Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

December 13 2013

Erneuertes Wassenaar-Abkommen: Spionagesoftware könnte zukünftig mehr Exportkontrolle unterliegen

Könnte Umsatzeinbußen erleiden: Die deutsche Trojaner-Schmiede Gamma

Könnte Umsatzeinbußen erleiden: Die deutsche Trojaner-Schmiede Gamma

Vergangene Woche haben die 41 Partner des Wassenaar-Abkommens zwei neue Kategorien für Spionagesoftware in das seit 1996 bestehende Regelwerk aufgenommen. Dort ist nun die Rede von “Intrusion software” und “IP network surveillance systems”.

Damit wird erstmals international anerkannt, dass Schadsoftware zu den sogenannten Dual-Use-Gütern und –Technologien gezählt werden kann. Gemeint ist der doppelte Verwendungszweck: Waren und Güter werden für zivile Zwecke entwickelt, aber auch militärisch genutzt. In einer Mitteilung schreibt das Sekretariat in Wien:

In 2013, new export controls were agreed in a number of areas including surveillance and law enforcement/intelligence gathering tools and Internet Protocol (IP) network surveillance systems or equipment, which, under certain conditions, may be detrimental to international and regional security and stability.

Neben dem Wassenaar-Abkommen existieren weitere internationale Ausfuhrkontrollregime, darunter die Australische Gruppe gegen den Verbreitung chemischer und biologischer Waffen, die Gruppe der Nuklearen Lieferländer sowie das Trägertechnologie-Kontrollregime.

Das Wassenaar-Abkommen unterrichtet die teilnehmenden Länder, wenn eine andere Regierung den Export bestimmter Produkte untersagt. Damit wollen die Partner die Umgehung von Ausfuhrbestimmungen verhindern und verbotenen Exporten auf die Spur kommen. Bindend ist die Regelung aber nicht: Wenn ein Staat die Lieferung inkriminierter Produkte verbietet, darf sie vom anderen jederzeit erlaubt werden. Vertragspartei müssen einander vor Erteilung einer Ausfuhrgenehmigung nicht konsultieren.

Letzten Freitag haben die Delegationen der Annahme zweier Vorschläge Frankreichs und Großbritanniens zugestimmt. Neben den neuen Kategorien wurden auch deren Definitionen ins Abkommen aufgenommen.

Großbritannien hatte die Aufnahme von “Advanced Persistent Threat Software and related equipment (offensive cyber tools)” vorgeschlagen. Gemeint sind Trojaner, mit denen die Zielsysteme in Echtzeit ausgeforscht werden können. In der Beschreibung heißt es dazu:

“Software” specially designed or modified to avoid detection by ‘monitoring tools’, or to defeat ‘protective countermeasures’, of a computer or networkcapable device, and performing any of the following:
a. The extraction of data or information, from a computer or networkcapable device, or the modification of system or user data; or
b. The modification of the standard execution path of a program or process in order to allow the execution of externally provided instructions.

Einschränkend wird erklärt, dass keine “Debuggers” oder Digital Rights Management-Systeme erfasst sind. Kontrolliert werden also jene Anwendungen, die Sicherheitseinstellungen auf dem infizierten Rechner gezielt unterlaufen, um von den NutzerInnen unbemerkt zu bleiben. Bekannte Systeme sind etwa die FinFisher-Produktreihe von Gamma International sowie Trojaner der deutschen Firma Digitask und der schweizer Firma Era IT Solutions.

Die Aufnahme von “IP network surveillance systems” ins Wassenaar-Abkommen wurde von Frankreich angeregt. Hierzu gehört insbesondere die Deep Packet Inspection (DPI), vermutlich aber auch einige jener Werkzeuge die im Zuge des NSA-Skandals bekannt wurden. Bekannte Hersteller derartiger Technologie sind die deutschen Firmen Utimaco, Atis Uher sowie Rohde & Schwarz, die französische Firma Amesys, das italienische Hacking Team oder die israelisch-amerikanische Verint. Im neuen Abkommen heißt es dazu:

IP network communications surveillance systems or equipment, and specially designed components therefor, having all of the following:
1. Performing all of the following on a carrier class IP network (e.g., national grade IP backbone):
a. Analysis at the application layer (e.g., Layer 7 of Open Systems Interconnection (OSI) model (ISO/IEC 7498-1));
b. Extraction of selected metadata and application content (e.g., voice, video, messages, attachments); and
c. Indexing of extracted data; and
2. Being specially designed to carry out all of the following:
a. Execution of searches on the basis of ‘hard selectors’; and
b. Mapping of the relational network of an individual or of a group of people.

Die Bürgerrechtsorganisation Privacy International kritisiert die Definition als zu eng: Die inkriminierte Hard- und Software muss in der Lage sein, große Datenmengen zu verarbeiten. Auch die unerwünschten Anwendungsgebiete sind stark eingeschränkt, was folglich eine Nutzung für andere Zwecke durchaus erlauben würde. Offensichtlich fallen Systeme nur dann unter das Abkommen, wenn sie Daten nicht nur analysieren, sondern auch speichern.

Streng genommen ist die Nutzung der Spionagetechnik durch Polizeien und Geheimdienste nach dem Wassenaar-Abkommen auch nicht illegal. Vielmehr geht es um die unerwünschte Häufung militärischer Kapazitäten, wodurch das sicherheitspolitische “Gleichgewicht” durcheinander geraten könnte. Trotzdem ist die Aufnahme der beiden Kategorien zunächst ein Fortschritt, spätere Initiativen könnten sich darauf beziehen.

Auch Privacy International sieht in Exportkontrollen nicht die “Silberkugel” für die “Probleme der Überwachungssysteme”:

Let us be clear: export controls are not a silver bullet solution for the problem of surveillance systems. Subjecting surveillance systems to export controls is only the first step to implementing effective mechanism to control the trade. Implementation and ensuring that human rights concerns are given sufficient weighting in the license-granting process are much needed. And instituting a system for controlling the trade of these technologies does not in any way take any of the moral responsibility away from the companies that develop and sell these, nor does it allow for shareholders, boards and private investment firms to abdicate their responsibility and turn a blind eye to the fact their increasing profits are based on the suffering of those in oppressed regimes. However, it does crack open the door to further action, and that is an opportunity.

Problematisch ist auch, wer über die Länder mit Exportbeschränkungen entscheiden soll – die Regimes von Gaddhafi, Mubarak und Ben Ali wurden beispielsweise jahrelang bedenkenlos aufgerüstet. Privacy International verweist auf ein von Wikileaks veröffentlichtes Cable, wonach deutlich wird wie die Umsetzung des Abkommens stets politischem Kalkül unterliegt. Teilnehmende Staaten können so auch den Überblick bekommen, welche Firmen in welchem Handelssegment führend sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 23 2012

Private Dienstleister: Staatstrojaner-Hersteller DigiTask ist “Hoflieferant des Innenministeriums”

Deutsche Behörden haben seit 2005 fast einhundert mal bei DigiTask eingekauft. Das geht aus der Antwort der Bundesregierung auf eine kleine Anfrage der Linkspartei hervor. Auch über den Trojaner hinaus ist der Staat damit Stammkunde der hessischen Firma – noch immer.

Die Privatisierung von Staatsaufgaben macht auch vor der Überwachung nicht halt. Jetzt hat die Bundesregierung auf eine kleine Anfrage der Linkspartei zum Thema “Auftragsvergabe an private Dienstleister im Bereich des Bundesministeriums des Innern” geantwortet. Daraus geht hervor, dass allein das Bundesamt für Verfassungsschutz in den letzten zehn Jahren Aufträge im Wert von 50 Millionen Euro an private Firmen gegeben hat.

Aber auch andere Bundesbehörden outsourcen gerne – unter anderem an DigiTask, den Hersteller des vom CCC enttarnten Staatstrojaners. In einer Tabelle mit Aufträgen taucht die Firma aus dem hessischen Haiger fast einhundert Mal auf. Daran hat auch das Trojaner-Debakel nichts geändert.

Philipp Alvares de Souza Soares auf Zeit Online:

Auf Anfrage der ZEIT bestätigte das Innenministerium indes, mit DigiTask noch immer im Geschäft zu sein. Die Daten aus der Antwort an die Linkspartei bezogen sich lediglich auf die Zeit bis 2011.

flattr this!

August 10 2012

Angezapft: Warum Staatstrojaner mit Gesetzen nicht kontrollierbar und damit grundsätzlich abzulehnen sind

CC BY-SA 2.0 mellowboxDer staatliche Einsatz von Trojaner-Software lässt sich schon per Definition weder technisch noch gesetzlich beschränken. Das ist das Ergebnis einer Diplomarbeit an der Berliner Humbold-Universität, die netzpolitik.org an dieser Stelle exklusiv veröffentlicht. Die Konsequenz kann nur lauten, dass der Staat keine Schadsoftware einsetzen darf.

Seit mindestens sieben Jahren überwachen deutsche Staatsorgane fremde Computersysteme mit Staatstrojanern. Etwa 35 mal pro Jahr setzen Behörden von Bund und Ländern solche Überwachungs-Software ein, mehr als hundert Mal in drei Jahren. Zahlen aller Geheimdienste sind nicht bekannt, aber schon Anfang 2009 hatte allein der Bundesnachrichtendienst über 2.500 Rechner infiltriert. Die gesellschaftliche Debatte hinkt dabei der technischen Entwicklung hinterher.

In seiner Diplomarbeit unterstreicht der Student Rainer Rehak, wie groß dieser Graben ist: Angezapft – Technische Möglichkeiten einer heimlichen Online-Durchsuchung und der Versuch ihrer rechtlichen Bändigung. Darin wird deutlich, dass sich staatliche Trojaner allein durch ihre Anforderungen schon technisch nicht hinreichend einschränken lassen, erst recht nicht durch Gesetze. Code ist eben Gesetz.

Die Qualität der Diplomarbeit überzeugte auch seine Gutachter am Informatik-Institut der Berliner Humbold-Universität: sie bekam die Note 1,0. Zunächst arbeitet Rehak anhand öffentlicher Aussagen der verantwortlichen Stellen heraus, welche Funktionen eine heimliche Online-Durchsuchung haben muss. Aus diesen konzeptionellen Anforderungen leitet er technische Eigenschaften einer solchen Software ab.

Probleme schon im Konzept

Ein Staatstrojaner muss beispielsweise zwangsläufig System- und Schreibrechte auf einem Zielsystem haben. Nur so kann sich die Software möglichst gut verstecken und Abwehrprogramme umgehen. Auch zum effektiven und heimlichen Abgreifen der gewünschten Daten sind Systemrechte notwendig. Zudem muss sich ein Staatstrojaner updaten lassen, um sich an Änderungen des Zielsystems anzupassen oder neue Funktionalitäten nachzuladen. Doch sobald eine Software einmal solche umfangreichen Rechte hat, kann eine Beschränkung der Funktionalität nicht mehr sichergestellt oder belegt werden.

Die mit einem Trojaner abgeschnorchelten Daten haben zudem wenig Aussagekraft. Da die Software auf einem fremden System operiert, können die Überwacher nicht erkennen, ob die übermittelten Daten echt oder manipuliert sind. Der CCC hat diese Möglichkeit bereits beim DigiTask-Trojaner demonstriert, in dem falsche Screenshots zurück geschickt wurden. Das war nicht nur ein Problem der konkreten Software, sondern ist grundsätzlich bei jedem Trojaner möglich. Die so erlangten Daten haben daher keine Beweiskraft.

In Deutschland wird der Einsatz staatlicher Trojaner vor allem mit der so genannten Quellen-Telekommunikationsüberwachung (TKÜ) gerechtfertigt. Im Gegensatz zu einer Online-Durchsuchung soll dabei nur Telekommunikation abgehört werden. Nicht nur in der Praxis funktioniert diese Unterscheidung zwischen Telekommunikations- und anderen Daten nicht, wie der Bericht des bayrischen Datenschutzbeauftragten zeigt. Die Trennung der Datentypen ist technisch schlicht nicht hinreichend lösbar. Daher muss auch bei einer Quellen-TKÜ stets die maximale Eingriffshürde angewendet werden.

Auch der vom Bundesverfassungsgericht definierte Kernbereich privater Lebensgestaltung ist durch Staatstrojaner zwangsläufig betroffen. Durch den Einzug informationstechnische Systeme in alle Bereiche des menschlichen Lebens werden auch die Teile der Intim- und Privatsphäre auf solchen Systemen abgebildet, die gegen staatliche Eingriffe absolut geschützt sind. Eine Software kann diesen Kernbereich mit technischen Mitteln nicht erkennen. Eine Einordnung von Daten in den Kernbereich kann nur von Menschen in den Behörden geleistet werden, dann ist der Eingriff aber schon passiert. Somit verletzt jeder Staatstrojaner den Kernbereich privater Lebensgestaltung.

Programmierter Verfassungsbruch

All diese Mängel ergeben sich direkt aus dem Konzept eines Staatstrojaners und betreffen daher grundsätzlich jede Implementation. Hersteller, Funktionen und sogar die Verfügbarkeit von Quellcode sind irrelevant. Das Bundesverfassungsgericht hat in seinem Urteil aus dem Jahr 2008 viele dieser Probleme erkannt. Trotzdem hat es den Einsatz, wenn auch unter engen Grenzen, erlaubt. Dabei zeigt diese Arbeit, dass die grundsätzlichen Probleme nicht durch Recht und Gesetz zu bändigen sind. Fehler und Missbrauch sind hier noch gar nicht eingerechnet.

Daher ist jede Form von Staatstrojanern abzulehnen. Umso schlimmer ist es, dass der Einsatz nicht nur weiter geht, sondern dabei noch nicht einmal das bestehende, unzureichende Recht eingehalten wird. Das hat Frank Rieger in der FAS treffend kommentiert: Rechtsbruch wird Tradition.

flattr this!

August 02 2012

Bayerischer Datenschutz-Beauftragter: Schwere Fehler beim Einsatz von Staatstrojaner

Beim Einsatz von Staatstrojaner-Software in Bayern sind schwere Fehler gemacht wurden. Das stellt der Landesdatenschutzbeauftragte nach acht Monaten fest und fordert Konsequenzen von Strafverfolgungsbehörden und Gesetzgeber. Die genauen Abläufe der Einsätze konnte er nicht nachvollziehen, weil die Behörden die Fälle mangelhaft dokumentiert haben.

Von 2008 bis 2011 wurden in Bayern 23 mal Staatstrojaner zur “Quellen-Telekommunikationsüberwachung” eingesetzt. Diese hat der Landesbeauftragte für den Datenschutz nun untersucht und einen Prüfbericht veröffentlicht. Das sind nur die Verfahren der Strafverfolgungsbehörden, den Verfassungsschutz darf er nicht untersuchen. Ein Drittel der bisher abgeschlossenen Verfahren wurde trotz Trojaner-Einsatz eingestellt.

Alle verwendeten Trojaner waren von der Firma DigiTask, daher dürfte die Software dem vom Chaos Computer Club analysierten Trojaner ähneln. Wie der CCC hat auch der Datenschutzbeauftragte Dr. Thomas Petri nur Binärdateien untersucht. Zwar wurde ihm auch Einblick in den Quellcode angeboten, doch dafür wollte DigiTask einen Geheimhaltungsvertrag.

Zur Prüfung hat sich Petri vom Landeskriminalamt Unterlagen, Akten und Software geben lassen. Er kritisiert:

Zusammengefasst konnten die Geschehensabläufe mangels hinreichender Dokumentation nicht umfassend nachvollzogen werden. Im Hinblick auf die Eingriffsintensität sind derartige Dokumentationsdefizite aus datenschutzrechtlicher Sicht als Verstöße gegen § 9 BDSG bzw. Art. 7 BayDSG anzusehen.

Obwohl er deswegen die Zusammenhänge der Auftragtserteilung nicht vollständig nachvollziehen konnte, bezeichnet Petri die Aufträge an DigiTask als “in mehrfacher Hinsicht mängelbehaftet”. So fehlte in den Verträgen die Möglichkeit, den Quellcode zu sehen zu dürfen. Das Personal von DigiTask zur “Fernwartung” wurde nicht einmal vertraglich auf das Datengeheimnis verpflichtet.

Auch gab es keine vertragliche Verpflichtung, nicht mehr Überwachungsfunktionalitäten zu liefern als rechtlich zulässig sind. Kein Wunder, dass die gekaufte Software diese gesetzlichen Vorgaben dann auch missachtete:

Soweit überprüfbar enthielt die Überwachungssoftware keine zuverlässige technische Begrenzung auf bestimmte Überwachungsfunktionen. Eine solche Funktionsbeschränkung wäre aus datenschutzrechtlicher Sicht nicht nur über die Beschränkung der Benutzeroberfläche der Überwachungskonsole geboten gewesen.

Eine rechtlich gebotene Begrenzung auf bestimmte Überwachungsfunktionen wird durch diese Möglichkeit, beliebige Programme zu starten, praktisch unmöglich gemacht.

Da die so genannte “Quellen-Telekommunikationsüberwachung” nur Telekommunikation an der Quelle überwachen darf, sind darüber hinaus gehende Überwachungsmaßnahmen wie bei einer “Online-Durchsuchung” unzulässig. Trotzdem war es dem Team des Datenschutzbeauftragten teilweise möglich, nicht nur “Applicationshots” von Kommunikations-Programmen sondern Screenshots des gesamten Bildschirms anzufertigen.

In zwei anderen, noch nicht abgeschlossenen Maßnahmen, die daher noch nicht konkret prüfbar und zu denen mir auch die dazugehörenden Beschlüsse nicht vollständig bekannt sind, konnte in der in meinem Haus aufgebauten Testumgebung mit den exakt gleichen Aufrufparametern nicht nur der Inhalt eines Browserfensters, sondern der des gesamten Bildschirms übertragen werden. Dies war unabhängig von dem gerade aktiven Fenster möglich. Auch wenn etwa als einziges Fenster ein Office-Dokument geöffnet war, konnte mit den beiden Binärdateien dieser Maßnahmen ein vollständiger Screenshot gefertigt werden.

Unabhängig von dem unter 5.2 dargestellten Streit über die Zulässigkeit von Applicationshots ist jedenfalls die Anfertigung von Screenshots im Rahmen einer Quellen-TKÜ unzulässig, weil und soweit sie auch auf dem Bildschirm befindliche Daten erfasst, die offenkundig nicht einer laufenden Telekommunikation zuzuordnen sind.

Was die Beamten tatsächlich mit der Software gemacht haben, war auch nicht rauszukriegen. Es gibt zwar Logs von der Überwachungskonsole, aber die sind mehr als dürftig:

In den drei von mir umfangreich geprüften Protokollen fanden sich im Schnitt je drei Einträge über den gesamten Zeitraum der Maßnahmen. Mehr als fünf Einträge fanden sich in keinem Protokoll.

Aus datenschutzrechtlicher Sicht waren die Einträge in den Protokolldateien sowohl wegen der mangelnden Quantität als auch der ungenügenden Qualität sowie der nicht nachprüfbaren Authentizität nicht ausreichend.

In den Protokolldateien müsste mindestes erkennbar sein, welche individuelle Person Aktionen veranlasst hat. Gruppenkennungen reichen hier nicht aus. Auch müssten alle relevanten Aktionen, wie etwa „Funktionalität ein- oder ausgeschaltet“ und ob diese Aktion wirksam war, protokolliert werden.

Die Verschlüsselung der übermittelten Daten hat der CCC ja schön auseinandergenommen. Aus der Pressemitteilung:

Die ausgeleiteten Bildschirmfotos und Audio-Daten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüssselt. Weder die Kommandos an den Trojaner noch dessen Antworten sind durch irgendeine Form der Authentifizierung oder auch nur Integritätssicherung geschützt. So können nicht nur unbefugte Dritte den Trojaner fernsteuern, sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern. Es ist sogar ein Angriff auf die behördliche Infrastruktur denkbar.

Der Landesdatenschutzbeauftragte sieht das anders:

In Bezug auf die abgeschlossenen Maßnahmen konnte die Verschlüsselung der Übertragungswege zum damaligen Zeitpunkt zu den damaligen Rahmenbedingungen noch als ausreichend angesehen werden. Zum gegenwärtigen Zeitpunkt wäre die Verschlüsselung allerdings als unzureichend anzusehen.

Betrachtet man die realistische Möglichkeit eines Angreifers, der über keine weitergehenden Informationen zum Verschlüsselungsverfahren oder über einen Zugriff auf RCU-Binaries verfügt, ist es für ihn nahezu unmöglich, die übermittelten Daten zu entschlüsseln. Somit kann die Verschlüsselung zum damaligen Überwachungszeitpunkt gerade noch als ausreichend angesehen werden, auch wenn durch die Vermeidung des ECB-Modus ein höheres Sicherheitsniveau einfach zu erreichen gewesen wäre.

Die Verschlüsselung hält er sogar für gut genug, dass die Daten auf Server im Ausland übermittelt werden können:

Wenn eine ausreichend wirkungsvolle Verschlüsselung, die ich im Blick auf die Gesamtsituation gerade noch zugestehen kann, eingesetzt wird und auf dem Proxy-Server selbst keine personenbezogenen Daten gespeichert oder verarbeitet werden, spricht grundsätzlich nichts gegen eine Platzierung von Proxy-Servern im Ausland. Die Ermittlungsbehörden trifft dann allerdings eine besondere Sorgfaltspflicht bezüglich der Sicherstellung der Verfügbarkeit des in Anspruch genommenen Proxy-Servers. Diese gesteigerte Sorgfaltspflicht wurde vorliegend nicht beachtet.

Dumm nur, dass man nicht mal die Kommunikation oder den Server hacken muss, sondern sich einfach einen Server mit der IP holen kann:

Bei der Kündigung wurden seitens des BLKA nicht die gebotenen Vorkehrungen getroffen, dass die IP-Adresse nicht erneut an einen anderen Kunden des Anbieters vergeben werden konnte. Für den Fall, dass ein neuer Kunde diese IP-Adresse zugeteilt bekommen hätte, hätte er – bei entsprechenden Kenntnissen – alle noch aktiven RCUs steuern und die gewonnenen Daten empfangen können. Dieses Szenario ist nicht unwahrscheinlich.

Versagt haben die Behörden auch darin, die Betroffenen darüber zu informieren, dass der Staat ihre Computer infiltriert hat:

Nach Abschluss einer Quellen-TKÜ ist der Betroffene des infiltrierten Gerätes regelmäßig nicht nur über Beeinträchtigungen der Vertraulichkeit eines Gesprächs, sondern auch über eine etwaige Beeinträchtigung der Integrität eines infiltrierten IT-Systems zu unterrichten. Aus den mir vorgelegten Unterlagen ergibt sich, dass die Betroffenen nicht über die Integritätsbeeinträchtigung informiert wurden.

Damit bleibt der bayrische Landesdatenschutzbeauftragte hinter der Kritik seines Bundeskollegen zurück. Statt einer Abschaffung der Maßnahme fordert Petri lediglich Nachbesserungen von Strafverfolgungsbehörden und Gesetzgeber. Dem Vernehmen nach setzen aber immer noch Staatsbehörden Software von DigiTask ein.

flattr this!

February 07 2012

Surveillance Who is who – Überwachungsfirmen auf die Finger geschaut

Die Nichtregierungsorganisation Privacy International, die seit 1990 über weltweite Aktivitäten von Überwachungsfirmen aufklärt, hat mit ihrem Surveillance Who is Who ein neues Projekt auf die Beine gestellt.

Gezeigt werden auf einer Übersichtskarte die Teilnehmer der letzten sechs ISS-Konferenzen. Diese sind nach Darstellung des Portals ein weltweiter Marktplatz für Sicherheitstechnologien, auf dem auch Vertreter autokratischer Regimes wie Bahrain, Saudi-Arabien oder Jemen anwesend sind.

Aus Deutschland sind neben sechs Behörden und Ministerien auch Branchengrößen wie Siemens oder Staatstrojaner-Hersteller Digitask vertreten.

Die vollständige Datenbank aller an den Konferenzen teilnehmenden Unternehmen und Behörden wird als csv-Datei (Comma Separated Values) zum Download (339kb) angeboten, um als Ausgangspunkt für weitere Recherchen oder Grundlage für Visualisierungen dienen zu können.

ISS World is attended by brutal dictatorships and Western democracies alike.

 

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl