Von Phishern und Jägern

"Phishing" ist zum Massendelikt geworden - doch die Polizei schläft nicht

Jeder Internetnutzer hat mittlerweile täglich jede Menge E-Mails von Postbank, Sparkassen, Volksbanken und Ebay in seinem Postfach, auch wenn er dort gar nicht Kunde ist. Die Probleme dieser Firmen mit ihrer Sicherheitssoftware scheinen ja geradezu enorm zu sein. Doch dieser Art Betrugsmails, auf die angeblich ja nur noch Neulinge hereinfallen, in England jedoch bis zu 12% und in Studien bis zu 14%, sind nur die Spitze des Eisbergs, so das Bundeskriminalamt.

Die mittlerweile bei weitem häufigste Art der Computer-Kriminalität greift immer weiter um sich. Phishing-Angriffe erreichen Rekordzahlen. Die inzwischen unentbehrlichen Hilfskräfte für das kriminelle Geschäft rekrutieren die Phisher – ebenso wie ihre Opfer – mit Spam-E-Mails und versuchen sie mit scheinbar lukrativen Neben- oder gar Hauptjobs zu ködern, die aber nur Kost und Logis in St. Adelheim einbringen. Experten vermuten in Deutschland dennoch einige Zehntausend derartige Phishing-Helfer, die jährlich Schäden im Wert von mehr als 100 Millionen Euro anrichten. Die wahre Schadenshöhe liegt vermutlich noch weit höher.

Tendenz steigend: Bei antiphising.org in den letzten 12 Monaten gemeldete Anzahl von Phishingfällen (Bild: Anti-Phishing Working Group)

Die Polizei bekleckert sich ebenso wie die Gerichte leider nicht immer mit Ruhm, wenn es um Internetangelegenheiten geht. Die ersten Ergebnisse einer einst in München eingerichteten Kripo-Spezialtruppe waren ziemlich peinlich und ärgerlich, und Staatsanwaltschaften sind nicht unbedingt besser.

Doch über die Jahre haben die „Streifen im Internet“ deutlich dazugelernt und sind nun kleinen und auch größeren Gaunern durchaus gewachsen. Selbst die Helfer gewisser verschwörungstheoretischer Kreise, die schon nach eigener Aussage Hunderttausende unbescholtener Bürger mit eigener Homepage aus Internet-Cafés heimsuchten, dort volksverhetzende Gästebucheinträge hinterließen und so die Homepagebesitzer gefährdeten, da diese ja hierfür als Inhaber der Seite am Ende verantwortlich gemacht werden, wurden ermittelt und stellen sich deshalb nun als Justizopfer dar. Telepolis konnte sich bei zwei Kriminalhauptkommissaren der Abteilung für Informations- und Kommunikationskriminalität („IuK“) des Bundeskriminalamtes über den heutigen Stand des sogenannten Phishings informieren.

Das größte Handikap, das die Fahnder im Netz haben, ist ihre geringe Anzahl: die Einheit SO43, die beim Bundeskriminalamt in Wiesbaden Computerverbrechen (internationaler Begriff: "Hightech Crime") bearbeitet, ist gerade einmal acht Mann stark und muss pro Jahr etwa 3000 Fälle bearbeiten. Unter diesen wächst sich Phishing mittlerweile zum ernsten Problem aus und stellt seit 2005 einen Anteil von 90% der Computerkriminalität, obwohl die meisten derartigen Fälle gar nicht der Polizei gemeldet werden. Dies deshalb, weil die Banken einen treuen Kunden nicht verärgern und ihren Ruf nicht ruinieren wollen und die Vorfälle deswegen oft auf dem Kulanzweg regeln und den Schaden selbst tragen, obwohl sie nach Gesetz derartige Vorfälle wegen Geldwäscheverdacht prinzipiell den Behörden melden müssten.

Bundeskriminalamt in Wiesbaden (Bild: Bundeskriminalamt)

Wer von Phishing betroffen ist, sollte dies auf seiner lokalen Polizeidienststelle anzeigen, so der Tipp der die Spezialisten. Es kann allerdings sinnvoller sein, eine der in manchen Bundesländern bereits existierenden Online-Meldeseiten zu verwenden, da der Vorfall dann zumindest sofort an Leute gerät, die mit der Thematik etwas anfangen können – der normale Beamte in der örtlichen Polizeirevier ist heute noch nicht immer technisch ausreichend bewandert, um den Vorfall korrekt aufnehmen zu können. Dies soll sich allerdings ändern, „jeder Polizist muss in fünf bis 10 Jahren zumindest mit Log-Dateien und IP-Adressen umgehen können", so Dirk Büchner vom Bundeskriminalamt.

Ein Problem bei der Meldung solcher Vorfälle ist, dass es den Begriff Phishing juristisch gar nicht gibt – die Vergehen fallen vielmehr unter anderem in die Rubriken Geldwäsche, Computerbetrug und Verändern von Daten und tauchen bei der statistischen Erfassung deshalb auch unter diesen Begriffen auf. Es wird gegenwärtig lediglich diskutiert, den § 202 des Strafgesetzbuchs zukünftig um den Tatbestand des Phishings zu ergänzen, doch die geplante Gesetzesänderung machte mehr durch die im gleichen Zug geplante fragwürdige Kriminalisierung von "Hacker-Tools" von sich reden.

Die Phisher sind heute weit organisierter als in den Anfangstagen, es handelt sich nicht mehr um Einzeltäter, die mit ihrem Computer und einem Bulk-E-Mail-Programm Tag und Nacht selbst ihre Spam-E-Mails verschicken. Vielmehr wird – wie in der offiziellen Privatwirtschaft auch – sehr viel "outgesourced" und so beispielsweise zunächst ein Programmierer beauftragt, die Trojaner oder Nachbildungen der offiziellen Bank-Webseiten zu schreiben, dann ein Spammer, der seinerseits auf Bot-Netze von Trojanern gekidnappter Zombie-PCs zugreifen kann, um die Spam-E-Mails mit Trojanern oder Links zu den Phishing-Sites zu versenden und schließlich die sogenannten "Finanzagenten", die das abgegriffene Geld außer Landes schaffen sollen.

Die Anzahl bekannter Phishing-Sites ist seit dem letzten Jahr durch die Verwendung von Subdomains massiv angestiegen und erreichte im September 2006 knapp 25.000 (Bild: Anti-Phishing Working Group)

Das Hauptproblem sind heute gar nicht einmal mehr geknackte Onlinebanking-Konten, da der durchschnittliche Bürger gar nicht so viel Geld auf seinem Girokonto liegen hat, sich auch sein Dispo-Kredit normalerweise in Grenzen hält und zudem üblicherweise die per Onlinebanking möglichen Überweisungssummen begrenzt sind. Nutzt der Bankkunde sein Konto regelmäßig übers Internet oder durch das Abholen der Kontoauszüge vor Ort, fallen ihm Unregelmäßigkeiten sehr schnell auf und das Einfallstor wird geschlossen. Allerdings gibt es auch besonders naive Kandidaten, die ihrer Bank eine empörte E-Mail schicken, sie bräuchten noch ein neues Eingabeformular, denn die E-Mail „zur Verifikation des neuen Sicherheitssystems“ habe nur 30 TANs abgefragt, sie hätten aber noch über 60 zur Verfügung…

Ebenso haben die Banken inzwischen selbst eigene Überwachungsprogramme laufen, ähnlich wie Kreditkartenfirmen, die für einen Kunden untypische Verhaltensweisen entdecken und dann sofort die Überweisung stoppen und erstmal nachfragen – beispielsweise bei einer größeren Überweisung ins Ausland, wenn der Kunde sonst immer nur die Miete per Dauerauftrag überweist und ab und zu mal mit EC-Karte an der Tankstelle bezahlt oder den Geldautomaten besucht. Hier bemerkt die Bank den Kontoeinbruch oder auch eine laufende Phishing-Welle mittlerweile innerhalb von ein bis zwei Stunden.

Da Auslandsüberweisungen online inzwischen entweder ohnehin gesperrt sind oder zumindest sofortigen Alarm auslösen, wenn der betreffende Bankkunde sonst nie Geld nach Russland oder Polen schickt, überweisen die Phisher mit Hilfe der von ihnen eingesammelten Konto-Zugangsdaten mittlerweile nur noch ins Inland: Entweder geht das Geld auf ein ebenfalls von ihnen geknacktes anderes Girokonto, von dem dann alles gesammelte Geld auf einmal abgebucht wird, bevor dessen Inhaber vom unerwarteten Geldsegen überhaupt etwas bemerkt hat, oder aber eben zu einem „Finanzagenten“.

Original einer Online-Banking-Site…

Auch diese werden über Spam-E-Mails und teils sogar reguläre Zeitungsinserate wie zuletzt in der Frankfurter Allgemeinen Zeitung angeworben und bekommen scheinbar seriös aussehende Arbeitsverträge angeboten, doch ist ihre einzige Aufgabe, das bei ihnen eingehende, von anderen Konten gephishte Geld abzuheben und dann mit einem Bartransferdienst wie Western Union oder Moneygram ins Ausland zu schicken, so dass sein Verbleib nicht mehr zurückverfolgt werden kann. Dort sitzt dann ein weiterer „freier Mitarbeiter“ der Phisher, der sogenannte "Money Mule" (Geldesel), der das Bargeld bei Western Union beziehungsweise Moneygram abholt und nun zu den eigentlichen Drahtziehern verbringt. Spätestens hier verliert sich die Spur des Geldes.

Die auf den ersten Blick seriös erscheinenden Firmen, für die die „Finanzagenten“ arbeiten sollen, mit eigener Website und eine Adresse, die in Wirklichkeit sehr häufig die private Wohnadresse einer Familie auf Sylt ist, die die Phisher vom gesetzlich vorgeschriebenen Impressum der privaten Homepage dieser Familie abgeschrieben haben, oder auch mal – etwas netter, weil es zumindest keine Unschuldigen in die Fälle hineinzieht – ein unbebautes Grundstück auf Sylt bezeichnet, wechseln dagegen alle zwei bis vier Wochen: der eine Firmenname verschwindet und unter einer neuen Webadresse entsteht ein neues „Finanzinstitut“. Mitunter werden allerdings auch die Namen existierender Unternehmen missbraucht.

Entgegen mancher Befürchtungen werden übrigens die islamischen Geldtransfersysteme wie Hawala (Das Banksystem der Armen) hier nicht verwendet, da die Phisher bei diesen auf Vertrauen beruhenden Systemen zu wenig Kontrolle über das Geld haben und diese traditionellen Systeme derartige Verbrechen auch nicht unterstützen würden, während es kein Problem ist, einem lokalen Repräsentanten von Western Union oder Moneygram im Ostblock zu seinem Gehalt noch einmal dieselbe Summe monatlich anzubieten, wenn er dafür bei den Personen, die bestimmte Geldtransfers abholen, einmal nicht so genau in den Ausweis schaut. Allein in Moskau gibt es 400 Ausgabestellen von Western Union und das Geld ist ohne eine nachverfolgbare Bankstruktur so in wenigen Minuten verschwunden.

…und eine mögliche „Phishing-Phälschung“: Da auch URLs gewohnheitsmäßig von links nach rechts gelesen werden und die URL die gewohnten Adresselemente zu enthalten scheint, wird der entscheidende Adressteil am rechten Ende der URL leicht übersehen, vor allem, wenn die URL noch länger ist als hier gezeigt…

Durch die intensive Berichterstattung über diese faule Masche (Knast für Dich!) und fortgesetzte Hinweise der Behörden kann ein Finanzagent sich mittlerweile nicht mehr auf Unwissen herausreden, er ist mindestens mit Fahrlässigkeit oder bedingtem Vorsatz dran – und natürlich mit Schadensersatz, denn da das Geld der Geschädigten nun einmal über sein Konto gelaufen ist, ist er für diese und die Behörden stets greifbar.

Erste Urteile beginnen bei 1200 Euro Geldstrafe, doch auch schon über ein Jahr Haft wurden ausgesprochen, nach Berufung bleiben immer noch 30 bis 60 Tagessätze – das kann sehr viel Geld sein und ab 90 Tagessätzen verbleibt eine Vorstrafe im Register. § 261 des StGB, der die Geldwäsche behandelt, gestattet Freiheitsstrafen bis zu zehn Jahren, wenn ein gewerbsmäßiges Handeln nachgewiesen werden kann, was bei einer nebenberuflichen Tätigkeit, mit der man Geld verdienen will, ja durchaus gegeben ist.

Ein Finanzagent kann deshalb auch nur zwei bis drei Geldtransfer durchführen, mitunter nicht einmal das, bevor die Polizei bei ihm im Haus steht. Nur besonders dumme oder dreiste Mitmenschen lassen sich heute deshalb noch hierfür anwerben und die Finanzagenten sind deshalb heute der Engpass, an dem das Phishing zu Fall gebracht werden kann, während gephishte Kontodaten mittlerweile im Überfluss zur Verfügung stehen. Die Finanzagenten werden praktisch immer erwischt – die einzigen bislang bekannten Ausnahmen waren Nigeria-Spammer (Spam, Betrug und Drogen), die sich ihrerseits bei den Phishern als Finanzagent bewarben und das Geld dann nicht nach Russland, sondern nach Nigeria transferierten.

Die „Internetstreife“ des BKA im Einsatz (Bild: Bundeskriminalamt)

Deshalb verwenden die Phisher nun auch neue Taktiken, auf die auch weniger leichtgläubige Menschen hereinfallen können, und die in ähnlicher Form mit ungedeckten Schecks bislang nur im Gebrauchtwagenhandel grassierten: Es werden zunächst Dienstleistungen bestellt, Waren gekauft, Ferienwohnungen angemietet oder ein Lotteriegewinn soll ausgezahlt werden.

Dann wird auch bezahlt, doch mit einer viel zu hohen Summe, und um Rücksendung des überzähligen Gelds gebeten – per Western Union, versteht sich, oder auf ein anderes Konto, als das, von dem das Geld kam. Oder die Ware wird nicht abgenommen, doch dem Verkäufer etwas „Entschädigung“ angeboten – den Rest möge er doch bitte per Western Union zurücksenden, damit es schneller geht. Dass die ursprüngliche Zahlung von einem kompromittierten Konto kam, erfährt der Geldwäscher wider Willen dann meist erst von den Polizeibeamten.

Beim Angriff aufs Onlinebanking müssen die gefälschten Überweisungen stets innerhalb eines Bankinstituts laufen, weil nur hier die Laufzeiten kurz genug sind: der Finanzagent kann direkt nach Ablauf der gefälschten Überweisung das Geld von seinem Konto abheben. Überweisungen zwischen verschiedenen Banken benötigen dagegen mindestens einen Tag und können daher leicht zurückgerufen werden. Es ist also nicht nur notwendig, einen Blöden zu finden, der sich als Finanzagent zur Verfügung stellt – er muss auch noch sein Konto bei derselben Bank haben wie diejenigen, von denen abgebucht werden soll.

Fast ein Viertel der Phishingsites werden heute noch in den USA gehostet (Bild: Phish Tank)

Gefährlicher als der Zugriff aufs Girokonto ist deshalb das Kapern von Shopping-Accounts – wird hier der reguläre Besitzer durch Passwortänderungen ausgesperrt, so merkt dieser gar nicht mehr, was nun in seinem Namen alles angestellt wird und es werden nun nicht nur einmalig 3000 Euro abgehoben, sondern in aller Seelenruhe beispielsweise teure, gut wiederverkaufbare Waren wie Laptops gekauft oder umgekehrt noch einfacher hunderte – nicht existente – Laptops in Auktionshäusern für Sonderpreise von 500 Euro angeboten, was dann einen Schaden im fünfstelligen Bereich erzeugt, bevor sich die ersten Käufer über die nicht auftauchenden Geräte beschweren oder ein Versandhaus bemerkt, dass ein bis dato zuverlässiger Kunde die große Computerbestellung auch nach Wochen nicht zahlt.

Neben dem Hacken der Shoppingaccounts selbst oder dem Abphishen des Passwortes ist es auch möglich, die hierzu meist benutzten Webmail-Accounts anzugreifen – in diesem Fall können sich die Phisher sogar über im gekaperten Webmail-Account hinterlegte Entwurfsmails verständigen, ohne dass der dadurch entstehende Datenverkehr bei Überwachungen offensichtlich wird. Ebay- und andere Shoppingaccounts fest an eine eigene Domain oder gar Firmen E-Mail anzubinden, was diese Gefahr verringern würde, ist ja noch weniger anzuraten. Hierbei verrät der „Ebayer“ nicht nur Betrügern vorzeitig seine Identität, es besteht auch die Gefahr, dass neugierige Kollegen in der Mittagspause oder selbsternannte Konkurrenten auf dem Rechtsweg Zugriff auf die E-Mail-Adresse bekommen (Online-Accounts sind stets nur so sicher wie die zugehörige E-Mail).

Ein ernsthaftes Problem für die Ermittler der Polizei sind übrigens Anonymisierungsdienste wie ANON und TOR, unzählige Proxys in Botnetzen sowie die teils nicht mehr stattfinde Speicherung von Verbindungsdaten (Der erste legal anonyme Heise-Forenposter?). Dies müssen nicht einmal die offiziellen Anonymisierungsdienste beispielsweise von deutschen Universitäten sein: Auch die von Trojanern gekaperten Zombie-PCs dienen in Botnetzen nicht nur als gnadenlose Spammaschinen, die innerhalb von 18 bis 20 Stunden 20 Millionen Spam-E-Mails verschicken, die dann bei manchen Empfängern gleich im Dutzend aufschlagen und den entsprechenden Provider für die nächsten Wochen auf alle Spam-Blacklists setzen, sodass die E-Mails dessen regulärer Kunden plötzlich nirgends mehr willkommen sind ("Sie sind aus Old Europe? Dann benutzen Sie gefälligst das Telefon!"). Ebenso können diese gekaperten PCs nämlich als Proxy verwendet werden, weshalb dann plötzlich die Polizei bei Hans Müller im Wohnzimmer steht und ihm erklärt, dass nachweislich von seinem Computer aus das Sparkassen-Konto seines Nachbarn ausgeräumt wurde. Zombie-PCs können auch zum Hosten der gefälschten Phishing-Website verwendet werden oder als sogenannte "Dropzones", Lagerplätze für die Daten der geknackten Girokonten und bringen so ebenfalls ihre nichtsahnenden Besitzer ins Fadenkreuz de Strafverfolgung.

Auf diese Art von Proxy zu Proxy, von Anonymisierungsdienst zu Anonymisierungsdienst die Spur der Täter zu verfolgen, ist zeitaufwendig, zumal es im Inland typischerweise bereits sechs bis acht Wochen dauert, bis bei einem Provider zu einer IP-Nummer der entsprechende Kunde ermittelt ist, im Ausland jedoch im Fall der USA beispielsweise gleich sechs bis acht Monate, so die Beamten des Bundeskriminalamts. Bis man dann über zwei bis drei Proxys endlich zum wirklichen Ursprung einer Attacke vorgedrungen ist, hat auch der geduldigste Provider keine Verbindungsdaten mehr gespeichert und lediglich die kompromittierten, als Proxy verwendeten PCs sind so aus dem Verkehr gezogen.

Im Jahr 2005 wurden etwa 2500 Phishing-Fälle gemeldet mit 2000 bis 3000 Euro typischem Schaden. Die Bandbreite reicht jedoch insgesamt von einigen 100 Euro bis zum Höchstwert von 102.000 Euro. Letzterer Phishzug geschah bei einem Unternehmen, das gerade eine neue Werkshalle einrichtete, weshalb die Bank bei einer derartig großen Überweisung keinen Verdacht schöpfte, wegen grober Leichtsinnigkeit den Schaden dem Kunden ersetzen musste und anschließend selbst in ernsthafte wirtschaftliche Schwierigkeiten geriet.

Nachbauten der Seiten von Auktionshäusern oder Bankinstituten auf anderen Adressen, die per Spam näher "beworben" werden, war noch die Taktik der Wahl im Jahr 2005 und Anfang 2006. Diese Seiten werden dabei dynamisch den echten Bankseiten nachgebaut, was inzwischen vom Internet Explorer 7 automatisch entdeckt werden soll, wenn noch mittlerweile allerdings altbekannte Tricks wie Cross-Site-Scripting eingesetzt werden. Die entsprechenden Webadressen werden oft mit @ in der URL oder extra langen URLs so getarnt, dass nur bei sehr genauem Hingucken zu erkennen ist, dass die Adresse der echten Bankadresse nur ähnlich sieht.

Doch diese Technik ist inzwischen bereits veraltet. Stattdessen werden Trojaner auf die Rechner der Opfer geladen, was auch in mehreren einzelnen, unverdächtigen Teilen geschehen kann, die kein Virenscanner erkennt und beim Besuch unerkannt beispielsweise durch Einbruch in einen Webserver infizierter Websites im Hinterrund abläuft. Da die Trojaner inzwischen meist individuell neu erstellt werden, dauert es auch so stets einige Stunden bis zu drei bis fünf Tage, bis die Hersteller der Virenscanner die entsprechend ergänzten Signaturen versenden können. Bis dahin hat der Trojaner längst seinen Dienst getan oder zumindest das Virenscan-Programm abgeklemmt.

Hierzu überschreibt er entweder die „Host“-Datei des Betriebssystems mit eigenen Einträgen, sodass ein Zugriff auch auf vom Benutzer manuell eingetippte, bekannte Adressen seiner Bank oder seines Auktionshauses ebenso wie die des Updates des Virenscanners ganz woanders landen, oder der Trojaner lauscht in den Zahlungsverkehr mit der Bank und unterbricht die Verbindung beispielsweise nach der zweiten Überweisung, um den Bankkunden plötzlich eine Fehlermeldung zu präsentieren, die ihn bittet, es in ein paar Stunden wieder zu versuchen. Die dabei abgegriffenen Kontodaten werden dann sofort verwendet, um Geld beiseite zu schaffen, und der Trojaner hält den Bankkunden bis zum nächsten Tag von seinem Konto fern, damit dieser die Abbuchungen nicht entdecken kann. Mitunter werden auch externe DNS-Server auf die Phishing-Seiten umprogrammiert, was man dann Pharming nennt.

Wenn Phisher tatsächlich bei einem Hoster eine eigene Domain und Webspace anmelden, so benutzen sie auch hier per Phishing gestohlenes Geld, um die Anmeldegebühren zu bezahlen und die Spur zu jemand anders zeigen zu lassen, nämlich dem bestohlenen Kontoinhaber. Wegen den paar Dollar oder Euro wird üblicherweise keine Strafverfolgung aufgenommen. In Asien werden jedoch sehr oft auch Webserver einfach gehackt, weil diese dort nach der Inbetriebnahme kaum je gewartet oder mit Sicherheits-Updates versehen werden.

Ein leeres Girokonto ohne Dispo-Kredit schützt übrigens nicht automatisch vor Phishing-Attacken: Wenn über den Online-Zugang beispielsweise auch noch auf Wertpapierdepots zugegriffen werden kann, verkaufen die Phisher diese kurzerhand und räumen dann nicht nur 5000, sondern gleich 20.000 Euro ab. RAM-Proxys sorgen wiederum dafür, dass auf den von Trojanern gekaperten Rechnern keinerlei Spuren zurückbleiben und wer denkt, dass er sich dadurch schützen kann, dass er kein Internet-Banking mehr betreibt, könnte feststellen, dass auch Telefon-Banking-PINs gephisht werden, zu deren Benutzung oftmals keine TANs notwendig ist und die deshalb beliebig oft missbraucht werden können.

Bundeskriminalamt in Wiesbaden (Bild: Bundeskriminalamt)

Um die schädlichen Laufzeiten bei dem häufigen grenzüberschreitenden Vorgehen der Phisher in den Griff zu kriegen, gibt es mittlerweile internationale Polizeinetzwerke speziell zum Thema Computerkriminalität, unter anderem unter dem Dach von Interpol. Hier weiß dann ein Beamter, dass er auf der anderen Seite ebenfalls fachkundige Personen sitzen hat und dies auch am Freitagnachmittag erreichbar sind. Dann laufen nämlich die meisten Phishing-Attacken, weil viele Leute genau dann ihre Bankangelegenheiten erledigen, wenn sie nach der Arbeitswoche Zeit dazu haben – und da die Banken bereits geschlossen sind, tun sie es online. Ein Problem ist allerdings Großbritannien: Hier haben die Phishing-Fälle dermaßen zugenommen, dass die Behörden alle Vorfälle unter 7.500 Euro überhaupt nicht mehr bearbeiten – und dies sind nun einmal die Mehrzahl der Fälle an, denn bei den meisten Konten ist heute ein Online-Überweisungslimit von 5.000 Euro gesetzt.

Ein internationales "Internetrecht" ist deshalb das, was nach Ansicht der Fachleute vom Bundeskriminalamt in den nächsten Jahren dringend notwendig ist. Andernfalls könnte sich der Online-Gelddiebstahl zum "Fahrraddiebstahl des einundzwanzigsten Jahrhunderts" entwickeln.

Kommentare lesen (25 Beiträge)
Anzeige