Virenangriffe für Mac unterschätzt?

[andi42]

Die Systemeinstellungen haben verschiedene Sicherheitslevel. Manche harmlose darf jeder für sich ändern. Für die kritischeren muß man sich als Admin ausweisen. Manche davon kann man auch "aufschliessen", so daß man sich nicht immer als Admin für diese (nicht die anderen) ausweisen muß. Die ganz kritischen erfordern jedes Mal eine Authentifizierung als Admin. Man sagt praktisch dem System: Ich hätte gerne xy. Dann prüft das System, ob Du einer von denen bist, die sich xy überhaupt wünschen dürfen. Wenn das ok ist, dann sagt das System zu sich selbst: Mach mal xy. Es wird kein Befehl des Users ausgeführt.

So meinte ich das... es kommt der Befehl "Setze Einstellung x auf y", dann überprüft das System ob das erlaubt ist und ändert es oder frägt nach Credentials. Wie ich sehe, läuft dann der Prozess securityd->authorisationhos und regelt den Zugriff auf die Einstellungen.

Das ist "mein Alltag". Und die mir bekannten Privat-PCs laufen natürlich alle mit Win-Admin, allein schon weil die UAC als Normalo noch nerviger ist.

Für diesen speziellen Fall, OK. Jedoch traue ich einem Windows-Entwickler 1. zu dass er sich nicht irgendwelche Malware einfängt und 2. könnte diese (wie unter jedem anderen System auch) auch ohne Adminrechte schon genug Schaden anrichten.
Aber im Firmenumfeld ist es allgemein eher üblich, normale Benutzer nicht mit Adminrechten auszustatten, bei Entwicklern ists natürlich anders
Bei den Privat-PCs ists halt einfach Bequemlichkeit und der "wird schon nichts passieren"-Faktor. Aber das sieht man ja nich nur bei Win, sondern auch oft genug bei den Macusern.

Zum Thema arbeiten als Admin bei Windows kann ich auch noch meinen Senf dazugeben.+

Also bei uns in der Firma war und ist es so das eigentlich alle Benutzer als Administrator angelegt sind da sonst leider einige Programme (z.B. CorelDraw, CatiaV5, Warenwirtschaftsprogramm und noch einige mehr) nicht ausgeführt werden können bzw. nicht richtig funktionieren.
Betriebssystem ist bis auf 2-3 Rechner Win XP. Bei den anderen ist es Win 7, hier bin ich mir aber nicht sicher ob da auch auf Admin eingestellt ist.

Wir sind zwar nur ein ca. 100 Mann betrieb (davon ungefähr 25 - 30 PC Arbeitsplätze) aber hier geht's nicht anders.

Wird oftmals gemacht, obwohl meistens die Vergabe von Schreibrechten ins Programmverzeichnis reichen würde. Übrigens: Corel Draw X5 braucht definitv keine Adminrechte. Catia verwende ich nicht, und ka wies bei eurem Warenwirtschaftsprogramm ist.
Aber manchmal gehts halt leider wirklich nicht anders.

Ich habe dies http://forums.techarena.in/guides-tutorials/1099030.htm gerade mal unter Vista mit aktiver UAC ausprobiert. Ich hatte damit einen Link auf dem Desktop erstellt, der mir eine "volle" Admin-Shell auf Vista aufmacht, ohne daß ein UAC-Prompt für dieses Öffnen kommt. Mit der Admin-Shell kann ich fremde User-Verzeichnisse beispielsweise nach Belieben ändern: Dateien anlegen, vorhandene löschen, alles.

Mh, jap da war mal was... Privilege Escalation durch geplante Tasks wegen schlampiger Validierung. Sollte aber mit akutellstem Patchstand gefixt sein, da sollte zum Anlegen des Tasks die UAC einhaken. Wenn das nicht der Fall ist bitte laut schreien
Im Ernst, das wär dann schon harter Tobak, mal schaun.

Und hier http://www.pretentiousname.com/misc/win7_uac_whitelist2.html gibt es Sourcen und lauffähigen Code und ausführliche Doku, der unter Win 7 (früher hatte er auch eine Version für Vista) mit Hilfe einer der Whitelist-Apps von Windows die UAC umgeht. (Wie auch von mir und Mark R. dokumentiert.) Die UAC ist laut ihm (und da stimme ich zu) nur Security-Theater. Show.

Das ist ein wirklich interessanter Artikel, besonders die Beschreibung unter http://www.pretentiousname.com/misc/W7E_Source/win7_uac_poc_details.html
Werd ich morgen bei Gelegenheit mal ausprobieren, aber laut der Beschreibung ist es ein komplizierter Exploit, der Lücken in sysprep.exe und cryptbase.dll ausnutzt.
Ich schätze halt, dass die Lücken inzwischen mit einem Patch längst behoben wurden, insbesondere wenn das Problem schon öffentlich bekannt und ausnutzbar ist.

so long, schönen Abend
andi42

 

[LosDosos]

Kleine Frage am Rande,
wenn ich in meinem öffentlichen Netzwerkordner einen 15 GB großen Ordner kopiert habe (noch weitere 12 GB frei auf der Platte), warum mag Win den Ordner nicht verschieben ("15 GB benötig fürs Verschieben" - ???- , nur 12 GB verfügbar) und wenn ich weitere 10 freischaffe, warum beötigt Win 7 über 25 Minuten, um den Ordner zu verschieben?

(Also wenn nicht Ihr, wer kann es mir dann beantworten...?)

 

[Madcat]

Kannst Du nicht. Kann nur root.

Doch kann ich, probiers doch einfach mal aus. Ich darf mir ohne weiteres als Admin Rechte geben an mir fremden Verzeichnissen. Das ist überhaupt kein Problem.

 

[andi42]

Kleine Frage am Rande,
wenn ich in meinem öffentlichen Netzwerkordner einen 15 GB großen Ordner kopiert habe (noch weitere 12 GB frei auf der Platte), warum mag Win den Ordner nicht verschieben ("15 GB benötig fürs Verschieben" - ???- , nur 12 GB verfügbar) und wenn ich weitere 10 freischaffe, warum beötigt Win 7 über 25 Minuten, um den Ordner zu verschieben?

(Also wenn nicht Ihr, wer kann es mir dann beantworten...?)

Verschiebst du vielleicht den Ordner von einer Freigabe auf eine andere und nicht innerhalb der selben Freigabe? Bei unterschiedlichen Freigaben kann es sein, dass Windows so vorgeht:
* Kopieren von der einen Freigabe auf die andere, während der Aktion wird auf dem Mac tatsächlich der doppelte Platz benötigt. Eine Dauer von 25 Minuten wäre in diesem Fall normal.
* Nun überprüft es den Vorgang. War das Kopieren erfolgreich, wird dann der Ordner von der alten Freigabe gelöscht.

 

[andi42]

Doch kann ich, probiers doch einfach mal aus. Ich darf mir ohne weiteres als Admin Rechte geben an mir fremden Verzeichnissen. Das ist überhaupt kein Problem.

Über das hab ich ja auch schon lange mit ihm diskutiert. Es ist so, dass du technisch zum Root-Benutzer wechselst und mit diesem die Rechte vergibst, was aber in der praktischen Auswirkung irrelevant ist. De facto hast du (als Mensch vor dem Rechner) root-Rechte, wenn du einen Account der admin-Gruppe hast


EDIT:

Macmark, ich muss dich leider wegen deinen UAC-Exploits enttäuschen: Der erste braucht zum Anlegen des geplanten Tasks UAC-Zustimmung, ist also nicht wirklich eine Lücke. Du kannst dir auch unter Unix einen cronjob als root anlegen, der dann als root läuft.
Und der zweite läuft unter einem Win7 auf aktuellem Patchstand ins Leere.

 

[MacMark]

Der "Mensch vor dem Rechner" ist weder Admin noch Root.

Der erste Weg gibt Dir eine Shell mit vollen Rechten ohne daß der sonst übliche UAC-Dialog kommt. Melde Dich ab, an, und starte den erstellten Shell-Link: Kein UAC-Dialog trotz Maximum-Rechten.
Ein Root-Cronjob läuft nicht gemischt mit unprivilegierten Prozessen unter einem gemeinsamen User.

Der zweite Weg ist nicht auf einen bestimmten Bug angewiesen, denn es gibt zig Möglichkeiten die Whitelist-Programme anders auszunutzen: Plugin-DLLs, Explorer Shell-Extensions, Bufferoverflows in einem der circa 70 Whitelist-Programme. Die Existenz der Whitelist ist ein Designfehler.
Oder halt ohne jeden Hack: Angeblich soll Windows 7 RC1 build 7100 beispielsweise ermöglichen, daß man mit dem Öffnen-Dialog von Calc.exe, Notepad.exe und MSPaint.exe Änderungen unter "Program Files" vornehmen kann - ohne UAC-Prompt - Verzeichnisse anlegen, Dateien umbenennen und so.

 

[vib]

OS hin oder her - ist der Benutzer(und seine Intelligenz) nicht das freie Radikal? Ist es nicht egal ob ein OS zwischen der admin und der wheel Gruppe unterscheidet, wenn der Benutzer durch die Eingabe nur eines Passwortes jede Schadsoftware voll authorisieren kann? Ist es nicht egal ob ein OS ueberhaupt einen Prozess(zB UAC) dazwischen schaltet, wenn der Benutzer durch die Eingabe nur eines Passwortes jede Schadsoftware voll authorisieren kann? Ist es nicht gerade unter OS X Benutzern verbreitet zu glauben sie waeren ausser Gefahr, wodurch sie evtl verlernen im gewissen Moment einen gesetzen Haken zu hinterfragen? Sollte man als Betreiber einer gern referenzierte Seite nicht dieser Dummheit vorbeugen??

Windows-Nutzer sind sich der Gefahren zumeist bewust, hat doch so gut wie jeder einen AV Loesung installiert. Aber - oh Graus mir wird bange - wie sieht es unter OS X aus - oft genau das Gegenteil: "Ich habe keine AV-Loesung, denn ich bin so gut unt erkenne jeden Einfall --- aeh quatsch hier gibts keine Eindringlinge!!1ELf"? Es wird sich zu oft auf einer nicht sicheren Erdplatte ausgeruht... Ob die Benutzer des ein oder anderen Systems schlauer oder duemmer sind ueberlasse ich den Flammenkriegern.

 

[andi42]

Der "Mensch vor dem Rechner" ist weder Admin noch Root.

Nein, ich schrieb er hat de facto root-Rechte. Wie auch immer du dazu sagen willst Macguru, Computerking, ... Mit den Zugangsdaten eines aktiven Benutzer der Gruppe "admin" kannst du auf der Kiste alles machen.

Der erste Weg gibt Dir eine Shell mit vollen Rechten ohne daß der sonst übliche UAC-Dialog kommt. Melde Dich ab, an, und starte den erstellten Shell-Link: Kein UAC-Dialog trotz Maximum-Rechten.

Das ist keine Lücke, da zum Anlegen des Tasks ein UAC-Consent gegeben werden muss und du das beim Task selber genau so einstellst. Genau so gut kannst du behaupten dass es eine Systemschwäche ist, wenn du die UAC selbst abschaltest
Kein Desktop-Betriebssystem hindert dich daran, dir mit root-Rechten selbst ins Knie zu schießen.

Ein Root-Cronjob läuft nicht gemischt mit unprivilegierten Prozessen unter einem gemeinsamen User.

Unter Windows versuchst du, eine solche Konstruktion zu basteln, es ist dort aber normalerweise auch nicht so bei geplanten Tasks.

Der zweite Weg ist nicht auf einen bestimmten Bug angewiesen, denn es gibt zig Möglichkeiten die Whitelist-Programme anders auszunutzen: Plugin-DLLs, Explorer Shell-Extensions, Bufferoverflows in einem der circa 70 Whitelist-Programme.

Und unter welchem System ists anders? Mit Buffer Overflow Exploits etc wirst du auf jedem OS mehr oder weniger viele Privilege-Escalation-Lücken finden können.
Zum Beispiel: http://support.apple.com/kb/HT4077

Die Existenz der Whitelist ist ein Designfehler.

Zeig mir einen einzigen Fall, bei dem ein administrativer vom User kontrollierter Prozess ohne UAC-Consent gestartet wird, unter UAC-Einstellungen "hoch" versteht sich. Bei der mittleren Einstellung dürfen manche von Windows als unkritisch eingestuften Aktionen ohne Bestätigung ausgeführt werden. Dort wird deine Whitelist verwendet. Dies wurde eingeführt, weil sich bei Vista viele Leute über das strengere Sicherheitskonzept beschwert haben.

Oder halt ohne jeden Hack: Angeblich soll Windows 7 RC1 build 7100 beispielsweise ermöglichen, daß man mit dem Öffnen-Dialog von Calc.exe, Notepad.exe und MSPaint.exe Änderungen unter "Program Files" vornehmen kann - ohne UAC-Prompt - Verzeichnisse anlegen, Dateien umbenennen und so.

Angeblich soll eine vor zwei Jahren erschienene Betaversion einen Fehler gehabt haben, in dem ein neues Feature noch nicht richtig greift? Schwaches Argument.
Gut, das kann unter OS X nicht passieren, weil wenn eine Betaversion eine solche Lücke hat, dürfen die Entwickler nicht darüber reden

Übrigens, lies dir mal die Lücke CVE-2011-0182 unter http://support.apple.com/kb/HT4581 durch: damit ist (bzw war, die Lücke wurde vorgestern mit 10.6.7 geschlossen) es unter OS X möglich, von einem normalen Benutzerkonto aus (nicht mal Admin) Code mit vollen Systemrechten auszuführen.

EDIT

@vib: genau darauf versuche ich seit einigen Thread-Seiten hinzuweisen

 

[LosDosos]

fq

Vielen Dank..

 

[ProUser]

OS hin oder her - ist der Benutzer(und seine Intelligenz) nicht das freie Radikal? Ist es nicht egal ob ein OS zwischen der admin und der wheel Gruppe unterscheidet, wenn der Benutzer durch die Eingabe nur eines Passwortes jede Schadsoftware voll authorisieren kann? Ist es nicht egal ob ein OS ueberhaupt einen Prozess(zB UAC) dazwischen schaltet, wenn der Benutzer durch die Eingabe nur eines Passwortes jede Schadsoftware voll authorisieren kann? Ist es nicht gerade unter OS X Benutzern verbreitet zu glauben sie waeren ausser Gefahr, wodurch sie evtl verlernen im gewissen Moment einen gesetzen Haken zu hinterfragen? Sollte man als Betreiber einer gern referenzierte Seite nicht dieser Dummheit vorbeugen??

Windows-Nutzer sind sich der Gefahren zumeist bewust, hat doch so gut wie jeder einen AV Loesung installiert. Aber - oh Graus mir wird bange - wie sieht es unter OS X aus - oft genau das Gegenteil: "Ich habe keine AV-Loesung, denn ich bin so gut unt erkenne jeden Einfall --- aeh quatsch hier gibts keine Eindringlinge!!1ELf"? Es wird sich zu oft auf einer nicht sicheren Erdplatte ausgeruht... Ob die Benutzer des ein oder anderen Systems schlauer oder duemmer sind ueberlasse ich den Flammenkriegern.

Das ist, als würde man allen Autofahrern die ein gutgebautes und sicheres Fahrzeug führen, automatisch Nachlässigkeit beim Fahren unterstellen.. und dann behaupten, dass es doch viel besser sei, mit einer Schrottlaube (die schon beim Fahren auseinander fällt) unterwegs zu sein..

EDIT: Überhaupt derart zu pauschalisieren und die MacUser generell als ahnungslos abzustempeln ist schon völlig daneben! Mit Sicherheit gibt es solche und solche, sowohl unter Windows-Nutzern als auch bei den Mac-Anwendern. Und dass die Mac-Anwender das Thema Sicherheit sehr wohl ernst nehmen und genau beobachten, sieht man alleine schon an diesem Themenstrang - innerhalb kürzester Zeit über 7.000 Zugriffe..

 

[Madcat]

Was für ein Scheiß.. das ist, als würde man allen Autofahrern die ein gutgebautes und sicheres Fahrzeug führen, automatisch Nachlässigkeit beim Fahren unterstellen

So wars ja nicht gemeint. Auch mit einem gut gebauten und sicheren Fahrzeug kann man bei Ignoranz der Bremse und des Lenkrades noch gut eine Demodulation der Motorhaube durchführen wenn ein Baum oder ähnliches den Weg kreuzt. Aber unsere Autos werden ja immer klüger, inzwischen beginnt es ja, dass die Fußgänger erkennen und selbstständig bremsen oder aber eigenständig den Weg in die Parklücke finden, das sind zwar nette Funktionen zeigen aber auch, dass Autofahrer wohl wirklich immer dümmer werden.

 

[ProUser]

So wars ja nicht gemeint. Auch mit einem gut gebauten und sicheren Fahrzeug kann man bei Ignoranz der Bremse und des Lenkrades noch gut eine Demodulation der Motorhaube durchführen wenn ein Baum oder ähnliches den Weg kreuzt. Aber unsere Autos werden ja immer klüger, inzwischen beginnt es ja, dass die Fußgänger erkennen und selbstständig bremsen oder aber eigenständig den Weg in die Parklücke finden, das sind zwar nette Funktionen zeigen aber auch, dass Autofahrer wohl wirklich immer dümmer werden.

Es geht nicht um Autofahrer! Lies bitte meinen Nachtrag..

 

[Bruny]

Ein gutes Betriebssystem hast du, wenn du dir weiter keine Gedanken drum machen musst. Bestenfalls per Design. OSX kommt dem bereits sehr nahe. Auch bzgl. der Sicherheit.

Interessant finde ich aber: Ständig liest man von neurotischen Ängsten irgend welcher Spinner, die einem erklären, was wenigstens alles 'theoretisch' bei OSX möglich wäre. Und dann erzählen sie von ihrer Windows-Erfahrung. Unsicherheit, die per Design mitgeliefert wird und ständiger Aufmerksamkeit bedarf… Leute, die sich unbändige Mühen machen, damit ihr Windows wenigstens einigermaßen sicher ist. Was fangen die zu wühlen an, um bei OSX Sicherheitsprobleme aufzuspüren! Theoretische. Der GAU lauere an jeder Ecke, wenn sie dann mal eine Beschreibung finden! Theoretisch! Irgendwie! Möglicherweise!

Und? Wie stehts um OSX? Praktisch?!? Angriffe? Panik? Reale Gefahr? Gegenwärtig? Nicht nur theoretisch!?!? Sondern wenigstens ein bisschen praktisch, wie bei Windows? Och, kommt schon...

NIX! REIN GAR NIX! ENN III IXS - NIX! Nada! Nothing! Niente!

Wenn einem solche Leute dann aber noch erklären, wie sie sich mit diversen Software-Pakten unter Windows aber dennoch gegen die böse Welt abschotten müssen... und wie 'versiert' sie dabei sind... Ja, da gerate ich doch ins Staunen, wie man nur so blöd sein kann, sich so etwas anzutun?! Wenn einem solche Leute aber dann auch noch erklären, dass man 'ignorant' oder 'gutgläubig' sei, wenn man es ihnen nicht nachmache... Also, solche Leute kann man doch nicht mehr ernst nehmen.

Lasst uns Mac-User doch endlich in Frieden den Umstand genießen, dass wir diesen ganzen Dreck nicht brauchen. Bisher ist das nämlich noch so. Im übrigen halten wir bösen Ignoranten die Augen offen. Sollte sich die Lage verändern, wir werden es mitkriegen.

 

[JohnnyChicago]

Solange mit Windows soviel Geld zu machen ist, wird sich kein krimineller Hacker die Mühe machen auch noch für den Mac Exploids zu schreiben.
Wären die Verhältnisse umgekehrt, hätten die Windowsianer soviel mit Schadprogrammen zu tun wie jetzt die Mac-User.

 

[minilux]

Unsicherheit, die per Design mitgeliefert wird und ständiger Aufmerksamkeit bedarf… Leute, die sich unbändige Mühen machen, damit ihr Windows wenigstens einigermaßen sicher ist.

liest du eigentlich was hier seit über 270 Beiträgen diskutiert wird?

Wenn einem solche Leute dann aber noch erklären, wie sie sich mit diversen Software-Pakten unter Windows aber dennoch gegen die böse Welt abschotten müssen... und wie 'versiert' sie dabei sind... Ja, da gerate ich doch ins Staunen, wie man nur so blöd sein kann, sich so etwas anzutun?!

mein W7 Rechner ist mit genau einem SW-Paket versehen (MS SE). Und das hat noch nie irgendeine Meldung gebracht. Ich fühle mich mit W7 keinen Deut unsicherer als mit dem iMac

 

[doger]

liest du eigentlich was hier seit über 270 Beiträgen diskutiert wird?

Womit wir wieder am Anfang wären.

//doger

 

[ProUser]

mein W7 Rechner ist mit genau einem SW-Paket versehen (MS SE). Und das hat noch nie irgendeine Meldung gebracht. Ich fühle mich mit W7 keinen Deut unsicherer als mit dem iMac

Das ist keine Frage der Gefühls! Würden weltweit alle AV-Scanner (auch die der e-Mail-Provider) abgestellt werden, wäre auf den Windows-Rechnern die Hölle los!

Mac OS X dagegen kommt ganz ohne AV-Scanner aus und das seit vielen, vielen Jahren..

 

[minilux]

ja klar, du hast recht

 

[ProUser]

ja klar, du hast recht

Du willst jetzt hier nicht ernsthaft behaupten, dass dem nicht so ist, oder?

So viel zum Thema Leichtsinn!

 

[vib]

*gemuetlich zur Kaffetasse greift* Guten Morgen

Das ist, als würde man allen Autofahrern die ein gutgebautes und sicheres Fahrzeug führen, automatisch Nachlässigkeit beim Fahren unterstellen.. und dann behaupten, dass es doch viel besser sei, mit einer Schrottlaube (die schon beim Fahren auseinander fällt) unterwegs zu sein..

Dann hast Du mich,die c't 4/11 , aber auch so manchen Vorschreiberling und den Inhalt der Postings nicht richtig verstanden. Ich habe mit Absicht darauf verzichtet ein System ueber das Andere zu heben - ich verwies auf die Qualitaeten des Benutzers. Nur Ganz am Rande: Die Qualitaet eines Fahrers ist gerade im Strassenverkehr eines der grundlegendsten Elemente fuer das problemfreie Funktionieren des Selbigen. Wie ich bereits viel weiter vorn in diesem Thread vorschlug, waere evtl ein Computer-Fuehrerschein hilfreicher als viele AV-Loesungen. Welches Auto bzw. OS man dabei verwendet ist dabe erstmal nebensaechlich. Auf die Ruecksicht im Strassen- bzw. Netzwerkverkehr kommts an.

EDIT: Überhaupt derart zu pauschalisieren und die MacUser generell als ahnungslos abzustempeln ist schon völlig daneben!

Wenn Du meine vorherigen Postings audmerksam gelesen hast, muesste Dir klar sein, dass ich keinem User ueberhaupt zu nahe treten moechte, es aber sehr wohl kritisiere, wenn man - und das findet unter OS X-Usern wesentlich haeufiger statt - fast wie selbstverstaendlich das System als sicher hinstellt und sich deshalb auch nicht wirklich mit Praeventivmassnahmen beschaeftigt. In diesem Kontext koennte man jetzt auch Deine Worte

gutgebautes und sicheres Fahrzeug

bzw.

Schrottlaube

analysieren, aber das fuehrte zu weit von Thema weg.

Und dass die Mac-Anwender das Thema Sicherheit sehr wohl ernst nehmen und genau beobachten, sieht man alleine schon an diesem Themenstrang - innerhalb kürzester Zeit über 7.000 Zugriffe..

Die Anzahl an Antworten in einem Themenstrang sagt mit Verlaub nichts ueber die Qualitaet der angefuehrten Inhalte aus. Wenn Du dieses Thema von Anfang an aufmerksam verfolgt hast, ist Dir sicherlich aufgefallen, dass sich hier nicht mehr als 10 User aus dem Forum intensiv mit dem Sachverhalt befassen. Von einer grossen, verantwortungsbewusten Mehrheit der OS X-Benutzer anhand dieses Threads noch keine Rede sein.

Viel haeufiger findet man mit der Foren-Suche Threads, wo ein Neuling oder eine Neulingin (noch sicherheitsbewust) fragen, welcher Scanner zu emfehlen sei, worauf er/sie schnell mit unqualifizierten Antworten á la "Brain 2.0 hilft weiter" stumpf in den Boden gerammt werden. Und eben genau auf solche Antworten von oben herab und die Tatsache, dass in einem sozialen Netzwerk wie dem Internet, genauso Regeln dazugehoeren wie im Strassenverkehr, bezogen sich meine Aussagen bisher im Kern. Einem Fuehrerschein-Neuling anzuraten, dass er das mit dem Sicherheitsgurt getrost vergessen kann, weil es in dieser Automarke Apfel (max. 5% Marktanteil) weniger Unfaelle gibt, als bei der Marke Fenster (etwa 90%) ist da in etwa vergleichbar.