 Uhr
Goto Top
Eine Begründung, eine Begründung Alex. Nicht irgendwas geschwurbelt, was deiner Ideologie entspricht sondern so ähnlich wie die Juristen das machen, wenn sie eine unpopuläre Entscheidung verkünden müssen.

Es gibt Normen, die sind verbindlich. Davon abzuweichen bedarf einer eingängigen Begründung.
"Nutzloser Schnickschnack" ist keine Begründung, sondern eine Steilvorlage für Versicherungen, Ämter und die Kripo.

Auch die Aufrechterhaltung der Produktivität ist keine Argumentation, weil die Ansage ist, dass der Paketfilter richtig konfiguriert sein muss/soll.
wasabi
wasabi 20.10.2023 aktualisiert um 12:50:56 Uhr
Goto Top
Zitat von @8585324113:
Auch die Aufrechterhaltung der Produktivität ist keine Argumentation, weil die Ansage ist, dass der Paketfilter richtig konfiguriert sein muss/soll.

Ich nehme mal an du sprichst damit Zertifizierungen oder ähnliches an (Datev macht Spaß face-smile ).
Ansonsten was sprich dagegen es so zu Augmentieren das ein vorgeschaltetes Gerät diese Aufgabe übernimmt und es sichergestellt ist das nur die beiden Systeme direkt miteinander kommunizieren können?

Im Endeffekt muss das Sicherheitskonzept sinn machen und die Vorgaben erfüllen. Wie genau ist doch in den meisten Fällen egal.
8585324113
8585324113 20.10.2023 um 14:56:19 Uhr
Goto Top
Zitat von @wasabi:

Zitat von @8585324113:
Auch die Aufrechterhaltung der Produktivität ist keine Argumentation, weil die Ansage ist, dass der Paketfilter richtig konfiguriert sein muss/soll.

Ich nehme mal an du sprichst damit Zertifizierungen oder ähnliches an (Datev macht Spaß face-smile ).
Ansonsten was sprich dagegen es so zu Augmentieren das ein vorgeschaltetes Gerät diese Aufgabe übernimmt und es sichergestellt ist das nur die beiden Systeme direkt miteinander kommunizieren können?

Im Endeffekt muss das Sicherheitskonzept sinn machen und die Vorgaben erfüllen. Wie genau ist doch in den meisten Fällen egal.

Hiesige Normen? Fachlichkeit? Berufsethos? Ehre?
Such dir was aus.
MysticFoxDE
MysticFoxDE 20.10.2023 aktualisiert um 16:42:53 Uhr
Goto Top
Moin @8585324113,

Es gibt Normen, die sind verbindlich.

Richtig!
Und wie heisst bitte die Norm, die mich ausgerechnet dazu verpflichtet, in jedem Fall die Defender-Firewall von Microsoft zu nutzen?
Den mal abgesehen von mir, würde eine solche Vorschrift sicherlich auch brennend das Bundeskartellamt interessieren.

Davon abzuweichen bedarf einer eingängigen Begründung.

Dann präsentiere mir bitte die entsprechende Norm und dann präsentiere ich dieser Norm entsprechend meine Begründung. 😉

"Nutzloser Schnickschnack" ist keine Begründung, sondern eine Steilvorlage für Versicherungen

Nö, mir sind noch keine Versicherungsverträge für eine Syber-Security-Versicherung vorgelegt worden,
die einen Kunden dazu verpflichten die Defender-Firewall zu benutzen und ich habe schon eine ganze Menge davon gesehen.

"Ämter und die Kripo."

😂🤣😂🤣 .... meinst du etwa die Beamten, die ich schon so oft am Tisch sitzen hatte und die allesamt zugegeben haben, dass sie für diese Materie nicht wirklich ausgebildet sind und den Betroffenen auch nicht wirklich helfen können.
Ja, ist gut, lass die nur kommen.

Und lass die Datenschützer bitte auch gleich stecken, die sollen sich lieber mal um Dinge wie ASV-BW & Co. mal anständig kümmern.

Auch die Aufrechterhaltung der Produktivität ist keine Argumentation, weil die Ansage ist, dass der Paketfilter richtig konfiguriert sein muss/soll.

Ja, ein Paketfilter muss schon richtig konfiguriert sein, dass er was taugt, dennoch bist du nicht verpflichtet jeden Paketfilter zu benutzen und schon gar nicht den von Microsoft.

Und falls du mir jetzt mit den BSI Unterlagen kommen möchtest, die kennen ich aufgrund unserer kommunalen Kunden mittlerweile +- fast auswendig und in diesen gibt es zwar auch einen Kapitel, der sich mit der Defender-Firewall befasst, aber der ist wenn man eine andere vergleichbare oder bessere Sicherheitslösung bereits schon davor geschaltet hat, nicht mal ansatzweise verpflichtend.

Gruss Alex
wasabi
wasabi 20.10.2023 aktualisiert um 17:19:55 Uhr
Goto Top
Zitat von @MysticFoxDE:
"Nutzloser Schnickschnack" ist keine Begründung, sondern eine Steilvorlage für Versicherungen

Nö, mir sind noch keine Versicherungsverträge für eine Syber-Security-Versicherung vorgelegt worden,
die einen Kunden dazu verpflichten die Defender-Firewall zu benutzen und ich habe schon eine ganze Menge davon gesehen.

Hi Alex,

gibt es mitlerweile wieder Versicherer die tatsächlich Cyber-Versicherungen anbieten?
Aufgrund der hohen Nachfrage war es uns, über unseren Makler, letztes Jahr nicht möglich eine abzuschließen.

Wär mir auch neu dass in den Versicherungs-Fragebogen explizit eine Lösung abgefragt wird.
MysticFoxDE
MysticFoxDE 20.10.2023 aktualisiert um 19:29:20 Uhr
Goto Top
Moin @wasabi,

gibt es mitlerweile wieder Versicherer die tatsächlich Cyber-Versicherungen anbieten?
Aufgrund der hohen Nachfrage war es uns, über unseren Makler, letztes Jahr nicht möglich eine abzuschließen.

wüste nicht warum es die nicht geben sollte.
Ja, OK, das ist gelogen, bei den Schäden die die zu regulieren haben, kann es schon sein, dass die eine oder andere schon selber hops gegangen ist. 😬

Die HISOX ist aber noch am Leben und auch gut und das beste ist, bei der kannst du den Antrag ohne einen Makler sogar online abschliessen. 😉

https://www.hiscox.de/geschaeftskunden/cyber-versicherung/

Die COGITANDA ist auch nicht schlecht, aber dort geht's meines Wissens nach nur über einen Makler.

Wär mir auch neu dass in den Versicherungs-Fragebogen explizit eine Lösung abgefragt wird.

So ist das.
Die HISOX möchte übrigens in dem Versicherungsfragebogen, so wie ich das verstehe, überhaupt nichts von einer FW wissen.
hisox
Wenn du jedoch eine hast, dann muss diese auf jeden Fall auf dem neusten Stand sein, damit du diese Versicherung abschliessen kannst. Wenn du keine hast, deine Betriebssysteme jedoch aktuell und auf dem neusten stand sind und auch gehalten werden, dann kannst du so wie ich das verstehe, die Versicherung auch abschliessen. Nur wenn du eine veraltete FW hast, dann nicht, auch dann nicht wenn ansonsten alle deine anderen Betriebssysteme auf dem neusten Stand sind. 🙃
Ja, ich weiss ... 😖😵‍💫 ... Versicherungen eben.

Gruss Alex
139689
139689 20.10.2023 aktualisiert um 21:07:50 Uhr
Goto Top
Gibt wohl auch hier viele Meinungen dafür und dagegen...

Ich hab die Win FW auf Clients und Server AN. Lasse mich aber gern eines besseren belehren (bzw. wenn man selbst besseren Ersatz hat)

Also ich denke, dass c´t / heise zb. auch immer wieder allgemein schreibt, die Windows Firewall aktiviert zu lassen.

Die meisten Guidelines schreiben schlicht "Firewall" und meinen dementsprechend wohl hauptsächlich eine externe Hardware Perimeter-Firewall
MysticFoxDE
MysticFoxDE 21.10.2023 um 08:26:39 Uhr
Goto Top
Moin @139689,

Ich hab die Win FW auf Clients und Server AN. Lasse mich aber gern eines besseren belehren (bzw. wenn man selbst besseren Ersatz hat)

meine eigenen Bedenken gegen die Defender-Firewall haben mehrere Gründe.
Zum einen lassen sich die Ereignisse der Defender-FireWall nicht ohne weiteres zentral auswerten.
Des weiteren frisst das Ding so richtig Leistung und oder verzögert extrem die Anwendungen, sobald man auch nur ansatzweise versucht es etwas filigraner zu konfigurieren.
Zudem erzeugen sowohl die Defender-Firewall als auch z.B. Dinge wie Smartscreen, ständig Telemetriedaten mit denen sich z.B. auch das Verhalten der User 1A tracken lässt und senden diese ungefragt an ihren Schöpfer. 🤮
U.s.w.

Die meisten Guidelines schreiben schlicht "Firewall"

So ist das auch, leider.
Und mit so einer flapsigen Beschreibung, kann man die entsprechenden Richtlinien theoretisch sogar mit einer Fritze, die ja auch einen Paketfilter besitzt, erfüllen oder auch mit der Defender-Firewall. 😔😭

Gruss Alex
wasabi
wasabi 23.10.2023 um 11:50:58 Uhr
Goto Top
Moin @MysticFoxDE

Vielen Dank für deine Info.
Ja die Versicherungsfragebögen sind etwas wild :P.